Zhenya Malenko Опубликовано 21 декабря, 2016 Опубликовано 21 декабря, 2016 Произвольно открывается реклама в Chrome. Сначала открывается ссылка b2.ijquery11.com Затем в браузере появляются вкладки с рекламой Пари-Матч, Вулкан, Фаворит Спорт и др. в диспетчере задач появляются процессы Ghostery, webHelper. Удалить не получилось. Всё это началось после появления на компьютере вируса mail.ru и sputnik. CollectionLog-2016.12.21-23.24.zip
Sandor Опубликовано 22 декабря, 2016 Опубликовано 22 декабря, 2016 Здравствуйте! Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFileF('c:\program files (x86)\ghostery storage server', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0); QuarantineFileF('c:\programdata\timetasks', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0); QuarantineFileF('c:\program files (x86)\zaxar', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0); QuarantineFile('C:\Program Files (x86)\Ghostery Storage Server\ghstore.exe', ''); QuarantineFile('C:\ProgramData\TimeTasks\timetasks.exe', ''); QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe', ''); QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', ''); ExecuteFile('schtasks.exe', '/delete /TN "InternetED" /F', 0, 15000, true); DeleteFile('C:\Program Files (x86)\Ghostery Storage Server\ghstore.exe', '32'); DeleteFile('C:\ProgramData\TimeTasks\timetasks.exe', '32'); DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe', '32'); DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '32'); DeleteFileMask('c:\program files (x86)\ghostery storage server', '*', true); DeleteFileMask('c:\programdata\timetasks', '*', true); DeleteFileMask('c:\program files (x86)\zaxar', '*', true); DeleteDirectory('c:\program files (x86)\ghostery storage server'); DeleteDirectory('c:\programdata\timetasks'); DeleteDirectory('c:\program files (x86)\zaxar'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Timestasks'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarGameBrowser'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarLoader'); DeleteService('Ghostery Storage Server'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Файл CheckBrowserLnk.log из папки ...\AutoLogger\CheckBrowserLnkперетащите на утилиту ClearLNK. Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению. Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
Zhenya Malenko Опубликовано 22 декабря, 2016 Автор Опубликовано 22 декабря, 2016 KLAN-5553514936 thank you for sending a file for analysis to the Anti-Virus Lab.Kaspersky Anti-Virus has scanned files.No malware detected in files:quarantine.zipWe will thoroughly analyze files. If the result of the analysis is different from this scan result, you will be notified via email within 5 days. ClearLNK-22.12.2016_23-30.log
Sandor Опубликовано 23 декабря, 2016 Опубликовано 23 декабря, 2016 Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.Это тоже, пожалуйста.
Zhenya Malenko Опубликовано 23 декабря, 2016 Автор Опубликовано 23 декабря, 2016 Вкладки с рекламой больше не открываются. CollectionLog-2016.12.23-21.48.zip
mike 1 Опубликовано 25 декабря, 2016 Опубликовано 25 декабря, 2016 Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе. Запустите его (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Сканировать" и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве.
Zhenya Malenko Опубликовано 25 декабря, 2016 Автор Опубликовано 25 декабря, 2016 Прикрепляю отчёт AdwCleanerS0.txt
Sandor Опубликовано 26 декабря, 2016 Опубликовано 26 декабря, 2016 1. Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора). Нажмите кнопку "Scan" ("Сканировать"). По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить: Политики IE Политики Chrome и нажмите Ok. Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Подробнее читайте в этом руководстве. 2. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве.
Zhenya Malenko Опубликовано 26 декабря, 2016 Автор Опубликовано 26 декабря, 2016 готово AdwCleanerC0.txt Addition.txt FRST.txt Shortcut.txt
Sandor Опубликовано 27 декабря, 2016 Опубликовано 27 декабря, 2016 Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: start CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%" CreateRestorePoint: CHR StartupUrls: Default -> "hxxp://www.google.com/","hxxp://mail.ru/cnt/10445?gp=818410" CHR Extension: (Find my tab) - C:\Users\Malenko.E\AppData\Local\Google\Chrome\User Data\Default\Extensions\jbdchdlbinnjmaejodjagnlkekffpdin [2016-12-21] OPR Extension: (Ultimate Discounter) - C:\Users\Malenko.E\AppData\Roaming\Opera Software\Opera Stable\Extensions\hnbekdjpdldejohkmdonijjglpohocgo [2016-03-20] OPR Extension: (Find my tab) - C:\Users\Malenko.E\AppData\Roaming\Opera Software\Opera Stable\Extensions\jbdchdlbinnjmaejodjagnlkekffpdin [2016-12-21] EmptyTemp: Reboot: endи сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти