Перейти к содержанию
Правила раздела

explorer.exe http //kb-ribaki.org

nikopol

От nikopol
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

nikopol Новичок

nikopol

Опубликовано
Опубликовано (изменено)

Добрый день!

 

После загрузки ОС открывается рекламный сайт, в реестре постоянно появляется explorer.exe http //kb-ribaki.org

 

Как я понимаю для каждого конкретного пользователя решение свое

 

 

CollectionLog-2016.08.24-15.21.zip

Изменено пользователем nikopol
Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Здравствуйте,


Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».

Ссылка на комментарий
Поделиться на другие сайты
nikopol Новичок

nikopol

Опубликовано
  • Автор
Опубликовано (изменено)

Здравствуйте,

 

 

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».

 

Извините подправил (добавил нужный файл логов), И кажется я нашел

вот тут лежит файл добавляющий сайт в реестр. Если удалить проблема решиться?

 

C:\WINDOWS\system32\Tasks\

Изменено пользователем nikopol
Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Знакома ли Вам?
 

O4 - HKLM\..\StartupApproved\Run32: [{21C345D0-D0EB-45C3-9991-791E50FBCEF2}] C:\Users\Vitaly\AppData\Local\Temp\GLB5693.tmp C:\Users\Vitaly\AppData\Local\Temp\GLF62FB.tmp\settings.ini (2016/08/11)


AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 DeleteFile('C:\WINDOWS\system32\Tasks\Vitaly','64');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.


- Подготовьте лог AdwCleaner и приложите его в теме.
Ссылка на комментарий
Поделиться на другие сайты
nikopol Новичок

nikopol

Опубликовано
  • Автор
Опубликовано (изменено)

 

Знакома ли Вам?

 

O4 - HKLM\..\StartupApproved\Run32: [{21C345D0-D0EB-45C3-9991-791E50FBCEF2}] C:\Users\Vitaly\AppData\Local\Temp\GLB5693.tmp C:\Users\Vitaly\AppData\Local\Temp\GLF62FB.tmp\settings.ini (2016/08/11)

AVZ выполнить следующий скрипт.

Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 DeleteFile('C:\WINDOWS\system32\Tasks\Vitaly','64');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

 

 

- Подготовьте лог AdwCleaner и приложите его в теме.

 

 

нет,

спасибо скрипт помог. Это программа ничего не находила, и логов как я понимаю нет AdwCleaner

Изменено пользователем nikopol
Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

- Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
    B92LqRQ.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


 

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [{21C345D0-D0EB-45C3-9991-791E50FBCEF2}] => C:\Users\Vitaly\AppData\Local\Temp\GLB5693.tmp C:\Users\Vitaly\AppData\Local\Temp\GLF62FB.tmp\settings.ini <===== ATTENTION
CHR HKU\S-1-5-21-2356421392-3664768952-1503122419-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx
Folder: C:\Users\Vitaly\AppData\Roaming\Sun
2016-08-07 21:50 - 2016-08-07 21:50 - 00000000 ____H C:\Users\Все пользователи\DP45977C.lfl
2016-08-07 21:50 - 2016-08-07 21:50 - 00000000 ____H C:\ProgramData\DP45977C.lfl
Folder: C:\WINDOWS\system32\DAX2
Folder: C:\$SysReset
C:\Users\Vitaly\AppData\Local\Temp\temp~.DLL
C:\Users\Vitaly\AppData\Local\Temp\temp~.EXE
Task: {0866133B-B28A-4566-B546-FA6B4BCFAD35} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {10E0A57A-D95F-4610-A86D-0DC8E7914C20} - System32\Tasks\Microsoft\Windows\Windows Defender\Windows Defender Verification => C:\Program Files\Windows Defender\\MpCmdRun.exe [2016-07-16] (Microsoft Corporation)
Task: {1101E5A7-AC2A-4214-8901-4C588392C047} - \Vitaly -> No File <==== ATTENTION
Task: {33CC07D9-9BE3-4D5A-BC74-C0150E10EBBF} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {3718374F-D4AD-4E16-8001-1ADEC46D423E} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {5A7461A0-0EDE-4222-85B1-6C23224B8DCA} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {78DA72FE-CD83-48D0-B3A5-33493C80D360} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {82647D16-6574-4CBA-A275-26F641575EFE} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {B29B6AC6-2DAA-41C8-838A-225A64E2762B} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File <==== ATTENTION
Task: {EB0BA2D1-E0E4-4C9C-A361-47EE15F1DCBD} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {EB5FC3FC-A040-4B8E-9F46-EABF8AAB6667} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {EDEE743D-FA8E-4680-B379-4255094DCAEB} - \{AAA951AF-0D47-48EF-9070-B6FA37124B9C} -> No File <==== ATTENTION
Task: {FAEA9C22-BB93-41F7-B02B-B5F50F4F5CB8} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {FBF85A84-5C9D-41CC-AE62-82CD551C5A1B} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [282]
AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [138]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A [282]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:A064CECC [138]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32\{21C345D0-D0EB-45C3-9991-791E50FBCEF2}]
Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Удалите в MBAM:

PUP.Optional.StartPage.USACVAR, HKU\S-1-5-21-2356421392-3664768952-1503122419-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|Vitaly, explorer.exe http://kb-ribaki.org, , [9359c589207a77bf65bd329240c44db3]
Ссылка на комментарий
Поделиться на другие сайты
nikopol Новичок

nikopol

Опубликовано
  • Автор
Опубликовано

 

Удалите в MBAM:

PUP.Optional.StartPage.USACVAR, HKU\S-1-5-21-2356421392-3664768952-1503122419-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|Vitaly, explorer.exe http://kb-ribaki.org, , [9359c589207a77bf65bd329240c44db3]

 

Удалил, будем наблюдать. Спасибо

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Tricky
      Помогите с Explorer.exe
      От Tricky
      У меня в диспетчере задач explorer.exe(Проводник) Сначало у меня на проводнике стояла картинка World of warships После удаления картинки с пк Explorer.exe стал полностью без иконки что делать
    • zeuslody
      майнер explorer.exe
      От zeuslody
      Поймал майнер прячещийся под процессом explorer.exe . При открытом диспетчере задач останавливается. Скрин AMD Adrenaline (нагрузка 75%-90% ЦП) на рабочем столе.

      Температуры ЦП 
      1) при открытом ДЗ

      2) при закрытом ДЗ

       
    • zyablik
      После перехода с http на https перестала работать прокрутка от фото к фото сайта при работе плагина nextgen gallery в Wordpresse
      От zyablik
      Сайт учреждения работает на wordpress'е. Группы фото выдаются в прокрутке (стрелки вперед-назад) благодаря плагину NetGen Gallery. Подняли SSL, перешли на https. Теперь каждое фото приходится открывать отдельно. Т.е. смысл плагина пропал. Это как-то может быть связано с https. Или сам плагин перестал работать (в связи или без связи)...
      Спасибо.
    • badkempachi
      Обновление баз сигнатур через локальный http или ftp сервер.
      От badkempachi
      Добрый день,
      Имеется необходимость обновлять базы KES с локального сервера http, в крайнем случае, ftp.
      Имеется статья по данному поводу https://support.kaspersky.com/KESWin/11.1.1/ru-RU/176856.htm
      Но подробнее информации как реализовать данную схему или готовых кейсов не нашел.
      Просьба подсказать, как можно реализовать это или по возможности поделиться опытом кто решал такую проблему.
      На форуме таких вопросов с решением не нашел.
    • Валерий Кильченко
      Постоянный сигнал о ненадежном сертификате сайта Сайт http://litafor.ru/
      От Валерий Кильченко
      Ничего не могу поделать - сигналы от антивируса при каждой загрузке браузера Google сильно раздражают. 
      Этого сайта в моих закладках нет .
      Антивирус пишет: 
      Событие: Загрузка остановлена
      Пользователь:
      Тип пользователя: Инициатор
      Имя приложения: chrome.exe
      Путь к приложению: C:\Program Files\Google\Chrome\Application
      Компонент: Интернет-защита
      Описание результата: Запрещено
      Тип: Возможна неправомерная загрузка ПО
      Название: 
      Степень угрозы: Высокая
      Тип объекта: Веб-страница
      Имя объекта: locale.json
      Путь к объекту: 
      Причина: Облачная защита
      CollectionLog-2023.05.27-11.07.zip
×
×
  • Создать...