S1dius 0 Опубликовано 28 августа, 2015 Share Опубликовано 28 августа, 2015 пишу на форуме первый раз, так что простите если что то не так. суть проблемы: закончилась лицензия KIS 15. за неделю работы без касперского, компьютер схватило нечто непонятное https://pp.vk.me/c627327/v627327162/105fc/A7_20GlXsGg.jpg https://pp.vk.me/c627327/v627327162/105f2/mNBUPAE0-So.jpg https://pp.vk.me/c627327/v627327162/104d4/OLUrr5KSeNc.jpg https://pp.vk.me/c627327/v627327162/10844/kXg4sRUz-F4.jpg была куплена лицензия, проверен компьютер, проблема не решилась. очистил кеш в бразуере. проверил ПК Kaspersky Virus Removal Tool 2015; Dr.Web CureIt!. проблема осталась, хотя и нашло пару каких то подозрительных троянов. вот лог который я получил следуя инструкции. надеюсь вы поможете, готов к выполнению дальнейших инструкций... CollectionLog-2015.08.28-22.34.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 28 августа, 2015 Share Опубликовано 28 августа, 2015 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('c:\programdata\{31633bf4-a843-99b7-3163-33bf4a84efd2}\hqghumeaylnlf.exe',''); DelBHO('{89D8CE90-45B8-4FD3-B91D-55B50573B8F4}'); QuarantineFile('C:\Program Files (x86)\webbsaverr\NUMPGi8XT720i5.dll',''); DeleteFile('C:\Program Files (x86)\webbsaverr\NUMPGi8XT720i5.dll','32'); DeleteFile('c:\programdata\{31633bf4-a843-99b7-3163-33bf4a84efd2}\hqghumeaylnlf.exe','32'); DeleteFile('C:\Windows\Tasks\Superclean.job','64'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи Цитата Ссылка на сообщение Поделиться на другие сайты
S1dius 0 Опубликовано 28 августа, 2015 Автор Share Опубликовано 28 августа, 2015 у меня вот так выглядит https://pp.vk.me/c627327/v627327162/10869/b7wepxSoX2o.jpg имелось ввиду newvirus@kaspersky.com ? Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. NUMPGi8XT720i5.dllПолучен неизвестный файл, он будет передан в Вирусную Лабораторию.С уважением, Лаборатория Касперского KLAN-3089244450 что мне теперь делать? еще раз выполнить эти два скрипта и отправить логи? Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 28 августа, 2015 Share Опубликовано 28 августа, 2015 Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи Цитата Ссылка на сообщение Поделиться на другие сайты
S1dius 0 Опубликовано 28 августа, 2015 Автор Share Опубликовано 28 августа, 2015 (изменено) какоето у меня недопонимание. если вы под правилами имеете ввиду инструкцию в теме "Порядок оформления запроса о помощи" то хорошо, я пошел повторять "правила" по инструкции начиная с Проведите проверку ПК, воспользовавшись одним из следующих продуктов: Kaspersky Virus Removal Tool 2015; Dr.Web CureIt!. думаю, если бы вам нужны были логи то вы бы так и написали "запустите автологер и вышлите новые логи..." вот лог CollectionLog-2015.08.29-00.52.zip Изменено 28 августа, 2015 пользователем mike 1 Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 29 августа, 2015 Share Опубликовано 29 августа, 2015 думаю, если бы вам нужны были логи то вы бы так и написали "запустите автологер и вышлите новые логи..." Если бы на всех форумах использовался Autologger, то тогда бы и шаблон был другой. Вполне очевидно, что на данном форуме он единственный в правилах сбора логов Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5". 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Цитата Ссылка на сообщение Поделиться на другие сайты
S1dius 0 Опубликовано 29 августа, 2015 Автор Share Опубликовано 29 августа, 2015 А мы еще не знаем чем болеет мой компьютер?) FRST.txt Addition.txt Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 29 августа, 2015 Share Опубликовано 29 августа, 2015 AppPtoU CouolSualECouepaOn coupon monkey CouPonpeaK deal2Dealit deaL4mea Dealppeakk doWWnloaditkeep FINeeDDealSofit graeeaotsavinngg Instair Speed Dial lesse2pay MyPermissions Cleaner Ookong price history more ProSHoppper RealdeaL S-927M SaleSCheckEr savEar bboox SaveItCoupons SaVerADdoone SaverProo sAvinegteoyou Screeny SegmentEnhancer SmartCooMpeAre To Do List Topdeeal uTorrentControl_v6 Toolbar for IE websavier Wheretoget удалите через Установку программ 1. Откройте Блокнот и скопируйте в него приведенный ниже текст CreateRestorePoint: ShellIconOverlayIdentifiers: ["DropboxExt1"] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: ["DropboxExt2"] -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: ["DropboxExt3"] -> {FB314EDD-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: ["DropboxExt4"] -> {FB314EDE-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: ["DropboxExt5"] -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: ["DropboxExt6"] -> {FB314EDF-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: ["DropboxExt7"] -> {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: ["DropboxExt8"] -> {FB314EE0-A251-47B7-93E1-CDD82E34AF8B} => No File CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.gboxapp.com/?aff=p HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.gboxapp.com/?aff=p HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.sweet-page.com/web/?type=ds&ts=1408720872&from=cor&uid=PLEXTORXPX-128M5Pro_P02419100865&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.sweet-page.com/web/?type=ds&ts=1408720872&from=cor&uid=PLEXTORXPX-128M5Pro_P02419100865&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.sweet-page.com/?type=hp&ts=1408720872&from=cor&uid=PLEXTORXPX-128M5Pro_P02419100865 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.sweet-page.com/?type=hp&ts=1408720872&from=cor&uid=PLEXTORXPX-128M5Pro_P02419100865 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1408720872&from=cor&uid=PLEXTORXPX-128M5Pro_P02419100865&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1408720872&from=cor&uid=PLEXTORXPX-128M5Pro_P02419100865&q={searchTerms} HKU\S-1-5-21-2629768744-1100654940-2555687070-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.gboxapp.com/?aff=p HKU\S-1-5-21-2629768744-1100654940-2555687070-1000\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://ru.msn.com/?ocid=iehp HKU\S-1-5-21-2629768744-1100654940-2555687070-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.sweet-page.com/?type=hp&ts=1408720872&from=cor&uid=PLEXTORXPX-128M5Pro_P02419100865 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1408720872&from=cor&uid=PLEXTORXPX-128M5Pro_P02419100865&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1408720872&from=cor&uid=PLEXTORXPX-128M5Pro_P02419100865&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1408720872&from=cor&uid=PLEXTORXPX-128M5Pro_P02419100865&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1408720872&from=cor&uid=PLEXTORXPX-128M5Pro_P02419100865&q={searchTerms} SearchScopes: HKU\S-1-5-21-2629768744-1100654940-2555687070-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1408720872&from=cor&uid=PLEXTORXPX-128M5Pro_P02419100865&q={searchTerms} SearchScopes: HKU\S-1-5-21-2629768744-1100654940-2555687070-1000 -> {DB4703B0-BA20-4ECB-9F64-90AFA6B9D37C} URL = hxxp://trovi.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3289075&CUI=UN32072530102073719&UM=7 BHO: webbsaverr -> {89D8CE90-45B8-4FD3-B91D-55B50573B8F4} -> C:\Program Files (x86)\webbsaverr\NUMPGi8XT720i5.x64.dll [2015-07-28] () FF NewTab: hxxp://www.sweet-page.com/newtab/?type=nt&ts=1408720872&from=cor&uid=PLEXTORXPX-128M5Pro_P02419100865 FF Homepage: hxxp://search.gboxapp.com/?aff=p FF Extension: websavier - C:\Users\S1dius\AppData\Roaming\Mozilla\Firefox\Profiles\0q00z0sh.WIN-QVPKQESIDVV\Extensions\2Q@i.org [2015-07-28] FF Extension: saver box - C:\Users\S1dius\AppData\Roaming\Mozilla\Firefox\Profiles\0q00z0sh.WIN-QVPKQESIDVV\Extensions\9MsacDzjA@5.com [2015-07-27] FF Extension: SavErPro - C:\Users\S1dius\AppData\Roaming\Mozilla\Firefox\Profiles\0q00z0sh.WIN-QVPKQESIDVV\Extensions\lVfMg@A.com [2015-07-27] FF Extension: lesse2pay - C:\Users\S1dius\AppData\Roaming\Mozilla\Firefox\Profiles\0q00z0sh.WIN-QVPKQESIDVV\Extensions\N@xIsjU7P.org [2015-07-27] FF Extension: PRoShouppeer - C:\Users\S1dius\AppData\Roaming\Mozilla\Firefox\Profiles\0q00z0sh.WIN-QVPKQESIDVV\Extensions\Oe@fmZ.org [2015-07-27] FF Extension: webbsAver - C:\Users\S1dius\AppData\Roaming\Mozilla\Firefox\Profiles\0q00z0sh.WIN-QVPKQESIDVV\Extensions\Wmf3z9VSK@tD.com [2015-06-11] OPR Extension: (Screeny) - C:\Users\S1dius\AppData\Roaming\Opera Software\Opera Stable\Extensions\mnjejilcobdkeaholenhgcchnelddigl [2014-08-13] 2015-08-26 19:02 - 2015-07-13 12:38 - 00000000 ____D C:\Program Files (x86)\SaverProo 2015-08-26 19:02 - 2015-07-13 12:38 - 00000000 ____D C:\Program Files (x86)\SAverPoro 2015-08-26 19:02 - 2015-06-08 19:41 - 00000000 ____D C:\Program Files (x86)\websaVer 2015-08-26 19:02 - 2014-08-13 20:39 - 00000000 ____D C:\Users\S1dius\AppData\Local\Screeny Task: {A40E1A56-F81D-44BC-8C39-7A5B2C2817E3} - \cvc -> No File <==== ATTENTION Reboot: 2. Нажмите Файл – Сохранить как 3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool 4. Укажите Тип файла – Все файлы (*.*) 5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить 6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание, что будет выполнена перезагрузка компьютера. Цитата Ссылка на сообщение Поделиться на другие сайты
S1dius 0 Опубликовано 29 августа, 2015 Автор Share Опубликовано 29 августа, 2015 2 программы из списка не захотели удаляться. одна просила закрыть мой браузер и продолжить (все браузеры и скайп были закрыты) а вторая сослалась на то что какойто модуль dll Небыл найден. Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 29 августа, 2015 Share Опубликовано 29 августа, 2015 Что с проблемой? Цитата Ссылка на сообщение Поделиться на другие сайты
S1dius 0 Опубликовано 29 августа, 2015 Автор Share Опубликовано 29 августа, 2015 (изменено) Что с проблемой? https://pp.vk.me/c627327/v627327162/1092a/qx4nAiupM3c.jpg изначально меню выглядит нормально https://pp.vk.me/c627327/v627327162/10948/E-6A-oIxuiM.jpg но через минуту там появляется реклама... или даже вот такое https://pp.vk.me/c627327/v627327162/10952/lOH6OOJUsa0.jpg https://pp.vk.me/c627327/v627327162/10935/VvIzb3qyZB4.jpg P.S. не знаю откроется ли у вас второй и третий скрин. Изменено 29 августа, 2015 пользователем S1dius Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 29 августа, 2015 Share Опубликовано 29 августа, 2015 Интернет через роутер? Цитата Ссылка на сообщение Поделиться на другие сайты
S1dius 0 Опубликовано 29 августа, 2015 Автор Share Опубликовано 29 августа, 2015 да, через роутер. https://pp.vk.me/c627327/v627327162/1095c/oHh1Jc6aSeg.jpg а вот при появлении вот этой фигни еще идет и звук мужика котоырй рассказывает как в лотерею выиграть и я не знаю как его заткнуть... модем зюксель кенетик филд литл 2 Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 29 августа, 2015 Share Опубликовано 29 августа, 2015 Сделайте аппаратный сброс настроек роутера, введите правильные настройки. Смените пароль к настройкам на более сложный. Очистите куки и кэш браузеров, перезагрузитесь. Проверьте проблему Цитата Ссылка на сообщение Поделиться на другие сайты
S1dius 0 Опубликовано 29 августа, 2015 Автор Share Опубликовано 29 августа, 2015 Дай бог вам здоровья, сделал сброс настроек. все решилось вроде, пока что банеры не появлялись. скажите, если вирус засел в роутер то как это предупредить в дальнейшем? и те программы которые я удалял через диспетчер это были шпионы/вирусы? Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.