Lefard 0 Опубликовано 21 января, 2017 Share Опубликовано 21 января, 2017 Здравствуйте, здесь уже был подобная тема: https://forum.kasperskyclub.ru/index.php?showtopic=53326 как удалить этот вирус в нашей ситуации, какие логи нужны? Проверял весь комп утилитой касперского virus removal tool, нашли 2 вредоноса, удалили, после перезагрузки все вернулось. Краткое описание из ссылки выше: "Вирус добавляет рекламу в открываемые страницы, спонтанно открывает новые страницы с рекламой, подменяет стартовую страницу и поисковую систему в Chome, IE и Firefox. Плагин можно удалить, но он снова появляется при запуске браузера." Цитата Ссылка на сообщение Поделиться на другие сайты
Soft 1 505 Опубликовано 21 января, 2017 Share Опубликовано 21 января, 2017 Порядок оформления запроса о помощи Цитата Ссылка на сообщение Поделиться на другие сайты
Lefard 0 Опубликовано 22 января, 2017 Автор Share Опубликовано 22 января, 2017 Логи прикрепляю. Порядок оформления запроса о помощи спасибо, прикрепил логи. CollectionLog-2017.01.22-16.40.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 22 января, 2017 Share Опубликовано 22 января, 2017 Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantine; TerminateProcessByName('c:\users\Слава-яна\appdata\roaming\tablacusapp\tablacusapp.exe'); QuarantineFile('c:\users\Слава-яна\appdata\roaming\tablacusapp\tablacusapp.exe',''); QuarantineFile('C:\ProgramData\Utatity\* ',' '); DeleteFileMask('C:\ProgramData\Utatity\ ','* ', true,' '); DeleteDirectory('C:\ProgramData\Utatity\ ',' '); DeleteFile('C:\Users\Слава-яна\AppData\Roaming\TablacusApp\TablacusApp.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','TablacusApp'); DelAutorunByFileName('C:\ProgramData\Utatity\Danlux.dll'); DelAutorunByFileName('C:\ProgramData\Utatity\Hottam.dll'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin DeleteFile('Qurantine.zip',''); ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через портал Kaspersky Online Scanner. Порядок действий на портале Kaspersky Online Scanner:: 1) Нажмите "Выбрать файл" и укажите путь к архиву. 2) После проверки нажмите на "Не согласиться с результатом", выберите "Получить уведомление о доставке файла" и укажите адрес своей электронной почты. 3) Нажмите "Отправить". Полученный через электронную почту ответ сообщите в этой теме. Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть): O4 - HKCU\..\Run: [TablacusApp] "C:\Users\Слава-яна\AppData\Roaming\TablacusApp\TablacusApp.exe" O20 - AppInit_DLLs: C:\ProgramData\Utatity\Hottam.dll O20-32 - AppInit_DLLs: C:\ProgramData\Utatity\Danlux.dll Сделайте новые логи по правилам (только пункт 2). + лог AdwCleaner http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635158 Цитата Ссылка на сообщение Поделиться на другие сайты
Lefard 0 Опубликовано 22 января, 2017 Автор Share Опубликовано 22 января, 2017 Результат от касперского: Спасибо, что отправили файл на исследование в Антивирусную Лабораторию.Антивирус Касперского проверил файлы.Вредоносные программы не найдены в файлах:tablacusapp.exeConDonfax.binconf.configConfig.xmlDong-Lax.datGravelight.exe.configmd.xmlRuntax.binTampRannix.binuninstall.datUtatity.d.datZoneity.binМы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней. В HijackThis этих строк не нашел. Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantine; TerminateProcessByName('c:\users\Слава-яна\appdata\roaming\tablacusapp\tablacusapp.exe'); QuarantineFile('c:\users\Слава-яна\appdata\roaming\tablacusapp\tablacusapp.exe',''); QuarantineFile('C:\ProgramData\Utatity\* ',' '); DeleteFileMask('C:\ProgramData\Utatity\ ','* ', true,' '); DeleteDirectory('C:\ProgramData\Utatity\ ',' '); DeleteFile('C:\Users\Слава-яна\AppData\Roaming\TablacusApp\TablacusApp.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','TablacusApp'); DelAutorunByFileName('C:\ProgramData\Utatity\Danlux.dll'); DelAutorunByFileName('C:\ProgramData\Utatity\Hottam.dll'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin DeleteFile('Qurantine.zip',''); ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через портал Kaspersky Online Scanner. Порядок действий на портале Kaspersky Online Scanner:: 1) Нажмите "Выбрать файл" и укажите путь к архиву. 2) После проверки нажмите на "Не согласиться с результатом", выберите "Получить уведомление о доставке файла" и укажите адрес своей электронной почты. 3) Нажмите "Отправить". Полученный через электронную почту ответ сообщите в этой теме. Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть): O4 - HKCU\..\Run: [TablacusApp] "C:\Users\Слава-яна\AppData\Roaming\TablacusApp\TablacusApp.exe" O20 - AppInit_DLLs: C:\ProgramData\Utatity\Hottam.dll O20-32 - AppInit_DLLs: C:\ProgramData\Utatity\Danlux.dll Сделайте новые логи по правилам (только пункт 2). + лог AdwCleaner http://forum.kasperskyclub.ru/index.php?showtopic=7611#entry635158 CollectionLog-2017.01.22-17.33.zip AdwCleanerS1.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 22 января, 2017 Share Опубликовано 22 января, 2017 (изменено) удалите все найденное в AdwCleaner(можете оставить Mail.ru)http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635160новый лог приложите Изменено 22 января, 2017 пользователем Roman_Five Цитата Ссылка на сообщение Поделиться на другие сайты
Lefard 0 Опубликовано 22 января, 2017 Автор Share Опубликовано 22 января, 2017 (изменено) Пока все так же, плагин сам устанавливается и перенаправляет поисковые запросы. удалите все найденное в AdwCleaner(можете оставить Mail.ru)http://forum.kasperskyclub.ru/index.php?showtopic=7611#entry635160новый лог приложите AdwCleanerC0.txt CollectionLog-2017.01.22-18.06.zip Изменено 22 января, 2017 пользователем Lefard Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 23 января, 2017 Share Опубликовано 23 января, 2017 Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
Lefard 0 Опубликовано 23 января, 2017 Автор Share Опубликовано 23 января, 2017 Готово. Addition.txt FRST.txt Shortcut.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 23 января, 2017 Share Опубликовано 23 января, 2017 (изменено) Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFile('C:\ProgramData\Utatitys\ff.NT', ''); QuarantineFile('C:\ProgramData\Utatitys\ff.HP', ''); DeleteFile('C:\ProgramData\Utatitys\ff.HP', '32'); DeleteFile('C:\ProgramData\Utatitys\ff.NT', '32'); ExecuteSysClean; CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: start CreateRestorePoint: GroupPolicy: Restriction <======= ATTENTION GroupPolicy\User: Restriction <======= ATTENTION Toolbar: HKU\S-1-5-21-652497229-1462853200-1883719227-1000 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File Toolbar: HKU\S-1-5-21-652497229-1462853200-1883719227-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File Toolbar: HKU\S-1-5-21-652497229-1462853200-1883719227-1000 -> No Name - {093F479D-712E-46CD-9E06-62E734A05F68} - No File FF NewTab: Mozilla\Firefox\Profiles\nahd6ha2.default -> C:\ProgramData\Utatitys\ff.NT FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> C:\ProgramData\Utatitys\ff.HP FF Keyword.URL: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7BF1DFAA9D-CFBD-4413-980F-F8014563A193%7D&gp=811022 FF Extension: (Домашняя страница Mail.Ru) - C:\Users\Слава-яна\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru [2017-01-20] FF Extension: (Поиск@Mail.Ru) - C:\Users\Слава-яна\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru [2017-01-16] FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\Слава-яна\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2017-01-16] CHR Extension: (Fast search) - C:\Users\Слава-яна\AppData\Local\Google\Chrome\User Data\Default\Extensions\pbdpajcdgknpendpmecafmopknefafha [2017-01-16] OPR Extension: (Fast search) - C:\Users\Слава-яна\AppData\Roaming\Opera Software\Opera Stable\Extensions\pbdpajcdgknpendpmecafmopknefafha [2017-01-16] 2017-01-21 20:47 - 2017-01-21 20:47 - 00000000 ____D C:\Users\Слава-яна\AppData\Local\Tempzxpsignbaa330e23ac3de23 2017-01-21 20:47 - 2017-01-21 20:47 - 00000000 ____D C:\Users\Слава-яна\AppData\Local\Tempzxpsign378d3f505a291383 2016-06-05 16:35 - 2016-06-05 16:35 - 6859776 _____ () C:\Users\Слава-яна\AppData\Roaming\agent.dat 2016-06-05 16:35 - 2016-06-05 16:35 - 0067776 _____ () C:\Users\Слава-яна\AppData\Roaming\Config.xml 2016-06-05 16:34 - 2016-06-05 16:34 - 0011568 _____ () C:\Users\Слава-яна\AppData\Roaming\InstallationConfiguration.xml 2016-06-05 16:34 - 2016-06-05 16:34 - 0128512 _____ () C:\Users\Слава-яна\AppData\Roaming\Installer.dat 2016-06-05 16:35 - 2016-06-05 16:35 - 0005568 _____ () C:\Users\Слава-яна\AppData\Roaming\md.xml 2016-06-05 16:35 - 2016-06-05 16:35 - 0126464 _____ () C:\Users\Слава-яна\AppData\Roaming\noah.dat 2016-06-05 16:35 - 2016-06-05 16:35 - 1756999 _____ () C:\Users\Слава-яна\AppData\Roaming\Zoneanjob.tst Task: {DEEF8768-0E0B-4359-8DE8-091AE2832063} - \cvc -> No File <==== ATTENTION AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxldtlfudivq`qsp`26hfm [0] AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxldtlfudivq`qsp`27hfm [0] AlternateDataStreams: C:\Users\Все пользователи\Reprise:wupeogjxldtlfudivq`qsp`26hfm [0] AlternateDataStreams: C:\Users\Все пользователи\Reprise:wupeogjxldtlfudivq`qsp`27hfm [0] FirewallRules: [{D5D65A6D-6CD9-4E64-911C-6477153D0E96}] => C:\Users\Слава-яна\AppData\Local\Amigo\Application\amigo.exe EmptyTemp: Reboot: endи сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Изменено 23 января, 2017 пользователем Sandor Цитата Ссылка на сообщение Поделиться на другие сайты
Lefard 0 Опубликовано 23 января, 2017 Автор Share Опубликовано 23 января, 2017 Сделал. Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 23 января, 2017 Share Опубликовано 23 января, 2017 Карантин не дошел. Если еще не удалили, выложите на файлообменник, ссылку на скачивание мне в личку. Что с проблемой? Цитата Ссылка на сообщение Поделиться на другие сайты
Lefard 0 Опубликовано 23 января, 2017 Автор Share Опубликовано 23 января, 2017 (изменено) Проблема осталась, в опере сам устанавливается fast search и происходит перенаправление поискового запроса на мейл-поисковик... Изменено 23 января, 2017 пользователем Lefard Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 23 января, 2017 Share Опубликовано 23 января, 2017 Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine safezone.cc (замените на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.Речь шла об этом карантине, а не о результате работы FRST, который следовало прикрепить к сообщению. Проблема осталась, в опере сам устанавливаетсяСохраните нужные закладки в Опере и удалите (желательно с зачисткой, например, через Revo Uninstall) Скачайте и установите заново. Цитата Ссылка на сообщение Поделиться на другие сайты
Lefard 0 Опубликовано 24 января, 2017 Автор Share Опубликовано 24 января, 2017 (изменено) Проблема есть не только в Опере, но и в Хроме, Яндекс просто блокирует это расширение, как подозрительное. После удаления Оперы с помощью Рево Анинстал с зачисткой (выбирал все и удалял), в хроме расширение перестало устанавливаться, т.е. проблема решилась, но как только снова скачал и поставил Оперу снова, проблема вернулась.... quarantine.zip Изменено 24 января, 2017 пользователем Lefard Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.