omniboxes.com

[Tatarmalae]

Здравствуйте. В пятницу вылезло окошко от k-litle kodek pak с предложением скачать/обновить кодеки. Перешел на сайт и скачал обновление (http://files4.downloadnet1038.com/download/1185711/dl?bc=1185711&pid=softrevoz&brand=softrevoz.com&c=klite_mega&country=RU&cb=473671541&filename=K-Lite_Codec_Pack_1130_Mega_dlm.exe&productKey=lw6tkxhrkapp5a3x3tel7a4kdpaeelkx&variation=zip&osName=Windows&osVersion=7&browserName=Chrome&browserVersion=44&zTmp=1&executable=1188561) <--- файл из истории.

 

Ну и потом на всех браузерах этот омнибокс.... Перестал вк открываться, вроде потом прошло...

 

Kaspersky Virus Removal Tool 2015 обнаружил HEUR:Trojan.WinLNK.StartPage.gena (Файл: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk и остальные браузеры), а так же not-a-virus:AdWare.Win32.ELEX.ba (Файл: C:\Users\Coder\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\D1HBANVQ\1[1].zip - Рекламное программное обеспечение)

 

Dr.Web CureIt! Нашел Trojan.Vittalia.336 - C:\Users\Coder\AppData\Local\Temp\3efvoAGjIjloKYgT1x6\skin\res\common.js - infected with Trojan.Vittalia.336

 

После проверки MBAM так же нашел (C:\Users\Coder\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\D1HBANVQ\1[1].zip) и Hacktool.Agent (C:\Windows\Setup\SCRIPTS\data\WindowsLoader.exe)

 

Все удалил.

 

Потом собрал логи. Которые и прилагаю.

 

Спасибо заранее.

CollectionLog-2015.08.03-14.22.zip

[icotonev]

Kaspersky Virus Removal Tool 2015 обнаружил.....

Dr.Web CureIt! Нашел Trojan.Vittalia.336 ....

 

После проверки MBAM так же нашел ......

Все удалил.

 

Потом собрал логи. Которые и прилагаю.

 

Здравствуйте ..!

 

 

Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

• Убедитесь, что под окном Optional Scan отмечены "List BCD" и "Driver MD5".

• Нажмите кнопку Scan.

• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Tatarmalae]

Ооооо, мазила вся в баннерах... При заходе на любой сайт...

 

Логи фарбара приложил.

Addition.txt

FRST.txt

[icotonev]

Шаг 1:  Фикс с Farbar Recovery Scan Tool


ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

start
CreateRestorePoint:
CloseProcesses:
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
StartMenuInternet: (HKLM) OperaStable - C:\Program Files (x86)\Opera\Launcher.exe http://www.omniboxes.com/?type=sc&ts=1438348286&z=2b2bdab656e2f89ebc15dcag5zec2b6c1zebeoct9z&from=tti&uid=ST500DM002-1BD142_W2AP36N4XXXXW2AP36N4
C:\Users\Coder\AppData\Local\Temp\mcse32_00.dll
C:\Users\Coder\AppData\Local\Temp\mcse32_01.dll
C:\Users\Coder\AppData\Local\Temp\mcse64_00.dll
C:\Users\Coder\AppData\Local\Temp\mcse64_01.dll
C:\Users\Coder\AppData\Local\Temp\ShellHook.dll
nointegritychecks: ==> Integrity Checks is disabled <===== ATTENTION
emptytemp:
reboot:
end

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

 

 

Шаг 2: Сканиране с AdwCleaner

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R0].txt.
• Прикрепите отчет к своему следующему сообщению.
• Подробнее читайте в этом руководстве.

 

 

Шаг 3:
 
Скачайте этот инструмент   - Shortcut Cleaner

После окончания проверки опубликовать файл  SC-cleaner.txt

Прикрепите сохраненный отчет в вашей теме.

[Tatarmalae]

Ребят, спасибо за оперативность) 

 

 

Fixlog.txt

AdwCleanerR3.txt

sc-cleaner.txt

[icotonev]

• Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan".
• По окончанию сканирования снимите галочки со следующих строк:

  Папка Найдено : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mail.Ru
  Папка Найдено : C:\Users\Coder\AppData\Local\Mail.Ru
  

• Нажмите кнопку "Clean" и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[s0].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

[thyrex]

+ расширение Record Page удалите в Firefox 

[icotonev]

+ Что с проблемой?

[Tatarmalae]

Мозила стала чистой (баннеры не вылазят). А что за расширение было?

Омнибокс тоже исчез.

Логи прилагаю.

 

Для надежности просканировать еще? И такой вопрос был - что я поймал?))) За пароли беспокоиться нужно?

 

Можно ли удалить папку в корне (С/FRST...) ?

 

Спасибо за ответы.

AdwCleanerS1.txt

Изменено 3 августа, 2015 пользователем Tatarmalae

[icotonev]

Record Page это browser hijacker.
 
Скачать DelFix и запустить его.Выделите

• Remove disinfection tools
• Purge system restore

..а затем нажмите кнопку Run

• После завершения операции, будет создан дневник
• Скопируйте его и вставьте его в свой следующий ответ

Инструмент удалит себя после окончания его задачу!


 
Выполните рекомендации после лечения.

[Tatarmalae]

# DelFix v1.010 - Logfile created 04/08/2015 at 09:45:25

# Updated 26/04/2015 by Xplode

# Username : Coder - CODER-ПК

# Operating System : Windows 7 Ultimate Service Pack 1 (64 bits)



~ Removing disinfection tools ...



Deleted : C:\FRST

Deleted : C:\Users\Coder\Desktop\AdwCleaner[S1].txt

Deleted : C:\Users\Coder\Desktop\adwcleaner_4.208.exe

Deleted : C:\Users\Coder\Desktop\FRST64.exe

Deleted : C:\Users\Coder\Desktop\sc-cleaner.exe

Deleted : HKLM\SOFTWARE\AdwCleaner

Deleted : HKLM\SOFTWARE\TrendMicro\Hijackthis



~ Cleaning system restore ...



Deleted : RP #48 [Запланированная контрольная точка | 08/03/2015 16:27:14]



New restore point created !



########## - EOF - ##########

[icotonev]

Все в порядке...Удачи и безопасной Интернет..!

[Tatarmalae]

Все в порядке...Удачи и безопасной Интернет..!

Спасибо) Как всегда спасли)