Мария Швецова Опубликовано 3 января, 2017 Опубликовано 3 января, 2017 Здравствуйте. В браузере Мозилла примерно раз в 30-60 минут сама по себе открывается вкладка именуемая famousaactors.ru/syforgesm , после чего в этой вкладке появляется различная реклама фильмов, ставок на футбол и прочего. Компьютер был просканирован антивирусом Dr. Web, но никаких вредоносных программ обнаружено не было.Надеюсь на вашу помощь. Заранее спасибо. CollectionLog-2017.01.04-01.34.zip
SQ Опубликовано 3 января, 2017 Опубликовано 3 января, 2017 Здравствуйте,Удалите Zaxar, TimeTasks через установку программ в панели управленияHiJackThis (из каталога автологгера) профиксить O4 - HKCU\..\Run: [fqawqlkoye] explorer "http://chatozov.ru/?utm_source=uoua03n&utm_content=1f1a7d4e6784534601121b44b7be8052&utm_term=1A8CA9382EB41877E1B0063560F5640F&utm_d=20160714" O4-32 - HKLM\..\Run: [Timestasks] C:\ProgramData\TimeTasks\timetasks.exe" O4-32 - HKLM\..\Run: [ZaxarGameBrowser] "C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe" -s O4-32 - HKLM\..\Run: [ZaxarLoader] "C:\Program Files (x86)\Zaxar\ZaxarLoader.exe" /verysilent O18 - Protocol: mso-minsb.16 - {3459B272-CC19-4448-86C9-DDC3B4B2FAD3} - (no file) O18 - Protocol: osf - {D924BDC6-C83A-4BD5-90D0-095128A113D1} - (no file) O18 - Protocol: osf.16 - {5504BE45-A83B-4808-900A-3A5C36E7F77A} - (no file) O22 - ScheduledTask: (Ready) famousaactors - {root} - "C:\Program Files (x86)\Mozilla Firefox\firefox.exe" http://famousaactors.ru/syforgesm O22 - ScheduledTask: (Ready) fupdate - {root} - C:\Users\Женя\AppData\Local\fupdate\fupdate.exe (file missing) O22 - ScheduledTask: (Ready) nethost task - {root} - C:\Users\Женя\AppData\Local\SystemDir\nethost.exe (file missing) O22 - ScheduledTask: (Ready) syslog - {root} - C:\Users\Женя\AppData\Local\syslog\syslog.exe (file missing) AVZ выполнить следующий скрипт.Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора. begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); DelBHO('{2BC46CFA-4B00-4193-A7BD-6AD1D0BCB5BC}'); QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe',''); QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe',''); QuarantineFile('C:\ProgramData\TimeTasks\timetasks.exe',''); QuarantineFile('C:\Users\Женя\AppData\LocalLow\SearchGo\searchgo.dll',''); QuarantineFile('C:\Users\Женя\AppData\Local\Kometa\StartButton\kometastartvx64.exe',''); QuarantineFile('C:\Users\Женя\AppData\Local\SearchGo\searchgo.exe',''); QuarantineFile('C:\Users\Женя\AppData\Local\syslog\syslog.exe',''); QuarantineFile('C:\Users\Женя\AppData\Local\SystemDir\nethost.exe',''); DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe','32'); DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','32'); DeleteFile('C:\ProgramData\TimeTasks\timetasks.exe','32'); DeleteFile('C:\Users\Женя\AppData\LocalLow\SearchGo\searchgo.dll','32'); DeleteFile('C:\Users\Женя\AppData\Local\fupdate\fupdate.exe','32'); DeleteFile('C:\Users\Женя\AppData\Local\Kometa\StartButton\kometastartvx64.exe','32'); DeleteFile('C:\Users\Женя\AppData\Local\SearchGo\searchgo.exe','32'); DeleteFile('C:\Users\Женя\AppData\Local\syslog\syslog.exe','32'); DeleteFile('C:\Users\Женя\AppData\Local\SystemDir\nethost.exe','32'); DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZaxarGameBrowser\ZaxarUpdate.lnk','32'); ExecuteFile('schtasks.exe', '/delete /TN "fupdate" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "nethost task" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "SearchGo Task" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "syslog" /F', 0, 15000, true); DeleteFileMask('C:\Users\Женя\AppData\Local\SystemDir', '*', true, ' '); DeleteDirectory('C:\Users\Женя\AppData\Local\SystemDir'); DeleteFileMask('C:\Users\Женя\AppData\Local\syslog', '*', true, ' '); DeleteDirectory('C:\Users\Женя\AppData\Local\syslog'); DeleteFileMask('C:\Users\Женя\AppData\Local\SearchGo', '*', true, ' '); DeleteDirectory('C:\Users\Женя\AppData\Local\SearchGo'); DeleteFileMask('C:\Users\Женя\AppData\Local\fupdate', '*', true, ' '); DeleteDirectory('C:\Users\Женя\AppData\Local\fupdate'); DeleteFileMask('C:\ProgramData\TimeTasks', '*', true, ' '); DeleteDirectory('C:\ProgramData\TimeTasks'); DeleteFileMask('C:\Program Files (x86)\Zaxar', '*', true, ' '); DeleteDirectory('C:\Program Files (x86)\Zaxar'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','fqawqlkoye'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Timestasks'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarGameBrowser'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится.После перезагрузки:- Выполните в AVZ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.1. В заголовке письма напишите "Запрос на исследование вредоносного файла".2. В письме напишите "Выполняется запрос хэлпера".3. Прикрепите файл карантина и нажмите "Отправить"4. Полученный ответ сообщите здесь (с указанием номера KLAN)- Подготовьте лог AdwCleaner и приложите его в теме.
Мария Швецова Опубликовано 4 января, 2017 Автор Опубликовано 4 января, 2017 Надеюсь, это именно то, что вы просили. AdwCleanerS0.txt
SQ Опубликовано 4 января, 2017 Опубликовано 4 января, 2017 Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
Мария Швецова Опубликовано 4 января, 2017 Автор Опубликовано 4 января, 2017 Вот отчёт. AdwCleanerC0.txt
SQ Опубликовано 4 января, 2017 Опубликовано 4 января, 2017 - Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Мария Швецова Опубликовано 4 января, 2017 Автор Опубликовано 4 января, 2017 Вот. Addition.txt FRST.txt
SQ Опубликовано 4 января, 2017 Опубликовано 4 января, 2017 Закройте и сохраните все открытые приложения. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:CreateRestorePoint: CloseProcesses: HKU\S-1-5-21-2489097010-3408441926-936255278-1000\...\Run: [mailruhomesearch] => "C:\Users\Женя\AppData\Local\Mail.Ru\Sputnik\ptls\mailruhomesearch.exe" --pr_deferred CHR Extension: (Tampermonkey) - C:\Users\Женя\AppData\Local\Google\Chrome\User Data\Default\Extensions\dhdgffkkebhmkfjojejmpbldmpobfkfo [2017-01-02] CHR HKU\S-1-5-21-2489097010-3408441926-936255278-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [holihdldfgekmjfdhdinpfjbfnhcphia] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [jkfblcbjfojmgagikhldeppgmgdpjkpl] - hxxp://clients2.google.com/service/update2/crx OPR Extension: (Tampermonkey) - C:\Users\Женя\AppData\Roaming\Opera Software\Opera Stable\Extensions\dhdgffkkebhmkfjojejmpbldmpobfkfo [2017-01-02] U3 idsvc; no ImagePath 2017-01-02 00:23 - 2017-01-02 00:23 - 00003688 _____ C:\WINDOWS\System32\Tasks\famousaactors 2016-12-24 16:36 - 2017-01-02 01:33 - 00000000 ____D C:\Program Files (x86)\Ghostery Storage Server Folder: C:\Users\Женя\Searches 2015-12-26 19:14 - 2015-12-26 19:14 - 0000000 _____ () C:\Users\Женя\AppData\Local\{0BC29423-C42D-4C4A-89AB-006E9898BFEC} 2016-03-02 14:31 - 2016-03-02 14:32 - 0000000 _____ () C:\Users\Женя\AppData\Local\{CAE78623-455C-4D3F-9446-2C89CEDFC0FE} C:\Users\Женя\AppData\Local\Temp\Setup-yabrowser.exe C:\Users\Женя\AppData\Local\Temp\Uninstall.exe Task: {A31D4201-5FAC-4903-8283-8CF07C82A97F} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> No File <==== ATTENTION Task: {D4B85823-05FC-4FDD-8A4E-5A2451870460} - System32\Tasks\famousaactors => Firefox.exe hxxp://famousaactors.ru/syforgesm FirewallRules: [{40A5AAD2-6B82-4973-A2D8-DA083B085E6F}] => C:\Program Files\UBar\ubar.exe Reboot: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен.
nikitosec007 Опубликовано 5 января, 2017 Опубликовано 5 января, 2017 Может я что-то не так делаю, но вобщем раз эта та же тема решил написать сдесь. У меня такая же проблема только она в опере. И Zakhar у меня не установлен.
Sandor Опубликовано 5 января, 2017 Опубликовано 5 января, 2017 раз эта та же тема решил написать сдесьНе правильно. Создайте свою тему, прочтите и выполните Порядок оформления запроса о помощи 1
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти