Перейти к содержанию
Правила раздела

Вирус-расширение для браузеров

ИванКК

Автор ИванКК
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

ИванКК

ИванКК

Опубликовано
Опубликовано

День добрый) прошу помощи у добрых людей!

У самого не вышло удалить вирус никакими своими (дилетантскими) способами.

Суть: Вирус появился после скачки и установки фейкового "драйвера для монитора" Примерно неделю назад. (после этого я еще на вин 10 перешел.)

На рабоч столе появились ярлычки с играми, и всякой туфтой. В хроме, которым я пользуюсь и хочу пользоваться расширения разные (synсplay и всякие другие), которые блочат другие популярные расширения и добавили закладки с рекламой в браузер (другой активности плохой пока не заметил). В данный момент хром пока-что снес. но буду ставить опять (переустановки не помогали никакие всеравно).

Но вот расширения эти не пропадают, антивирусы и утилиты находили много чего-но не помогло. Есть подозрение что не только браузерный вирус стоит, на компе, но и другие... Особенно кажется что интернет соединение падает часто на короткое время...

Вообщем, помогите, пожалуйста с вирусом расширением! Прикрепляю логи Addition.txtCollectionLog-2016.07.28-22.54.zipFRST.txt


Shortcut.txt

thyrex

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Ivan\AppData\Local\Microsoft\1763809650F08B75097302D4154A71B5\2DBD10EFD0FF498F0EBC49EF13DE021B.exe','');
 QuarantineFile('C:\Users\Ivan\AppData\Roaming\Adobe\NativePlugin\OOBA\PPAPI\41EABF0A-5011-4691-AD94-5F8F34DF18D1\BDD97D8B-9C52-4007-A013-DA635AB5FE29.exe','');
 DeleteFile('C:\Users\Ivan\AppData\Roaming\Adobe\NativePlugin\OOBA\PPAPI\41EABF0A-5011-4691-AD94-5F8F34DF18D1\BDD97D8B-9C52-4007-A013-DA635AB5FE29.exe','32');
 DeleteFile('C:\Users\Ivan\AppData\Local\Microsoft\1763809650F08B75097302D4154A71B5\2DBD10EFD0FF498F0EBC49EF13DE021B.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','DE021B31FE94CBE0F894FF0DFE2DBD10SB');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','41EABF0A-5011-4691-AD94-5F8F34DF18D1');
 DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\DE021B31FE94CBE0F894FF0DFE2DBD10','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\DE021B31FE94CBE0F894FF0DFE2DBD10SB','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\A41EABF0A-5011-4691-AD94-5F8F34DF18D1','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\DE021B31FE94CBE0F894FF0DFE2DBD10','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\DE021B31FE94CBE0F894FF0DFE2DBD10SB','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи

  • Спасибо (+1) 1
thyrex

thyrex

Опубликовано
Опубликовано

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
Task: {1631F66C-AD51-447F-8805-D6D01960ECDF} - \Microsoft\Windows\Setup\EOONotify -> No File <==== ATTENTION
Task: {1874D717-3018-4736-AF0A-B4C0A1C408CD} - \Microsoft\DE021B31FE94CBE0F894FF0DFE2DBD10 -> No File <==== ATTENTION
Task: {28FEDAB1-912D-42C4-AECE-31497F8FE245} - \Microsoft\Windows\DE021B31FE94CBE0F894FF0DFE2DBD10 -> No File <==== ATTENTION
Task: {3113DC8B-DB55-4FA4-869A-4D71D976A292} - \Microsoft\DE021B31FE94CBE0F894FF0DFE2DBD10SB -> No File <==== ATTENTION
Task: {325D1036-2177-406C-BDD3-E1FDFA8D8100} - \Microsoft\Windows\Setup\GWXTriggers\Time-Weekend -> No File <==== ATTENTION
Task: {3B60E985-8194-4C42-8D65-E73C548AEDC9} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {40260114-8D95-4ED9-A661-308A74504563} - \Microsoft\Windows\DE021B31FE94CBE0F894FF0DFE2DBD10SB -> No File <==== ATTENTION
Task: {4F30577A-944A-47BC-95CF-0CE170BD9C66} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> No File <==== ATTENTION
Task: {52B76034-5BFD-4058-AE28-1F8C7AE0B77B} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {5C8071FD-D1AA-4E58-BCF7-AEEC906E1738} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> No File <==== ATTENTION
Task: {6A602BB2-CCCC-4AF0-92B2-22A61F5C74CB} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {6AE56554-613A-47E3-98A1-BAE0D0A1AE34} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {6B860873-B35B-43DC-90CB-39C10C65DFFF} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {71FD6288-A414-4F33-94FA-39C63A393024} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> No File <==== ATTENTION
Task: {76447098-98EF-42C3-A40F-E1C5BA3E3ACB} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {9B99FA18-F2AB-4577-8E9A-0977710B03A5} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> No File <==== ATTENTION
Task: {A33E888C-561F-451B-A6C4-0678430CE218} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {BAB30957-285A-4840-8C56-774F418A97B0} - \Microsoft\Windows\A41EABF0A-5011-4691-AD94-5F8F34DF18D1 -> No File <==== ATTENTION
Task: {C7BFEED5-D146-484E-A058-7CED8BB71DD1} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {DBC69D55-3600-4975-BD37-A75C0AF6D9D7} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {DD8B2712-AB1F-4C23-A76C-84502C60F04E} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {E0D33D5A-9AE2-4C59-BCDA-F404AC30915A} - \Microsoft\Windows\Setup\gwx\rundetector -> No File <==== ATTENTION
C:\Users\Ivan\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  No File
C:\Users\Ivan\AppData\Local\Temp\libeay32.dll
C:\Users\Ivan\AppData\Local\Temp\msvcr120.dll
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание, что будет выполнена перезагрузка компьютера.
  • Согласен 1
ИванКК

ИванКК

Опубликовано
  • Автор
Опубликовано

Пока все спокойно! спасибо Тирекс! оперативная помощь)

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Taiger
      Неудаляемые расширения в браузере
      Автор Taiger
      Добрый день.
      Несколько дней назад появились непонятные расширения в браузерах. В Chrome - Adblocker и Mvpn. В Edge - Adblocker, Fnet, Snet.
      Переустановки браузера, проверки, чистки временных файлов не помогли, после перезагрузки расширения вновь появляются. Синхронизация браузеров включена(но отключение и перестановка без синхронизации не помогла, после перезагрузки появляется уведомление что настройки браузера были изменены сторонней программой и расширения вновь появляются).
      Прикрепляю логи из FRST64.
      Видел похожие проблемы и их решения.
      Прошу о помощи.

      Addition.txtFRST.txt
    • MorozItuman
      Рекламные расширения в браузере
      Автор MorozItuman
      Всем привет.
      В браузере Google Chrome появились расширения Adbloker и Mvpn.
       
      Всячески пытался удалить их (доктор веб, adwcleaner, ccleaner, удалял сами расширения из папки, где они находились, переустанавливал браузер) - все бестолку, после перезагрузки восстанавливаются.
       
      Из-за специфики работы абсолютно нет возможности снести винду. 
      С помощью программы FRST64 собрал какие то логи (или как они называются). Прикрепил ниже архив с файлами FRST.txt и Addition.txt

      Молю о помощи у знатоков. 
       
      FRST и Addition.rar
    • ARTEMIS
      [РЕШЕНО] CHROMIUM:PAGE.MALWARE.URL и самостоятельно устанавливающиеся расширения в браузерах
      Автор ARTEMIS
      В браузере самостоятельно устанавливается дополнение Find it, T-cashback. Удаляю, но при следующем запуске браузера оно снова в расширениях 
      cure it и malwarebytes не помогает, находит их но не лечит
      Помогите удалить гадости эти.
    • Zroq
      Не удаляемое расширение T-Cashback в Яндекс Браузере
      Автор Zroq
      При каждом перезапуске браузера после удаления расширения происходит повторная его установка и активация.
      Также проверка такими средствами как Dr web и adwcleaner не помогли.
      CollectionLog-2024.11.23-20.22.zip
    • Rusyan
      Что за вирус шифровщик с расширением doome7Ei
      Автор Rusyan
      Добрый день.
      Помогите опознать вирус-шифровальщик. Файлы имеют расширение doome7Ei
      Ежедневные задания по работам.rar
      Шифровальщик зашифровал все файлы на компе, помогите разобраться, есть ли шанс восстановить?
       
×
×
  • Создать...