Lefard Опубликовано 21 января, 2017 Опубликовано 21 января, 2017 Здравствуйте, здесь уже был подобная тема: https://forum.kasperskyclub.ru/index.php?showtopic=53326 как удалить этот вирус в нашей ситуации, какие логи нужны? Проверял весь комп утилитой касперского virus removal tool, нашли 2 вредоноса, удалили, после перезагрузки все вернулось. Краткое описание из ссылки выше: "Вирус добавляет рекламу в открываемые страницы, спонтанно открывает новые страницы с рекламой, подменяет стартовую страницу и поисковую систему в Chome, IE и Firefox. Плагин можно удалить, но он снова появляется при запуске браузера."
Lefard Опубликовано 22 января, 2017 Автор Опубликовано 22 января, 2017 Логи прикрепляю. Порядок оформления запроса о помощи спасибо, прикрепил логи. CollectionLog-2017.01.22-16.40.zip
Roman_Five Опубликовано 22 января, 2017 Опубликовано 22 января, 2017 Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantine; TerminateProcessByName('c:\users\Слава-яна\appdata\roaming\tablacusapp\tablacusapp.exe'); QuarantineFile('c:\users\Слава-яна\appdata\roaming\tablacusapp\tablacusapp.exe',''); QuarantineFile('C:\ProgramData\Utatity\* ',' '); DeleteFileMask('C:\ProgramData\Utatity\ ','* ', true,' '); DeleteDirectory('C:\ProgramData\Utatity\ ',' '); DeleteFile('C:\Users\Слава-яна\AppData\Roaming\TablacusApp\TablacusApp.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','TablacusApp'); DelAutorunByFileName('C:\ProgramData\Utatity\Danlux.dll'); DelAutorunByFileName('C:\ProgramData\Utatity\Hottam.dll'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin DeleteFile('Qurantine.zip',''); ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через портал Kaspersky Online Scanner. Порядок действий на портале Kaspersky Online Scanner:: 1) Нажмите "Выбрать файл" и укажите путь к архиву. 2) После проверки нажмите на "Не согласиться с результатом", выберите "Получить уведомление о доставке файла" и укажите адрес своей электронной почты. 3) Нажмите "Отправить". Полученный через электронную почту ответ сообщите в этой теме. Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть): O4 - HKCU\..\Run: [TablacusApp] "C:\Users\Слава-яна\AppData\Roaming\TablacusApp\TablacusApp.exe" O20 - AppInit_DLLs: C:\ProgramData\Utatity\Hottam.dll O20-32 - AppInit_DLLs: C:\ProgramData\Utatity\Danlux.dll Сделайте новые логи по правилам (только пункт 2). + лог AdwCleaner http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635158
Lefard Опубликовано 22 января, 2017 Автор Опубликовано 22 января, 2017 Результат от касперского: Спасибо, что отправили файл на исследование в Антивирусную Лабораторию.Антивирус Касперского проверил файлы.Вредоносные программы не найдены в файлах:tablacusapp.exeConDonfax.binconf.configConfig.xmlDong-Lax.datGravelight.exe.configmd.xmlRuntax.binTampRannix.binuninstall.datUtatity.d.datZoneity.binМы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней. В HijackThis этих строк не нашел. Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantine; TerminateProcessByName('c:\users\Слава-яна\appdata\roaming\tablacusapp\tablacusapp.exe'); QuarantineFile('c:\users\Слава-яна\appdata\roaming\tablacusapp\tablacusapp.exe',''); QuarantineFile('C:\ProgramData\Utatity\* ',' '); DeleteFileMask('C:\ProgramData\Utatity\ ','* ', true,' '); DeleteDirectory('C:\ProgramData\Utatity\ ',' '); DeleteFile('C:\Users\Слава-яна\AppData\Roaming\TablacusApp\TablacusApp.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','TablacusApp'); DelAutorunByFileName('C:\ProgramData\Utatity\Danlux.dll'); DelAutorunByFileName('C:\ProgramData\Utatity\Hottam.dll'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin DeleteFile('Qurantine.zip',''); ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через портал Kaspersky Online Scanner. Порядок действий на портале Kaspersky Online Scanner:: 1) Нажмите "Выбрать файл" и укажите путь к архиву. 2) После проверки нажмите на "Не согласиться с результатом", выберите "Получить уведомление о доставке файла" и укажите адрес своей электронной почты. 3) Нажмите "Отправить". Полученный через электронную почту ответ сообщите в этой теме. Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть): O4 - HKCU\..\Run: [TablacusApp] "C:\Users\Слава-яна\AppData\Roaming\TablacusApp\TablacusApp.exe" O20 - AppInit_DLLs: C:\ProgramData\Utatity\Hottam.dll O20-32 - AppInit_DLLs: C:\ProgramData\Utatity\Danlux.dll Сделайте новые логи по правилам (только пункт 2). + лог AdwCleaner http://forum.kasperskyclub.ru/index.php?showtopic=7611#entry635158 CollectionLog-2017.01.22-17.33.zip AdwCleanerS1.txt
Roman_Five Опубликовано 22 января, 2017 Опубликовано 22 января, 2017 (изменено) удалите все найденное в AdwCleaner(можете оставить Mail.ru)http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635160новый лог приложите Изменено 22 января, 2017 пользователем Roman_Five
Lefard Опубликовано 22 января, 2017 Автор Опубликовано 22 января, 2017 (изменено) Пока все так же, плагин сам устанавливается и перенаправляет поисковые запросы. удалите все найденное в AdwCleaner(можете оставить Mail.ru)http://forum.kasperskyclub.ru/index.php?showtopic=7611#entry635160новый лог приложите AdwCleanerC0.txt CollectionLog-2017.01.22-18.06.zip Изменено 22 января, 2017 пользователем Lefard
Sandor Опубликовано 23 января, 2017 Опубликовано 23 января, 2017 Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве.
Lefard Опубликовано 23 января, 2017 Автор Опубликовано 23 января, 2017 Готово. Addition.txt FRST.txt Shortcut.txt
Sandor Опубликовано 23 января, 2017 Опубликовано 23 января, 2017 (изменено) Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFile('C:\ProgramData\Utatitys\ff.NT', ''); QuarantineFile('C:\ProgramData\Utatitys\ff.HP', ''); DeleteFile('C:\ProgramData\Utatitys\ff.HP', '32'); DeleteFile('C:\ProgramData\Utatitys\ff.NT', '32'); ExecuteSysClean; CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: start CreateRestorePoint: GroupPolicy: Restriction <======= ATTENTION GroupPolicy\User: Restriction <======= ATTENTION Toolbar: HKU\S-1-5-21-652497229-1462853200-1883719227-1000 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File Toolbar: HKU\S-1-5-21-652497229-1462853200-1883719227-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File Toolbar: HKU\S-1-5-21-652497229-1462853200-1883719227-1000 -> No Name - {093F479D-712E-46CD-9E06-62E734A05F68} - No File FF NewTab: Mozilla\Firefox\Profiles\nahd6ha2.default -> C:\ProgramData\Utatitys\ff.NT FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> C:\ProgramData\Utatitys\ff.HP FF Keyword.URL: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7BF1DFAA9D-CFBD-4413-980F-F8014563A193%7D&gp=811022 FF Extension: (Домашняя страница Mail.Ru) - C:\Users\Слава-яна\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru [2017-01-20] FF Extension: (Поиск@Mail.Ru) - C:\Users\Слава-яна\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru [2017-01-16] FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\Слава-яна\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2017-01-16] CHR Extension: (Fast search) - C:\Users\Слава-яна\AppData\Local\Google\Chrome\User Data\Default\Extensions\pbdpajcdgknpendpmecafmopknefafha [2017-01-16] OPR Extension: (Fast search) - C:\Users\Слава-яна\AppData\Roaming\Opera Software\Opera Stable\Extensions\pbdpajcdgknpendpmecafmopknefafha [2017-01-16] 2017-01-21 20:47 - 2017-01-21 20:47 - 00000000 ____D C:\Users\Слава-яна\AppData\Local\Tempzxpsignbaa330e23ac3de23 2017-01-21 20:47 - 2017-01-21 20:47 - 00000000 ____D C:\Users\Слава-яна\AppData\Local\Tempzxpsign378d3f505a291383 2016-06-05 16:35 - 2016-06-05 16:35 - 6859776 _____ () C:\Users\Слава-яна\AppData\Roaming\agent.dat 2016-06-05 16:35 - 2016-06-05 16:35 - 0067776 _____ () C:\Users\Слава-яна\AppData\Roaming\Config.xml 2016-06-05 16:34 - 2016-06-05 16:34 - 0011568 _____ () C:\Users\Слава-яна\AppData\Roaming\InstallationConfiguration.xml 2016-06-05 16:34 - 2016-06-05 16:34 - 0128512 _____ () C:\Users\Слава-яна\AppData\Roaming\Installer.dat 2016-06-05 16:35 - 2016-06-05 16:35 - 0005568 _____ () C:\Users\Слава-яна\AppData\Roaming\md.xml 2016-06-05 16:35 - 2016-06-05 16:35 - 0126464 _____ () C:\Users\Слава-яна\AppData\Roaming\noah.dat 2016-06-05 16:35 - 2016-06-05 16:35 - 1756999 _____ () C:\Users\Слава-яна\AppData\Roaming\Zoneanjob.tst Task: {DEEF8768-0E0B-4359-8DE8-091AE2832063} - \cvc -> No File <==== ATTENTION AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxldtlfudivq`qsp`26hfm [0] AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxldtlfudivq`qsp`27hfm [0] AlternateDataStreams: C:\Users\Все пользователи\Reprise:wupeogjxldtlfudivq`qsp`26hfm [0] AlternateDataStreams: C:\Users\Все пользователи\Reprise:wupeogjxldtlfudivq`qsp`27hfm [0] FirewallRules: [{D5D65A6D-6CD9-4E64-911C-6477153D0E96}] => C:\Users\Слава-яна\AppData\Local\Amigo\Application\amigo.exe EmptyTemp: Reboot: endи сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Изменено 23 января, 2017 пользователем Sandor
Sandor Опубликовано 23 января, 2017 Опубликовано 23 января, 2017 Карантин не дошел. Если еще не удалили, выложите на файлообменник, ссылку на скачивание мне в личку. Что с проблемой?
Lefard Опубликовано 23 января, 2017 Автор Опубликовано 23 января, 2017 (изменено) Проблема осталась, в опере сам устанавливается fast search и происходит перенаправление поискового запроса на мейл-поисковик... Изменено 23 января, 2017 пользователем Lefard
Sandor Опубликовано 23 января, 2017 Опубликовано 23 января, 2017 Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine safezone.cc (замените на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.Речь шла об этом карантине, а не о результате работы FRST, который следовало прикрепить к сообщению. Проблема осталась, в опере сам устанавливаетсяСохраните нужные закладки в Опере и удалите (желательно с зачисткой, например, через Revo Uninstall) Скачайте и установите заново.
Lefard Опубликовано 24 января, 2017 Автор Опубликовано 24 января, 2017 (изменено) Проблема есть не только в Опере, но и в Хроме, Яндекс просто блокирует это расширение, как подозрительное. После удаления Оперы с помощью Рево Анинстал с зачисткой (выбирал все и удалял), в хроме расширение перестало устанавливаться, т.е. проблема решилась, но как только снова скачал и поставил Оперу снова, проблема вернулась.... quarantine.zip Изменено 24 января, 2017 пользователем Lefard
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти