Steel Rain 2 Опубликовано 4 ноября, 2016 Share Опубликовано 4 ноября, 2016 Доброго всем времени суток. Возникла следующая проблема: Chrome либо не запускается, либо вместо обычной стартовой страницы пытается открыть http://www.trotux.com/и на этом зависает. В остальных браузерах поисковая система по умолчанию сменилась на mail.ru. Вместо ytube открывается http://androidmafia.ru... В общем беда, печаль и огорчение. DrWEB ничего не обнаружил. KVRT что то нашел, скрин во вложении. Помогите пожалуйста вернуть систему в начальное состояние. Заранее признателен. P.S. на прошлой неделе уже обращался по аналогичному поводу, но, к сожалению, не нашлось ни у кого возможности помочь. https://forum.kasperskyclub.ru/index.php?showtopic=52587 CollectionLog-2016.11.04-11.20.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 4 ноября, 2016 Share Опубликовано 4 ноября, 2016 (изменено) Здравствуйте! Через Панель управления - Удаление программ - удалите нежелательное ПО: trotux - Uninstall Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFile('C:\Users\Steel Rain\AppData\Local\Temp\new-super-ext.exe', ''); QuarantineFile('C:\Program Files (x86)\Ludshphrack\prrcmm.dll',''); DeleteFile('C:\Users\Steel Rain\AppData\Local\Temp\new-super-ext.exe', '32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run-','001dae8c'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Скачайте AdwCleaner (by ToolsLib) и сохраните его на Рабочем столе. Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. Изменено 4 ноября, 2016 пользователем Sandor 1 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Steel Rain 2 Опубликовано 4 ноября, 2016 Автор Share Опубликовано 4 ноября, 2016 Сделал. Chrome стал запускаться, на trotux не выкидывает. На письмо пока ответа нет. AdwCleanerS0.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 4 ноября, 2016 Share Опубликовано 4 ноября, 2016 1. Запустите повторно AdwCleaner (by ToolsLib) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора). Нажмите кнопку "Scan" ("Сканировать"). По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить: Политики IE Политики Chrome и нажмите Ok. Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Подробнее читайте в этом руководстве. 2. Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. 1 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Steel Rain 2 Опубликовано 4 ноября, 2016 Автор Share Опубликовано 4 ноября, 2016 (изменено) AdwCleaner почистил. С FRST64 возникла проблемка. После запуска пишет, что обнаружена новая версия, потом выдает сообщение, что приложение обновлено и готово к использованию и снова обнаруживает обновление и т.д. по кругу. AdwCleanerC0.txt Изменено 4 ноября, 2016 пользователем Steel Rain Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 4 ноября, 2016 Share Опубликовано 4 ноября, 2016 На время сканирования отключите сеть. 1 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Steel Rain 2 Опубликовано 4 ноября, 2016 Автор Share Опубликовано 4 ноября, 2016 (изменено) гм, вариант... P.S. кстати, все сегодня началось после запроса Каспера на разрешение запуска exe-шника из 2016-11-04 09:42 - 2016-11-04 09:52 - 00000000 ____D C:\Users\Steel Rain\AppData\Local\GeoLocator, я подумал, что это обновление 2Gis... Пришел первый ответ на письмо KLAN-5289147800 "Здравствуйте, Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. prrcmm.dllПолучен неизвестный файл, он будет передан в Вирусную Лабораторию." Почему то нет упоминания о new-super-ext.exe, видимо он не был добавлен в карантин. Addition.txt FRST.txt Shortcut.txt Изменено 4 ноября, 2016 пользователем Steel Rain Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 4 ноября, 2016 Share Опубликовано 4 ноября, 2016 Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: start CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%" CreateRestorePoint: ShellExecuteHooks: - {E0CB95D8-9E93-11E6-B290-64006A5CFC23} - C:\Users\Steel Rain\AppData\Roaming\Zernaiedckfering\Qonphcbat.dll No File [ ] 2016-11-04 09:44 - 2016-11-04 09:44 - 00000000 ____D C:\Users\Все пользователи\Avira 2016-11-04 09:44 - 2016-11-04 09:44 - 00000000 ____D C:\Users\Все пользователи\Avg 2016-11-04 09:44 - 2016-11-04 09:44 - 00000000 ____D C:\Users\Все пользователи\AVAST Software 2016-11-04 09:44 - 2016-11-04 09:44 - 00000000 ____D C:\ProgramData\Avira 2016-11-04 09:44 - 2016-11-04 09:44 - 00000000 ____D C:\ProgramData\Avg 2016-11-04 09:44 - 2016-11-04 09:44 - 00000000 ____D C:\ProgramData\AVAST Software 2016-11-04 09:43 - 2016-11-04 13:08 - 00000000 ____D C:\Users\Steel Rain\AppData\Roaming\Zernaiedckfering 2016-11-04 09:43 - 2016-11-04 13:08 - 00000000 ____D C:\Program Files (x86)\Ludshphrack 2016-11-04 09:43 - 2016-11-04 09:43 - 00000000 ____D C:\Users\Steel Rain\AppData\Local\Reulainggulgh 2016-11-04 09:42 - 2016-11-04 09:52 - 00000000 ____D C:\Users\Steel Rain\AppData\Local\GeoLocator 2016-10-29 12:26 - 2016-10-29 12:26 - 00000000 ____D C:\Users\Steel Rain\AppData\Roaming\ProductData 2016-10-29 12:25 - 2016-10-29 12:25 - 00000000 ____D C:\Windows\Tasks\ImCleanDisabled 2016-10-29 12:25 - 2016-10-29 12:25 - 00000000 ____D C:\Users\Все пользователи\{BAF091CA-86C4-4627-ADA1-897E2621C1B0} 2016-10-29 12:25 - 2016-10-29 12:25 - 00000000 ____D C:\Users\Steel Rain\AppData\Roaming\Apple Computer 2016-10-29 12:25 - 2016-10-29 12:25 - 00000000 ____D C:\ProgramData\{BAF091CA-86C4-4627-ADA1-897E2621C1B0} 2016-10-29 12:24 - 2016-11-04 09:43 - 00000000 ____D C:\Program Files (x86)\IObit 2016-10-29 12:24 - 2016-11-04 09:43 - 00000000 ____D C:\Program Files (x86)\adBanner 2016-10-29 12:24 - 2016-11-04 09:42 - 00000000 ____D C:\Users\Steel Rain\SoundProvider 2016-10-29 12:24 - 2016-10-29 12:49 - 00000000 ____D C:\Users\Все пользователи\ProductData 2016-10-29 12:24 - 2016-10-29 12:49 - 00000000 ____D C:\ProgramData\ProductData 2016-10-29 12:24 - 2016-10-29 12:39 - 00000000 ____D C:\Users\Steel Rain\AppData\Roaming\IObit 2016-10-29 12:24 - 2016-10-29 12:31 - 00000000 ____D C:\Users\Все пользователи\IObit 2016-10-29 12:24 - 2016-10-29 12:31 - 00000000 ____D C:\ProgramData\IObit 2016-10-29 12:24 - 2016-10-29 12:25 - 00000000 ____D C:\Users\Steel Rain\AppData\LocalLow\IObit 2016-10-29 12:24 - 2016-10-29 12:24 - 00027552 _____ (REALiX(tm)) C:\Windows\SysWOW64\Drivers\HWiNFO64A.SYS 2016-10-29 12:24 - 2016-10-29 12:24 - 00002890 _____ C:\Windows\System32\Tasks\Driver Booster SkipUAC (Steel Rain) 2016-10-29 12:24 - 2016-10-29 12:24 - 00000000 ____D C:\Windows\IObit Task: {0964E40B-0638-46C1-9B30-A8DE49246238} - System32\Tasks\Driver Booster SkipUAC (Steel Rain) => C:\Program Files (x86)\IObit\Driver Booster\4.0.4\DriverBooster.exe Task: {3919CE2C-4D6F-42E4-99F7-8DDD83401D32} - System32\Tasks\Microsoft\Windows\Multimedia\SoundProvider => C:\Users\Steel Rain\SoundProvider\SoundProvider.exe [2016-10-28] () AlternateDataStreams: C:\Windows\win.ini:s1 [4] EmptyTemp: Reboot: endи сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. 1 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Steel Rain 2 Опубликовано 4 ноября, 2016 Автор Share Опубликовано 4 ноября, 2016 готово Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 4 ноября, 2016 Share Опубликовано 4 ноября, 2016 Что сейчас с запуском? 1 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Steel Rain 2 Опубликовано 4 ноября, 2016 Автор Share Опубликовано 4 ноября, 2016 Все браузеры запускаются, вроде, без проблем. Смущает наличие в настройках поисковых систем "@mail.ru" и "Поиск@mail.ru". Что то из этого явно лишнее... На всякий случай новые логи, не осталось ли каких хвостов? Заранее признателен. CollectionLog-2016.11.04-16.23.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 4 ноября, 2016 Share Опубликовано 4 ноября, 2016 Смущает наличие в настройках поисковых систем "@mail.ru" и "Поиск@mail.ru"Если можете вручную изменить, измените. В завершение: 1. Пожалуйста, запустите adwcleaner.exe В меню File (Файл) - выберите Uninstall (Деинсталлировать). Подтвердите удаление, нажав кнопку: Да. Подробнее читайте в этом руководстве. Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 1 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Steel Rain 2 Опубликовано 4 ноября, 2016 Автор Share Опубликовано 4 ноября, 2016 Сделал SecurityCheck.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 4 ноября, 2016 Share Опубликовано 4 ноября, 2016 --------------------------- [ OtherUtilities ] ---------------------------- 7-Zip 9.20 (x64 edition) v.9.20.00.0 Внимание! Скачать обновления ^Удалите старую версию, скачайте и установите новую.^ --------------------------------- [ IM ] ---------------------------------- Skype™ 7.28 v.7.28.101 Внимание! Скачать обновления ^Необязательное обновление.^ --------------------------------- [ P2P ] --------------------------------- µTorrent v.3.4.9.42606 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента. -------------------------------- [ Java ] --------------------------------- Java 8 Update 111 v.8.0.1110.14 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u112-windows-i586.exe)^ --------------------------- [ AdobeProduction ] --------------------------- Adobe Flash Player 12 ActiveX v.12.0.0.77 Внимание! Скачать обновления Adobe Flash Player 23 NPAPI v.23.0.0.162 Внимание! Скачать обновления Adobe Acrobat XI Pro v.11.0.17 Внимание! Скачать обновления Прочтите и выполните Рекомендации после удаления вредоносного ПО Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.