Alexey Tikhonov 0 Опубликовано 25 мая, 2016 Share Опубликовано 25 мая, 2016 (изменено) Добрый день. Пару дней назад начали подгружаться в хроме самостоятельно страницы: 1. http://foryourweb.net/- с поисковиком. 2. favbet - ставки на спорт. 3. Ну и изредка разная реклама. Вылазят на любой открытой закладке случайным способом. Могут выскочить при нажатии на диалоговое окно поиска в гугле. Проверка KVRT.exe - нашла 2 вируса и удалила. Но проблема осталась. Результаты AvtoLogger прикладываю. Заранее спасибо за помощь. CollectionLog-2016.05.25-23.05.zip Изменено 25 мая, 2016 пользователем Alexey Tikhonov Ссылка на сообщение Поделиться на другие сайты
SQ 785 Опубликовано 25 мая, 2016 Share Опубликовано 25 мая, 2016 Здравствуйте,Знакома ли Вам? R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://unstops.biz/wpad.dat?05880c0ec51f6f2729bc9e54f06dbdb910205128 HiJackThis профиксить O2 - BHO: uTorrentControl2 - {687578b9-7132-4a7a-80e4-30ee31099e03} - (no file) O3 - Toolbar: uTorrentControl2 Toolbar - {687578b9-7132-4a7a-80e4-30ee31099e03} - (no file) - Подготовьте лог AdwCleaner и приложите его в теме. Ссылка на сообщение Поделиться на другие сайты
Alexey Tikhonov 0 Опубликовано 25 мая, 2016 Автор Share Опубликовано 25 мая, 2016 Здравствуйте, Знакома ли Вам? R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://unstops.biz/wpad.dat?05880c0ec51f6f2729bc9e54f06dbdb910205128 HiJackThis профиксить O2 - BHO: uTorrentControl2 - {687578b9-7132-4a7a-80e4-30ee31099e03} - (no file) O3 - Toolbar: uTorrentControl2 Toolbar - {687578b9-7132-4a7a-80e4-30ee31099e03} - (no file) - Подготовьте лог AdwCleaner и приложите его в теме. По порядку: R1 - не знакома. 02 и 03 - пофиксил. Лог AdwCleaner прикладываю. AdwCleanerS1.txt Ссылка на сообщение Поделиться на другие сайты
SQ 785 Опубликовано 25 мая, 2016 Share Опубликовано 25 мая, 2016 Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите. Ссылка на сообщение Поделиться на другие сайты
Alexey Tikhonov 0 Опубликовано 25 мая, 2016 Автор Share Опубликовано 25 мая, 2016 (изменено) Удалил все строчки. Перегрузился, ещё раз запустился, удалил после проверки ещё одну строчку. Высылаю лог. У меня есть С2 и S2 логи. Высылаю на всякий случай оба. Ну и S1 (Я так понимаю что лог с обозначением S - это лог после удаления?). Проблема не ушла, хром странички подсовывает. AdwCleanerC2.txt AdwCleanerS2.txt AdwCleanerS1.txt Изменено 25 мая, 2016 пользователем Alexey Tikhonov Ссылка на сообщение Поделиться на другие сайты
SQ 785 Опубликовано 26 мая, 2016 Share Опубликовано 26 мая, 2016 - Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Ссылка на сообщение Поделиться на другие сайты
Alexey Tikhonov 0 Опубликовано 26 мая, 2016 Автор Share Опубликовано 26 мая, 2016 Сделано. Файлы прикладываю. FRST.txt Addition.txt Ссылка на сообщение Поделиться на другие сайты
SQ 785 Опубликовано 27 мая, 2016 Share Опубликовано 27 мая, 2016 Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:CreateRestorePoint: CloseProcesses: CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION ManualProxies: 0hxxp://unstops.biz/wpad.dat?05880c0ec51f6f2729bc9e54f06dbdb910205128 HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION HKU\S-1-5-21-2313699468-2991612184-498701599-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION FF Plugin: @baidu.com/BaidusdDetectNPPlugin -> C:\Program Files\BaiduSd2.1\BaiduSd\2.1.0.3086\explugin\npBaiduSDDetectPlug.dll [No File] FF Plugin: @microsoft.com/GENUINE -> disabled [No File] FF Extension: No Name - C:\Users\Pix\AppData\Roaming\Mozilla\Firefox\Profiles\z7ybzsm6.default\extensions\{37964A3C-4EE8-47b1-8321-34DE2C39BA4D} [not found] FF Extension: No Name - C:\Users\Pix\AppData\Roaming\Mozilla\Firefox\Profiles\z7ybzsm6.default\extensions\support@videoadd.ru.xpi [not found] FF Extension: No Name - C:\Users\Pix\AppData\Roaming\Mozilla\Firefox\Profiles\z7ybzsm6.default\extensions\paulsaintuzb@gmail.com.xpi [not found] FF Extension: No Name - C:\Users\Pix\AppData\Roaming\Mozilla\Firefox\Profiles\z7ybzsm6.default\extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [not found] CHR Plugin: (Native Client) - C:\Users\Pix\AppData\Local\Google\Chrome\Application\50.0.2661.102\ppGoogleNaClPluginChrome.dll => No File CHR Plugin: (Chrome PDF Viewer) - C:\Users\Pix\AppData\Local\Google\Chrome\Application\50.0.2661.102\pdf.dll => No File CHR Plugin: (Shockwave Flash) - C:\Users\Pix\AppData\Local\Google\Chrome\Application\50.0.2661.102\gcswf32.dll => No File CHR Plugin: (Google Update) - C:\Users\Pix\AppData\Local\Google\Update\1.3.21.111\npGoogleUpdate3.dll => No File CHR Plugin: (Silverlight Plug-In) - c:\Program Files\Microsoft Silverlight\5.1.10411.0\npctrl.dll => No File Folder: C:\Program Files\Cijidom Folder: C:\Users\Pix\AppData\Local\converter 2016-05-16 22:32 - 2016-05-16 22:32 - 00000016 _____ C:\ProgramData\mntemp Folder: C:\Users\Pix\AppData\Roaming\mydive CustomCLSID: HKU\S-1-5-21-2313699468-2991612184-498701599-1001_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\Pix\AppData\Local\Google\Update\1.3.27.5\psuser.dll => No File CustomCLSID: HKU\S-1-5-21-2313699468-2991612184-498701599-1001_Classes\CLSID\{19170A69-A883-40D5-AF97-F6DC41495F15}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-2313699468-2991612184-498701599-1001_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\Pix\AppData\Local\Google\Update\1.3.28.1\psuser.dll => No File CustomCLSID: HKU\S-1-5-21-2313699468-2991612184-498701599-1001_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\Pix\AppData\Local\Google\Update\1.3.28.13\psuser.dll => No File CustomCLSID: HKU\S-1-5-21-2313699468-2991612184-498701599-1001_Classes\CLSID\{793EE463-1304-471C-ADF1-68C2FFB01247}\InprocServer32 -> C:\Users\Pix\AppData\Local\Google\Update\1.3.29.5\psuser.dll => No File CustomCLSID: HKU\S-1-5-21-2313699468-2991612184-498701599-1001_Classes\CLSID\{97836AB9-12C5-4C30-A128-B75196DD1787}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-2313699468-2991612184-498701599-1001_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\Pix\AppData\Local\Google\Update\1.3.26.9\psuser.dll => No File CustomCLSID: HKU\S-1-5-21-2313699468-2991612184-498701599-1001_Classes\CLSID\{CC182BE1-84CE-4A57-B85C-FD4BBDF78CB2}\InprocServer32 -> C:\Users\Pix\AppData\Local\Google\Update\1.3.29.1\psuser.dll => No File CustomCLSID: HKU\S-1-5-21-2313699468-2991612184-498701599-1001_Classes\CLSID\{D166BD15-03AF-413A-BEFD-0679FF410B49}\InprocServer32 -> C:\Users\Pix\AppData\Local\Dropbox\Update\1.3.27.29\psuser.dll => No File CustomCLSID: HKU\S-1-5-21-2313699468-2991612184-498701599-1001_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\Pix\AppData\Local\Google\Update\1.3.28.15\psuser.dll => No File CustomCLSID: HKU\S-1-5-21-2313699468-2991612184-498701599-1001_Classes\CLSID\{D4AAF2A6-F6D1-49A5-BA1A-B20735DF1955}\InprocServer32 -> C:\Users\Pix\AppData\LocalLow\uTorrentControl2\prxtbuTo2.dll => No File CustomCLSID: HKU\S-1-5-21-2313699468-2991612184-498701599-1001_Classes\CLSID\{ECF41531-0840-4361-955F-1157A091842F}\InprocServer32 -> no filepath Task: {4CE14183-FCD7-4EAB-B85C-B7A45081B034} - \Tefosevafoing Mapper -> No File <==== ATTENTION AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [149] AlternateDataStreams: C:\Users\Pix\Local Settings:wa [146] AlternateDataStreams: C:\Users\Pix\AppData\Local:wa [146] AlternateDataStreams: C:\Users\Pix\AppData\Local\Application Data:wa [146] EmptyTemp: Reboot: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Ссылка на сообщение Поделиться на другие сайты
Alexey Tikhonov 0 Опубликовано 28 мая, 2016 Автор Share Опубликовано 28 мая, 2016 Всё сделал. Проблема ещё остаётся. Лог прикладываю. Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
SQ 785 Опубликовано 28 мая, 2016 Share Опубликовано 28 мая, 2016 Очистите куки, кэш браузеров и кэш DNS (http://virusinfo.info/showthread.php?t=128635) Ссылка на сообщение Поделиться на другие сайты
Alexey Tikhonov 0 Опубликовано 28 мая, 2016 Автор Share Опубликовано 28 мая, 2016 (изменено) Очистите куки, кэш браузеров и кэш DNS (http://virusinfo.info/showthread.php?t=128635) Всё выполнил как по ссылке сказано, в конце отработал CCleaner'ом. Перегрузился, после чего сбросил настройки Хрома. Проблема не ушла. Тут же загрузился "https://www.favbet.com"... Через пару минут вылезло казино какое-то... Изменено 28 мая, 2016 пользователем Alexey Tikhonov Ссылка на сообщение Поделиться на другие сайты
SQ 785 Опубликовано 28 мая, 2016 Share Опубликовано 28 мая, 2016 Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS. Ссылка на сообщение Поделиться на другие сайты
Alexey Tikhonov 0 Опубликовано 29 мая, 2016 Автор Share Опубликовано 29 мая, 2016 В процессе подвесился комп, потом отвалился диск D. Диск показывается теперь как не отформатированный. С ним после сам разберусь. При перезагрузке пришлось откатится на точку иначе комп не запускался. Образ реестра с горем пополам сохранил. Прикладываю к письму. Возможно это поможет. В диспетчере висят файлы: prismsvr.exe GWX.exe Есть подозрение, что именно призма содержала троян. Жена сказала, что качала с таким названием программу для редактирования видео. PIX-PC_2016-05-29_16-04-00.7z Ссылка на сообщение Поделиться на другие сайты
SQ 785 Опубликовано 29 мая, 2016 Share Опубликовано 29 мая, 2016 Важно понимать, в случае отката системы на предыдущую точку восстановления, возможен возврат зараженного состояния системы.Знакома ли Вам? C:\PROGRAM FILES\UTORRENTCONTROL2 Выполните скрипт в uVS: ;uVS v3.87 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE BREG delref 0HTTP://UNSTOPS.BIZ/WPAD.DAT?05880C0EC51F6F2729BC9E54F06DBDB910205128 delref HTTP://UNSTOPS.BIZ/WPAD.DAT?05880C0EC51F6F2729BC9E54F06DBDB910205128 delref %SystemDrive%\USERS\PIX\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GHBMNNJOOEKPMOECNNNILNNBDLOLHKHI\1.4_0\GOOGLE ДОКУМЕНТЫ ОФЛАЙН zoo D:\USERS\PIX\APPDATA\ROAMING\UBISOFT\MMDOC-PDCLIVE\GAMEDATA\GAME.EXE deltmp restart Ссылка на сообщение Поделиться на другие сайты
Alexey Tikhonov 0 Опубликовано 30 мая, 2016 Автор Share Опубликовано 30 мая, 2016 Если это не просто торрент - то не знакома. Если надо стереть - я за стирание. Установить торрент всегда можно снова. C:\PROGRAM FILES\UTORRENTCONTROL2 Скрипт выполнил. В папке ZOO - пусто. Но с текущей датой и временем есть текстовый файл, я его прикладываю. Пока рекламы больше нет. Завтра ещё погоняю, но обычно она проявляется сразу. Так что скорее всего результат достигнут. 2016-05-30_03-31-29_log.txt Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения