S1dius Опубликовано 28 августа, 2015 Опубликовано 28 августа, 2015 пишу на форуме первый раз, так что простите если что то не так. суть проблемы: закончилась лицензия KIS 15. за неделю работы без касперского, компьютер схватило нечто непонятное https://pp.vk.me/c627327/v627327162/105fc/A7_20GlXsGg.jpg https://pp.vk.me/c627327/v627327162/105f2/mNBUPAE0-So.jpg https://pp.vk.me/c627327/v627327162/104d4/OLUrr5KSeNc.jpg https://pp.vk.me/c627327/v627327162/10844/kXg4sRUz-F4.jpg была куплена лицензия, проверен компьютер, проблема не решилась. очистил кеш в бразуере. проверил ПК Kaspersky Virus Removal Tool 2015; Dr.Web CureIt!. проблема осталась, хотя и нашло пару каких то подозрительных троянов. вот лог который я получил следуя инструкции. надеюсь вы поможете, готов к выполнению дальнейших инструкций... CollectionLog-2015.08.28-22.34.zip
thyrex Опубликовано 28 августа, 2015 Опубликовано 28 августа, 2015 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('c:\programdata\{31633bf4-a843-99b7-3163-33bf4a84efd2}\hqghumeaylnlf.exe',''); DelBHO('{89D8CE90-45B8-4FD3-B91D-55B50573B8F4}'); QuarantineFile('C:\Program Files (x86)\webbsaverr\NUMPGi8XT720i5.dll',''); DeleteFile('C:\Program Files (x86)\webbsaverr\NUMPGi8XT720i5.dll','32'); DeleteFile('c:\programdata\{31633bf4-a843-99b7-3163-33bf4a84efd2}\hqghumeaylnlf.exe','32'); DeleteFile('C:\Windows\Tasks\Superclean.job','64'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи
S1dius Опубликовано 28 августа, 2015 Автор Опубликовано 28 августа, 2015 у меня вот так выглядит https://pp.vk.me/c627327/v627327162/10869/b7wepxSoX2o.jpg имелось ввиду newvirus@kaspersky.com ? Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. NUMPGi8XT720i5.dllПолучен неизвестный файл, он будет передан в Вирусную Лабораторию.С уважением, Лаборатория Касперского KLAN-3089244450 что мне теперь делать? еще раз выполнить эти два скрипта и отправить логи?
mike 1 Опубликовано 28 августа, 2015 Опубликовано 28 августа, 2015 Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи
S1dius Опубликовано 28 августа, 2015 Автор Опубликовано 28 августа, 2015 (изменено) какоето у меня недопонимание. если вы под правилами имеете ввиду инструкцию в теме "Порядок оформления запроса о помощи" то хорошо, я пошел повторять "правила" по инструкции начиная с Проведите проверку ПК, воспользовавшись одним из следующих продуктов: Kaspersky Virus Removal Tool 2015; Dr.Web CureIt!. думаю, если бы вам нужны были логи то вы бы так и написали "запустите автологер и вышлите новые логи..." вот лог CollectionLog-2015.08.29-00.52.zip Изменено 28 августа, 2015 пользователем mike 1
thyrex Опубликовано 29 августа, 2015 Опубликовано 29 августа, 2015 думаю, если бы вам нужны были логи то вы бы так и написали "запустите автологер и вышлите новые логи..." Если бы на всех форумах использовался Autologger, то тогда бы и шаблон был другой. Вполне очевидно, что на данном форуме он единственный в правилах сбора логов Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5". 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
S1dius Опубликовано 29 августа, 2015 Автор Опубликовано 29 августа, 2015 А мы еще не знаем чем болеет мой компьютер?) FRST.txt Addition.txt
thyrex Опубликовано 29 августа, 2015 Опубликовано 29 августа, 2015 AppPtoU CouolSualECouepaOn coupon monkey CouPonpeaK deal2Dealit deaL4mea Dealppeakk doWWnloaditkeep FINeeDDealSofit graeeaotsavinngg Instair Speed Dial lesse2pay MyPermissions Cleaner Ookong price history more ProSHoppper RealdeaL S-927M SaleSCheckEr savEar bboox SaveItCoupons SaVerADdoone SaverProo sAvinegteoyou Screeny SegmentEnhancer SmartCooMpeAre To Do List Topdeeal uTorrentControl_v6 Toolbar for IE websavier Wheretoget удалите через Установку программ 1. Откройте Блокнот и скопируйте в него приведенный ниже текст CreateRestorePoint: ShellIconOverlayIdentifiers: ["DropboxExt1"] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: ["DropboxExt2"] -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: ["DropboxExt3"] -> {FB314EDD-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: ["DropboxExt4"] -> {FB314EDE-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: ["DropboxExt5"] -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: ["DropboxExt6"] -> {FB314EDF-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: ["DropboxExt7"] -> {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: ["DropboxExt8"] -> {FB314EE0-A251-47B7-93E1-CDD82E34AF8B} => No File CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.gboxapp.com/?aff=p HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.gboxapp.com/?aff=p HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.sweet-page.com/web/?type=ds&ts=1408720872&from=cor&uid=PLEXTORXPX-128M5Pro_P02419100865&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.sweet-page.com/web/?type=ds&ts=1408720872&from=cor&uid=PLEXTORXPX-128M5Pro_P02419100865&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.sweet-page.com/?type=hp&ts=1408720872&from=cor&uid=PLEXTORXPX-128M5Pro_P02419100865 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.sweet-page.com/?type=hp&ts=1408720872&from=cor&uid=PLEXTORXPX-128M5Pro_P02419100865 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1408720872&from=cor&uid=PLEXTORXPX-128M5Pro_P02419100865&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1408720872&from=cor&uid=PLEXTORXPX-128M5Pro_P02419100865&q={searchTerms} HKU\S-1-5-21-2629768744-1100654940-2555687070-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.gboxapp.com/?aff=p HKU\S-1-5-21-2629768744-1100654940-2555687070-1000\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://ru.msn.com/?ocid=iehp HKU\S-1-5-21-2629768744-1100654940-2555687070-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.sweet-page.com/?type=hp&ts=1408720872&from=cor&uid=PLEXTORXPX-128M5Pro_P02419100865 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1408720872&from=cor&uid=PLEXTORXPX-128M5Pro_P02419100865&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1408720872&from=cor&uid=PLEXTORXPX-128M5Pro_P02419100865&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1408720872&from=cor&uid=PLEXTORXPX-128M5Pro_P02419100865&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1408720872&from=cor&uid=PLEXTORXPX-128M5Pro_P02419100865&q={searchTerms} SearchScopes: HKU\S-1-5-21-2629768744-1100654940-2555687070-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1408720872&from=cor&uid=PLEXTORXPX-128M5Pro_P02419100865&q={searchTerms} SearchScopes: HKU\S-1-5-21-2629768744-1100654940-2555687070-1000 -> {DB4703B0-BA20-4ECB-9F64-90AFA6B9D37C} URL = hxxp://trovi.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3289075&CUI=UN32072530102073719&UM=7 BHO: webbsaverr -> {89D8CE90-45B8-4FD3-B91D-55B50573B8F4} -> C:\Program Files (x86)\webbsaverr\NUMPGi8XT720i5.x64.dll [2015-07-28] () FF NewTab: hxxp://www.sweet-page.com/newtab/?type=nt&ts=1408720872&from=cor&uid=PLEXTORXPX-128M5Pro_P02419100865 FF Homepage: hxxp://search.gboxapp.com/?aff=p FF Extension: websavier - C:\Users\S1dius\AppData\Roaming\Mozilla\Firefox\Profiles\0q00z0sh.WIN-QVPKQESIDVV\Extensions\2Q@i.org [2015-07-28] FF Extension: saver box - C:\Users\S1dius\AppData\Roaming\Mozilla\Firefox\Profiles\0q00z0sh.WIN-QVPKQESIDVV\Extensions\9MsacDzjA@5.com [2015-07-27] FF Extension: SavErPro - C:\Users\S1dius\AppData\Roaming\Mozilla\Firefox\Profiles\0q00z0sh.WIN-QVPKQESIDVV\Extensions\lVfMg@A.com [2015-07-27] FF Extension: lesse2pay - C:\Users\S1dius\AppData\Roaming\Mozilla\Firefox\Profiles\0q00z0sh.WIN-QVPKQESIDVV\Extensions\N@xIsjU7P.org [2015-07-27] FF Extension: PRoShouppeer - C:\Users\S1dius\AppData\Roaming\Mozilla\Firefox\Profiles\0q00z0sh.WIN-QVPKQESIDVV\Extensions\Oe@fmZ.org [2015-07-27] FF Extension: webbsAver - C:\Users\S1dius\AppData\Roaming\Mozilla\Firefox\Profiles\0q00z0sh.WIN-QVPKQESIDVV\Extensions\Wmf3z9VSK@tD.com [2015-06-11] OPR Extension: (Screeny) - C:\Users\S1dius\AppData\Roaming\Opera Software\Opera Stable\Extensions\mnjejilcobdkeaholenhgcchnelddigl [2014-08-13] 2015-08-26 19:02 - 2015-07-13 12:38 - 00000000 ____D C:\Program Files (x86)\SaverProo 2015-08-26 19:02 - 2015-07-13 12:38 - 00000000 ____D C:\Program Files (x86)\SAverPoro 2015-08-26 19:02 - 2015-06-08 19:41 - 00000000 ____D C:\Program Files (x86)\websaVer 2015-08-26 19:02 - 2014-08-13 20:39 - 00000000 ____D C:\Users\S1dius\AppData\Local\Screeny Task: {A40E1A56-F81D-44BC-8C39-7A5B2C2817E3} - \cvc -> No File <==== ATTENTION Reboot: 2. Нажмите Файл – Сохранить как 3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool 4. Укажите Тип файла – Все файлы (*.*) 5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить 6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание, что будет выполнена перезагрузка компьютера.
S1dius Опубликовано 29 августа, 2015 Автор Опубликовано 29 августа, 2015 2 программы из списка не захотели удаляться. одна просила закрыть мой браузер и продолжить (все браузеры и скайп были закрыты) а вторая сослалась на то что какойто модуль dll Небыл найден. Fixlog.txt
S1dius Опубликовано 29 августа, 2015 Автор Опубликовано 29 августа, 2015 (изменено) Что с проблемой? https://pp.vk.me/c627327/v627327162/1092a/qx4nAiupM3c.jpg изначально меню выглядит нормально https://pp.vk.me/c627327/v627327162/10948/E-6A-oIxuiM.jpg но через минуту там появляется реклама... или даже вот такое https://pp.vk.me/c627327/v627327162/10952/lOH6OOJUsa0.jpg https://pp.vk.me/c627327/v627327162/10935/VvIzb3qyZB4.jpg P.S. не знаю откроется ли у вас второй и третий скрин. Изменено 29 августа, 2015 пользователем S1dius
S1dius Опубликовано 29 августа, 2015 Автор Опубликовано 29 августа, 2015 да, через роутер. https://pp.vk.me/c627327/v627327162/1095c/oHh1Jc6aSeg.jpg а вот при появлении вот этой фигни еще идет и звук мужика котоырй рассказывает как в лотерею выиграть и я не знаю как его заткнуть... модем зюксель кенетик филд литл 2
thyrex Опубликовано 29 августа, 2015 Опубликовано 29 августа, 2015 Сделайте аппаратный сброс настроек роутера, введите правильные настройки. Смените пароль к настройкам на более сложный. Очистите куки и кэш браузеров, перезагрузитесь. Проверьте проблему
S1dius Опубликовано 29 августа, 2015 Автор Опубликовано 29 августа, 2015 Дай бог вам здоровья, сделал сброс настроек. все решилось вроде, пока что банеры не появлялись. скажите, если вирус засел в роутер то как это предупредить в дальнейшем? и те программы которые я удалял через диспетчер это были шпионы/вирусы?
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти