Перейти к содержанию

Вирус-расширение для браузеров


Рекомендуемые сообщения

День добрый) прошу помощи у добрых людей!

У самого не вышло удалить вирус никакими своими (дилетантскими) способами.

Суть: Вирус появился после скачки и установки фейкового "драйвера для монитора" Примерно неделю назад. (после этого я еще на вин 10 перешел.)

На рабоч столе появились ярлычки с играми, и всякой туфтой. В хроме, которым я пользуюсь и хочу пользоваться расширения разные (synсplay и всякие другие), которые блочат другие популярные расширения и добавили закладки с рекламой в браузер (другой активности плохой пока не заметил). В данный момент хром пока-что снес. но буду ставить опять (переустановки не помогали никакие всеравно).

Но вот расширения эти не пропадают, антивирусы и утилиты находили много чего-но не помогло. Есть подозрение что не только браузерный вирус стоит, на компе, но и другие... Особенно кажется что интернет соединение падает часто на короткое время...

Вообщем, помогите, пожалуйста с вирусом расширением! Прикрепляю логи Addition.txtCollectionLog-2016.07.28-22.54.zipFRST.txt


Shortcut.txt

Ссылка на сообщение
Поделиться на другие сайты

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Ivan\AppData\Local\Microsoft\1763809650F08B75097302D4154A71B5\2DBD10EFD0FF498F0EBC49EF13DE021B.exe','');
 QuarantineFile('C:\Users\Ivan\AppData\Roaming\Adobe\NativePlugin\OOBA\PPAPI\41EABF0A-5011-4691-AD94-5F8F34DF18D1\BDD97D8B-9C52-4007-A013-DA635AB5FE29.exe','');
 DeleteFile('C:\Users\Ivan\AppData\Roaming\Adobe\NativePlugin\OOBA\PPAPI\41EABF0A-5011-4691-AD94-5F8F34DF18D1\BDD97D8B-9C52-4007-A013-DA635AB5FE29.exe','32');
 DeleteFile('C:\Users\Ivan\AppData\Local\Microsoft\1763809650F08B75097302D4154A71B5\2DBD10EFD0FF498F0EBC49EF13DE021B.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','DE021B31FE94CBE0F894FF0DFE2DBD10SB');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','41EABF0A-5011-4691-AD94-5F8F34DF18D1');
 DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\DE021B31FE94CBE0F894FF0DFE2DBD10','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\DE021B31FE94CBE0F894FF0DFE2DBD10SB','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\A41EABF0A-5011-4691-AD94-5F8F34DF18D1','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\DE021B31FE94CBE0F894FF0DFE2DBD10','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\DE021B31FE94CBE0F894FF0DFE2DBD10SB','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи

Ссылка на сообщение
Поделиться на другие сайты

Получил ответ с номером KLAN 4762048322. (Ответ прикрепляю на скриншоте)

Прикрепляю новые логи.

post-39621-0-37762400-1469779441_thumb.pngAddition.txtFRST.txtShortcut.txtCollectionLog-2016.07.29-11.05.zip

 

Ссылка на сообщение
Поделиться на другие сайты

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
Task: {1631F66C-AD51-447F-8805-D6D01960ECDF} - \Microsoft\Windows\Setup\EOONotify -> No File <==== ATTENTION
Task: {1874D717-3018-4736-AF0A-B4C0A1C408CD} - \Microsoft\DE021B31FE94CBE0F894FF0DFE2DBD10 -> No File <==== ATTENTION
Task: {28FEDAB1-912D-42C4-AECE-31497F8FE245} - \Microsoft\Windows\DE021B31FE94CBE0F894FF0DFE2DBD10 -> No File <==== ATTENTION
Task: {3113DC8B-DB55-4FA4-869A-4D71D976A292} - \Microsoft\DE021B31FE94CBE0F894FF0DFE2DBD10SB -> No File <==== ATTENTION
Task: {325D1036-2177-406C-BDD3-E1FDFA8D8100} - \Microsoft\Windows\Setup\GWXTriggers\Time-Weekend -> No File <==== ATTENTION
Task: {3B60E985-8194-4C42-8D65-E73C548AEDC9} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {40260114-8D95-4ED9-A661-308A74504563} - \Microsoft\Windows\DE021B31FE94CBE0F894FF0DFE2DBD10SB -> No File <==== ATTENTION
Task: {4F30577A-944A-47BC-95CF-0CE170BD9C66} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> No File <==== ATTENTION
Task: {52B76034-5BFD-4058-AE28-1F8C7AE0B77B} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {5C8071FD-D1AA-4E58-BCF7-AEEC906E1738} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> No File <==== ATTENTION
Task: {6A602BB2-CCCC-4AF0-92B2-22A61F5C74CB} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {6AE56554-613A-47E3-98A1-BAE0D0A1AE34} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {6B860873-B35B-43DC-90CB-39C10C65DFFF} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {71FD6288-A414-4F33-94FA-39C63A393024} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> No File <==== ATTENTION
Task: {76447098-98EF-42C3-A40F-E1C5BA3E3ACB} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {9B99FA18-F2AB-4577-8E9A-0977710B03A5} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> No File <==== ATTENTION
Task: {A33E888C-561F-451B-A6C4-0678430CE218} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {BAB30957-285A-4840-8C56-774F418A97B0} - \Microsoft\Windows\A41EABF0A-5011-4691-AD94-5F8F34DF18D1 -> No File <==== ATTENTION
Task: {C7BFEED5-D146-484E-A058-7CED8BB71DD1} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {DBC69D55-3600-4975-BD37-A75C0AF6D9D7} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {DD8B2712-AB1F-4C23-A76C-84502C60F04E} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {E0D33D5A-9AE2-4C59-BCDA-F404AC30915A} - \Microsoft\Windows\Setup\gwx\rundetector -> No File <==== ATTENTION
C:\Users\Ivan\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  No File
C:\Users\Ivan\AppData\Local\Temp\libeay32.dll
C:\Users\Ivan\AppData\Local\Temp\msvcr120.dll
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание, что будет выполнена перезагрузка компьютера.
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • GlockKatana
      От GlockKatana
      PowerShell в командной строке открывал файл .steam и какой-то код. Я его удалил, но он все же включается на несколько секунд и пытается найти и активировать этот файл.
      успел поймать
    • Pupsik228
      От Pupsik228
      Здравствуйте.
      Недавно столкнулся с проблемой. После перезагрузки компьютера касперский жалуется на файл, файл находится в папке ProgramData там он не отображается(но если ввести в поиск название вируса то он виден) я пробовал удалить его антивирусом. и удалить саму папку с вирусом. и в обоих случаях это помогает, но после перезагрузки компьютера вирус восстанавливается, и антивирус снова жалуется на него.
      это будет видно на скриншотах. Надеюсь на вашу помощь)
      P.S. Я смотрел и вроде вирус не нагружает видеокарту и компьютер работает быстро, но все равно волнуюсь.


      CollectionLog-2024.03.25-15.50.zip
    • Александр Соколов
      От Александр Соколов
      В интернете словил майнер,грузит процессор на 100 и видеокарту на 100,прошу помощи
    • swagoutbaby
      От swagoutbaby
      Начал играть в PUBG стал замечать сильные фризы и просадок фпс до 20-40 при стабильном 140, просканировал комп dr.web'ом обычным, нашлось 3 трояна и chromium:page.malware.url, просто нажал обезвредить и всё. 1, 2 дня так поиграл без лагов, потом всё по новой, просканировал ещё раз chromium:page.malware.url опять нашёлся. Здесь же на форуме пытался так сказать вылечить комп, сначала помогло, потом по новой. Переустановил винду, всё тоже самое, вирус никуда не делся.
      cureit.log CollectionLog-2024.03.19-17.14.zip report1.log report2.log
    • depston
      От depston
      Доброго времени суток.
      Поймал что-то, doctor web cureit ругается на C:\Users\depston\AppData\Local\Microsoft\Edge\User Data\Default\Secure Preferences , но не лечиться. adwcleaner_8.4.2 же видит browser hijack, но при последующей перезагрузки все по новой.
      Прикрепил логи с adwcleaner и от First64 Addition.txtFRST.txt
      AdwCleaner[S00].txt AdwCleaner[C00].txt AdwCleaner_Debug.log
×
×
  • Создать...