Перейти к содержанию
Правила раздела

Стартовая страница в IE http://gotut.ru/?from=im2a"

JIacKa

Автор JIacKa
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

JIacKa

JIacKa

Опубликовано
Опубликовано

Добрый день.Помогите пожалуйста избавиться от этой заразы, также пропал IE x64. В свойстве IE объект имеет такой путь C:\iexplore.bat "http://gotut.ru/?from=im2a" 

KL_syscure.zip

hijackthis.log

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Интернет

Служба автоматического обновления программ

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\iexplore.bat', '');
 QuarantineFile('C:\Users\Татьяна\AppData\Local\Yandex\browser.bat', '');
 DeleteFile('C:\iexplore.bat', '32');
 DeleteFile('C:\Users\Татьяна\AppData\Local\Yandex\browser.bat', '32');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

move.gif

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Ссылка на комментарий
Поделиться на другие сайты
JIacKa

JIacKa

Опубликовано
  • Автор
Опубликовано

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Интернет

Служба автоматического обновления программ

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\iexplore.bat', '');
 QuarantineFile('C:\Users\Татьяна\AppData\Local\Yandex\browser.bat', '');
 DeleteFile('C:\iexplore.bat', '32');
 DeleteFile('C:\Users\Татьяна\AppData\Local\Yandex\browser.bat', '32');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

move.gif

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

 

готово

ClearLNK-30.09.2016_15-23.log

CollectionLog-2016.09.30-15.39.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано
  • Скачайте AdwCleaner (by ToolsLib) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты
JIacKa

JIacKa

Опубликовано
  • Автор
Опубликовано (изменено)

 

  • Скачайте AdwCleaner (by ToolsLib) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

вот... очистить?

AdwCleanerS0.txt

Изменено пользователем JIacKa
Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

1.

  • Запустите повторно AdwCleaner (by ToolsLib) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
    • Политики IE
    • Политики Chrome

      и нажмите Ok.

  • Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
JIacKa

JIacKa

Опубликовано
  • Автор
Опубликовано (изменено)

готово


Можно теперь ie64 устанавливать? просто раньше их 2 было IE и IE x64

Addition.txt

AdwCleanerC0.txt

FRST.txt

Изменено пользователем JIacKa
Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-879436629-1508308310-1524116988-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
BHO: No Name -> {C93F72A2-2162-4BBA-A07A-F13663C297A6} -> No File
BHO-x32: No Name -> {9BFBA68E-E21B-458E-AE12-FE85E903D2C0} -> No File
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-879436629-1508308310-1524116988-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
OPR Extension: (CinemaLoad) - C:\Users\Татьяна\AppData\Roaming\Opera Software\Opera Stable\Extensions\ecijengmojcngjjgghkfkgbjoogmlngb [2013-12-05]
OPR Extension: (PhoenixGuard - бесплатный антивирусный тулбар) - C:\Users\Татьяна\AppData\Roaming\Opera Software\Opera Stable\Extensions\pleoihkpdomoijdpaibdciidfoeedamm [2014-10-11]
2015-04-26 15:43 - 2015-04-26 15:43 - 0000006 _____ () C:\Users\Татьяна\AppData\Roaming\smw_inst
2015-04-26 15:42 - 2015-04-26 15:42 - 0000175 ____H () C:\Users\Татьяна\AppData\Local\chrome.bat
Task: {BC201344-746B-4C12-9910-3680A6DA5B8B} - \chrome5 -> No File <==== ATTENTION
Task: {FF2FFD0B-093D-4BFC-9C9D-F9F31C4667C2} - \chrome5_logon -> No File <==== ATTENTION
zip: C:\Users\Татьяна\Desktop\Новая папка (3)\Компьютер - Ярлык.lnk
AlternateDataStreams: C:\Users\Татьяна\Local Settings:wa [178]
AlternateDataStreams: C:\Users\Татьяна\AppData\Local:wa [178]
AlternateDataStreams: C:\Users\Татьяна\AppData\Local\Application Data:wa [178]
EmptyTemp:
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

 

Файл upload.zip с рабочего стола залейте на файлообменник, ссылку на скачивание - мне в ЛС, пожалуйста.

 

От ComboFix отчеты остались?

Ссылка на комментарий
Поделиться на другие сайты
JIacKa

JIacKa

Опубликовано
  • Автор
Опубликовано

на счет на рабочем столе uploud я не вижу.


Появилась маленькая проблемка, на курсок мыши крутится кольцо бесконечно.... Подозреваю один процесс BrowserManager.exe

info.txt

log.txt

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • ska79
      Не работают кнопки страниц магазина
      Автор ska79
      Не работают кнопки страниц в магазине. Если навести курсор и кликнуть. Если открыть в новой вкладке посредством ПКМ на кнопке. то открывается

    • ns.rassvet
      [РЕШЕНО] Открывается страница с сайтом при включении ПК и Банер с погодой!
      Автор ns.rassvet
      При включении ПК, всегда открывается страница с незагружаемым сайтом, а так же появился банер с погодой в правом нижнем углу, который не могу убрать. Посмотрите пожалуйста логи, буду очень благодарен.

      DESKTOP-OEHJQIP_2025-01-24_18-22-48_v4.13.7z
    • NoVirusAvailable
      Окно CMD при старте windows, вирус открывает страницу в браузере
      Автор NoVirusAvailable
      Здравствуйте! Вероятно компьютер требует лечения.
       
      При запуске windows запускается три(!) окна CMD и мигом закрываются. Так происходит несколько месяцев.
       
      Сегодня в браузере начал открываться сайт с рекламой. Заходить на него не пробовал. Начал искать решение на форуме.
       
      Еще у меня подозрение, что на моем компьютере что-то запускается в фоне, так как иногда загрузка процессора достигает 80%, хотя фактически нагрузки нет. В диспетчере задач не нахожу ничего подозрительного.
       
      Система Windows 10 x64
       
      Что сделал:
      Скачал AutoLogger.exe, но с первого (пятого) раза программа не запустилась: "Ошибка при выполнении AV_Z.exe "Скрипт=AV\script2.txt hidden mode=0". Не удается найти указанный файл."
      Поэтому скачал FRST, запустил, получил 3 лога: FRST, addition, shortcut. Вероятно, поторопился, но такие советы также встретил.
       
      Снова начал искать AutoLogger, который запустился и создал файл CollectionLog-2025.01.18-00.36, его и прилагаю.
       
      Какие дальнейшие действия, чтобы вылечить компьютер? Спасибо за советы.
      CollectionLog-2025.01.18-00.36.zip
    • olegyam
      [РЕШЕНО] Постоянно всплывает окно с заголовком яндекс защитник домашняя страница изменилась
      Автор olegyam
      Помогите избавиться от всплывающего окна
      логи прилагаю
      CollectionLog-2024.09.29-00.17.zip
    • KL FC Bot
      Сравнение заголовков From и Reply-To | Блог Касперского
      Автор KL FC Bot
      Недавно нам удалось повысить точность обнаружения целевого фишинга и атак при помощи компрометации деловой переписки (BEC) путем добавления одной маленькой и, в общем-то, банальной проверки. Если письмо по какой-то причине вызывает у нашего почтового движка подозрение, мы сверяем домен из технического заголовка From с доменом из поля Reply-To. Смешно, но эта простая проверка позволяет отсеять значительную часть достаточно сложных атак. В этом посте рассказываем, почему это работает.
      Как выявляют сложные почтовые атаки
      Операторы целевых почтовых атак традиционно прикладывают значительные усилия для маскировки своих писем под легитимные. Это не те ребята, которые прикладывают к письму файл, где детектируется троян, да и фишинговые ссылки они стараются скрыть под несколькими слоями хитроумных уловок. Поэтому защитные решения, способные выявлять письма с такими атаками, редко выносят вердикт на основании какого-то одного критерия — чаще всего они выявляют совокупность подозрительных признаков. Сверка полей From и Reply-To — это еще один из таких критериев.
       
      View the full article
×
×
  • Создать...