Перейти к содержанию
Правила раздела

Троян, проявляется в хроме.

Alexey Tikhonov

От Alexey Tikhonov
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Alexey Tikhonov Новичок

Alexey Tikhonov

Опубликовано
Опубликовано (изменено)

Добрый день.

 

Пару дней назад начали подгружаться в хроме самостоятельно страницы:

1. http://foryourweb.net/- с поисковиком.

2. favbet - ставки на спорт.

3. Ну и изредка разная реклама.

 

Вылазят на любой открытой закладке случайным способом. Могут выскочить при нажатии на диалоговое окно поиска в гугле.

 

Проверка KVRT.exe - нашла 2 вируса и удалила. Но проблема осталась.

 

Результаты AvtoLogger прикладываю.

 

Заранее спасибо за помощь.

CollectionLog-2016.05.25-23.05.zip

Изменено пользователем Alexey Tikhonov
Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Здравствуйте,

Знакома ли Вам?

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://unstops.biz/wpad.dat?05880c0ec51f6f2729bc9e54f06dbdb910205128



HiJackThis профиксить

O2 - BHO: uTorrentControl2 - {687578b9-7132-4a7a-80e4-30ee31099e03} - (no file)
O3 - Toolbar: uTorrentControl2 Toolbar - {687578b9-7132-4a7a-80e4-30ee31099e03} - (no file)


- Подготовьте лог AdwCleaner и приложите его в теме.
Ссылка на комментарий
Поделиться на другие сайты
Alexey Tikhonov Новичок

Alexey Tikhonov

Опубликовано
  • Автор
Опубликовано

 

Здравствуйте,

 

Знакома ли Вам?

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://unstops.biz/wpad.dat?05880c0ec51f6f2729bc9e54f06dbdb910205128

 

HiJackThis профиксить

O2 - BHO: uTorrentControl2 - {687578b9-7132-4a7a-80e4-30ee31099e03} - (no file)
O3 - Toolbar: uTorrentControl2 Toolbar - {687578b9-7132-4a7a-80e4-30ee31099e03} - (no file)

- Подготовьте лог AdwCleaner и приложите его в теме.

 

 

По порядку:

 

R1 - не знакома.

 

02 и 03 - пофиксил.

 

Лог AdwCleaner прикладываю.

AdwCleanerS1.txt

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

Ссылка на комментарий
Поделиться на другие сайты
Alexey Tikhonov Новичок

Alexey Tikhonov

Опубликовано
  • Автор
Опубликовано (изменено)

Удалил все строчки. Перегрузился, ещё раз запустился, удалил после проверки ещё одну строчку.

 

Высылаю лог.

 

У меня есть С2 и S2 логи. Высылаю на всякий случай оба.

 

Ну и S1 (Я так понимаю что лог с обозначением S - это лог после удаления?).

 

Проблема не ушла, хром странички подсовывает.

AdwCleanerC2.txt

AdwCleanerS2.txt

AdwCleanerS1.txt

Изменено пользователем Alexey Tikhonov
Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

- Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
    B92LqRQ.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.



 

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
CloseProcesses:
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
ManualProxies: 0hxxp://unstops.biz/wpad.dat?05880c0ec51f6f2729bc9e54f06dbdb910205128
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
HKU\S-1-5-21-2313699468-2991612184-498701599-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
FF Plugin: @baidu.com/BaidusdDetectNPPlugin -> C:\Program Files\BaiduSd2.1\BaiduSd\2.1.0.3086\explugin\npBaiduSDDetectPlug.dll [No File]
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
FF Extension: No Name -  C:\Users\Pix\AppData\Roaming\Mozilla\Firefox\Profiles\z7ybzsm6.default\extensions\{37964A3C-4EE8-47b1-8321-34DE2C39BA4D} [not found]
FF Extension: No Name -  C:\Users\Pix\AppData\Roaming\Mozilla\Firefox\Profiles\z7ybzsm6.default\extensions\support@videoadd.ru.xpi [not found]
FF Extension: No Name -  C:\Users\Pix\AppData\Roaming\Mozilla\Firefox\Profiles\z7ybzsm6.default\extensions\paulsaintuzb@gmail.com.xpi [not found]
FF Extension: No Name -  C:\Users\Pix\AppData\Roaming\Mozilla\Firefox\Profiles\z7ybzsm6.default\extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [not found]
CHR Plugin: (Native Client) - C:\Users\Pix\AppData\Local\Google\Chrome\Application\50.0.2661.102\ppGoogleNaClPluginChrome.dll => No File
CHR Plugin: (Chrome PDF Viewer) - C:\Users\Pix\AppData\Local\Google\Chrome\Application\50.0.2661.102\pdf.dll => No File
CHR Plugin: (Shockwave Flash) - C:\Users\Pix\AppData\Local\Google\Chrome\Application\50.0.2661.102\gcswf32.dll => No File
CHR Plugin: (Google Update) - C:\Users\Pix\AppData\Local\Google\Update\1.3.21.111\npGoogleUpdate3.dll => No File
CHR Plugin: (Silverlight Plug-In) - c:\Program Files\Microsoft Silverlight\5.1.10411.0\npctrl.dll => No File
Folder: C:\Program Files\Cijidom
Folder: C:\Users\Pix\AppData\Local\converter
2016-05-16 22:32 - 2016-05-16 22:32 - 00000016 _____ C:\ProgramData\mntemp
Folder: C:\Users\Pix\AppData\Roaming\mydive
CustomCLSID: HKU\S-1-5-21-2313699468-2991612184-498701599-1001_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\Pix\AppData\Local\Google\Update\1.3.27.5\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-2313699468-2991612184-498701599-1001_Classes\CLSID\{19170A69-A883-40D5-AF97-F6DC41495F15}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-2313699468-2991612184-498701599-1001_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\Pix\AppData\Local\Google\Update\1.3.28.1\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-2313699468-2991612184-498701599-1001_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\Pix\AppData\Local\Google\Update\1.3.28.13\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-2313699468-2991612184-498701599-1001_Classes\CLSID\{793EE463-1304-471C-ADF1-68C2FFB01247}\InprocServer32 -> C:\Users\Pix\AppData\Local\Google\Update\1.3.29.5\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-2313699468-2991612184-498701599-1001_Classes\CLSID\{97836AB9-12C5-4C30-A128-B75196DD1787}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-2313699468-2991612184-498701599-1001_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\Pix\AppData\Local\Google\Update\1.3.26.9\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-2313699468-2991612184-498701599-1001_Classes\CLSID\{CC182BE1-84CE-4A57-B85C-FD4BBDF78CB2}\InprocServer32 -> C:\Users\Pix\AppData\Local\Google\Update\1.3.29.1\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-2313699468-2991612184-498701599-1001_Classes\CLSID\{D166BD15-03AF-413A-BEFD-0679FF410B49}\InprocServer32 -> C:\Users\Pix\AppData\Local\Dropbox\Update\1.3.27.29\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-2313699468-2991612184-498701599-1001_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\Pix\AppData\Local\Google\Update\1.3.28.15\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-2313699468-2991612184-498701599-1001_Classes\CLSID\{D4AAF2A6-F6D1-49A5-BA1A-B20735DF1955}\InprocServer32 -> C:\Users\Pix\AppData\LocalLow\uTorrentControl2\prxtbuTo2.dll => No File
CustomCLSID: HKU\S-1-5-21-2313699468-2991612184-498701599-1001_Classes\CLSID\{ECF41531-0840-4361-955F-1157A091842F}\InprocServer32 -> no filepath
Task: {4CE14183-FCD7-4EAB-B85C-B7A45081B034} - \Tefosevafoing Mapper -> No File <==== ATTENTION
AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [149]
AlternateDataStreams: C:\Users\Pix\Local Settings:wa [146]
AlternateDataStreams: C:\Users\Pix\AppData\Local:wa [146]
AlternateDataStreams: C:\Users\Pix\AppData\Local\Application Data:wa [146]
EmptyTemp:
Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

Ссылка на комментарий
Поделиться на другие сайты
Alexey Tikhonov Новичок

Alexey Tikhonov

Опубликовано
  • Автор
Опубликовано (изменено)

Очистите куки, кэш браузеров и кэш DNS (http://virusinfo.info/showthread.php?t=128635)

 

Всё выполнил как по ссылке сказано, в конце отработал CCleaner'ом.

 

Перегрузился, после чего сбросил настройки Хрома.

 

Проблема не ушла. Тут же загрузился "https://www.favbet.com"...

 

Через пару минут вылезло казино какое-то...

Изменено пользователем Alexey Tikhonov
Ссылка на комментарий
Поделиться на другие сайты
Alexey Tikhonov Новичок

Alexey Tikhonov

Опубликовано
  • Автор
Опубликовано

В процессе подвесился комп, потом отвалился диск D. Диск показывается теперь как не отформатированный. С ним после сам разберусь.

 

При перезагрузке пришлось откатится на точку иначе комп не запускался.

 

Образ реестра с горем пополам сохранил. Прикладываю к письму.

 

Возможно это поможет.

В диспетчере висят файлы:

 

prismsvr.exe

GWX.exe

 

Есть подозрение, что именно призма содержала троян. Жена сказала, что качала с таким названием программу для редактирования видео.

PIX-PC_2016-05-29_16-04-00.7z

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Важно понимать, в случае отката системы на предыдущую точку восстановления, возможен возврат зараженного состояния системы.

Знакома ли Вам?

C:\PROGRAM FILES\UTORRENTCONTROL2

Выполните скрипт в uVS:

;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
BREG
delref 0HTTP://UNSTOPS.BIZ/WPAD.DAT?05880C0EC51F6F2729BC9E54F06DBDB910205128
delref HTTP://UNSTOPS.BIZ/WPAD.DAT?05880C0EC51F6F2729BC9E54F06DBDB910205128
delref %SystemDrive%\USERS\PIX\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GHBMNNJOOEKPMOECNNNILNNBDLOLHKHI\1.4_0\GOOGLE ДОКУМЕНТЫ ОФЛАЙН
zoo D:\USERS\PIX\APPDATA\ROAMING\UBISOFT\MMDOC-PDCLIVE\GAMEDATA\GAME.EXE
deltmp
restart
Ссылка на комментарий
Поделиться на другие сайты
Alexey Tikhonov Новичок

Alexey Tikhonov

Опубликовано
  • Автор
Опубликовано

 Если это не просто торрент - то не знакома. Если надо стереть - я за стирание. Установить торрент всегда можно снова.

 

C:\PROGRAM FILES\UTORRENTCONTROL2

 

 

Скрипт выполнил. В папке ZOO - пусто. Но с текущей датой и временем есть текстовый файл, я его прикладываю.

 

Пока рекламы больше нет. Завтра ещё погоняю, но обычно она проявляется сразу. Так что скорее всего результат достигнут.

2016-05-30_03-31-29_log.txt

Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Share
Перейти к списку тем

  • Похожий контент

    • tau34
      Троян в pdf файле?
      От tau34
      Здравствуйте зашел на один сайт посмотреть pdf документ и Касперский выдад уведомление , мне сейчас надо как то удалять его или что? пишет вот такой троян:  HEUR:Trojan.PDF.Badur.gena
      я просто в браузере pdf открыл этот там видать ссылка на вредоносный сайт или что раз так Касперский срнагировал
       
      Сообщение от модератора kmscom Тема перемещена из раздела Помощь по персональным продуктам  
       
       
       
       
       
       
       
       

    • timoshka
      Троян что да каk
      От timoshka
      И так я скачал игру(пиратку, не горжусь) и при проверки системы нашло троян. Прошел все удаление, перезапуск системы. Но я не уверен что он удалился на 100%, как это можно проверить? прошел быструю проверку ничего не нашло, щас запустил полную. 
      Возможно ли что антивирусник так ошибся и ка точно удалить троян если он остался(мб система не удалило его)
      Да, мне страшно...
      как закончится полная напишу что сказало
       
      ничего не нашло, только написало что 1 обьект не был проверен в облаке, может ли быть это троян?
    • Tetis
      Вирус троян updater.exe infected with Trojan.Siggen29.46190
      От Tetis
      Здравствуйте. Винда 10,  антивирус 360 Total Security, каким то образом у меня появился браузер 360 от этого китайского антивируса, примерно 10 дней назад. 14.10.24  появилась программа WPS office. Появились сами. Решил удалить WPS office, но их небыло в списках программ. Удалил с Revo Uninstaller. Перестал работать microsoft office, файлы не открывались. Я скачал 3 варианта microsoft office 2013 в интернете, все пробовал установить, получилось только с 1. Также скачивал прогру для подбора ключа, в итоге подобрал, но потом он слетел. Офис заработал. Комп стал медленее работать, постоянно на максимум вентилятор, греется, жесткий диск крутит . Включил сегодня антивирус, обнаружил вирус updater.exe infected with Trojan.Siggen29.46190, он его удаляет, а вирус постоянно снова появляется в папке C:\ProgramData\Google\Chrome\updater.exe , появляются окна что троян, нажимаю удалить... и так бескнечно, каждые 5 сек. появляется окно антивируса с трояном, я нажимаю удалить.  Dr.Web CureIt ничего не находит, скачал Eset Online Scanner и указал проверку диска С, он нашел вирусы, сейчас процесс проверки пока пишу. CollectionLog-2024.10.20-21.33.zip Что делать, подскажите пожалуйста.
       
    • vlad12332114
      Троян heur trojan multi genbadur genw
      От vlad12332114
      Троян обнаружен антивирусом, удаляется, но после перезагрузки возращается
      CollectionLog-2024.10.22-13.12.zip
    • Namnayshka
      [РЕШЕНО] Помогите, пожалуйста удалить троян или составить fixlog
      От Namnayshka
      Помогите, пожалуйста, поймал где-то heur trojan multi genbadur и касперский не справляется сам. Говорит что для лечения надо перезагрузка и после нее опять через 5 минут выдает предлагаемое лечение, и так по кругу. 
      Addition.txt Fixlog.txt FRST.txt
×
×
  • Создать...