Andrey SanJ 0 Опубликовано 15 марта, 2017 Share Опубликовано 15 марта, 2017 В январе скачивал аудиодрайвер по переводу аналогового звукового сигнала в цифровой для программы guitarrig не помню с какого сайта (первого попавшегося). Тут же весь рабочий стол оказался усеян ярлыками игр от танков до игры престолов. Тут же полезли порнобаннеры. Деинсталировал драйвер. Скачал Dr.Web и касперского. Прогнал, полечил. Баннеры исчезли, ярлыки тоже. Однако в феврале все чаще и чаще стал замечать - хром упорно открывает яндекс для поиска. Периодически открывает новую страницу - сначала аналогичную открытой, потом превращает ее в "скачайте поисковик алиэкспресс" "установите программу по исправлению ошибок Виндоус" (к сожалению конкретно названия сайтов не скажу, как назло сейчас - молчит) или какие нибудь рекламы от вулкана до рунеток. Теперь Хром стал делать это регулярно. При загрузке винды ругается на невозможность запустить phytonw - вчера при запуске в защищенном режиме др. Веба он мне нашел еще две угрозы связанные с phytonw, но ситуация не поменялась. Сегодня прогнал через CCleaner. Не помогло. Почитал на форумах, попробовал запустить не из панели задач хром, а из ярлыка - (проверил путь ярлыка, все в порядке) - пару минут хром открывал гул, доп. сайты не лезли. После перезагрузки - что с панели задач, что с ярлыка - опять яндекс + куча всего. Полез в Эксплорер. В эксплорере тоже. Например сейчас самопроизвольно вылез сайт вот с таким адресом http://otrkv.com/mc/total7.htm?ip=109.252.36.250&os=Windows&browser=Internet%20Explorer&isp=OJS%20Moscow%20city%20telephone%20network&voluumdata=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&domain=remontka.pro&target=technology%20&%20computing%20>%20pc%20support&pid=2204&zone=87733860&channel=50&offer={offer}&domain_id=78266740&hindsight=0&bid=0.002&click_id=aa32176388724f21befc6a2e71b014bc некий Scan Guard Хром почистил инструментом чистки хрома с гугловского сайта. Так он теперь вообще грузит страницы через пень-колоду, регулярно сообщая об обрывах соединения. И еще, при просмотрах видео из интернета, периодически возникает ощущение, что что-то параллельно грузиться, (видео тормозит) и звук в колонках или наушниках начинает дребезжать, будто перегруз идет. Лог прикрепляю. CollectionLog-2017.03.15-22.41.zip Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 16 марта, 2017 Share Опубликовано 16 марта, 2017 Здравствуйте,HiJackThis (из каталога автологгера) профиксить O17 - HKLM\System\CSS\Services\Tcpip\..\{6842D8D2-5CEA-4A1B-868D-F5DABF2E1A91}: NameServer = 82.163.142.178 O17 - HKLM\System\CSS\Services\Tcpip\..\{6842D8D2-5CEA-4A1B-868D-F5DABF2E1A91}: NameServer = 82.163.143.176 O17 - HKLM\System\CSS\Services\Tcpip\..\{D060188E-3900-43D9-8FBE-72215C5282FC}: NameServer = 82.163.142.178 O17 - HKLM\System\CSS\Services\Tcpip\..\{D060188E-3900-43D9-8FBE-72215C5282FC}: NameServer = 82.163.143.176 O17 - HKLM\System\CSS\Services\Tcpip\Parameters: NameServer = 82.163.143.176 82.163.142.178 O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{6842D8D2-5CEA-4A1B-868D-F5DABF2E1A91}: NameServer = 82.163.142.178 O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{6842D8D2-5CEA-4A1B-868D-F5DABF2E1A91}: NameServer = 82.163.143.176 O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{D060188E-3900-43D9-8FBE-72215C5282FC}: NameServer = 82.163.142.178 O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{D060188E-3900-43D9-8FBE-72215C5282FC}: NameServer = 82.163.143.176 O17 - HKLM\System\ControlSet001\Services\Tcpip\Parameters: NameServer = 82.163.143.176 82.163.142.178 O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{6842D8D2-5CEA-4A1B-868D-F5DABF2E1A91}: NameServer = 82.163.142.178 O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{6842D8D2-5CEA-4A1B-868D-F5DABF2E1A91}: NameServer = 82.163.143.176 O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{D060188E-3900-43D9-8FBE-72215C5282FC}: NameServer = 82.163.142.178 O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{D060188E-3900-43D9-8FBE-72215C5282FC}: NameServer = 82.163.143.176 O17 - HKLM\System\ControlSet002\Services\Tcpip\Parameters: NameServer = 82.163.143.176 82.163.142.178 O22 - Task (Ready): \Microsoft\Windows\Media Center\VCore - C:\ProgramData\vCore\VCore.exe -check (file missing) O22 - Task (Ready): \Microsoft\Windows\Multimedia\Manager - C:\Users\Ilya\AppData\Roaming\Adobe\Manager.exe 604C4206-B430-43E1-A102-8BF11249AEC2 (file missing) Если пропадет интернет пропишите на сетевом интерфейсе в качестве днс-серверов: 8.8.8.8 8.8.4.4 AVZ выполнить следующий скрипт.Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора. begin ExecuteAVUpdate; ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFile('C:\Users\Ilya\AppData\Roaming\Adobe\Manager.exe',''); QuarantineFile('C:\ProgramData\vCore\VCore.exe',''); DeleteFile('C:\ProgramData\vCore\VCore.exe','32'); DeleteFile('C:\Users\Ilya\AppData\Roaming\Adobe\Manager.exe','32'); ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\Media Center\VCore" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\Multimedia\Manager" /F', 0, 15000, true); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится.После перезагрузки:- Выполните в AVZ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.1. В заголовке письма напишите "Запрос на исследование вредоносного файла".2. В письме напишите "Выполняется запрос хэлпера".3. Прикрепите файл карантина и нажмите "Отправить"4. Полученный ответ сообщите здесь (с указанием номера KLAN)- Подготовьте лог AdwCleaner и приложите его в теме. Цитата Ссылка на сообщение Поделиться на другие сайты
Andrey SanJ 0 Опубликовано 16 марта, 2017 Автор Share Опубликовано 16 марта, 2017 (изменено) В общем что-то не так. Запустил HiJackThis, но в списке нашел только пару-тройку строчек из указанных. Архив карантина после выполнения скрипта - пустой. Может, я что на каком-то этапе делаю не так. Нынешний лог прилагаю Да, чтобы что-то сделать с этим пустым зип архивом , он теперь ругается, говорит "нужны права администратора" - т.е. ни удалить ни переместить После перезагрузки старый архив удалил. создал заново. но он опять пустой. На всякий случай отчет с ADW тоже сделал. Прилагаю CollectionLog-2017.03.16-20.54.zip AdwCleanerS0.txt Изменено 16 марта, 2017 пользователем Andrey SanJ Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 16 марта, 2017 Share Опубликовано 16 марта, 2017 Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите. Цитата Ссылка на сообщение Поделиться на другие сайты
Andrey SanJ 0 Опубликовано 17 марта, 2017 Автор Share Опубликовано 17 марта, 2017 Прикрепляю. Хром продолжает выдавать яндекс, но при этом ругатся на то, что интернет соединение прервано и не грузить страницу. Сбросил настройки хрома - вроде заработал в штатном режиме, не знаю, что будет после перезагрузке Эксплорер при открытии сообщил, что неизвесное приложение хочет изменить поисковик на bing При попытке зайти на страницу https://www.whatthetech.com/hijackthis/ НОД выдал предупреждение о том, что используемый сервер m59.prod2016.com не тот, за кого себя выдает. Но пока куча дополнительных окон вроде как не лезет. К сожалению, после перезагрузки хром, кажеться, начинает возвращаться на круги своя - страницы иногда открываются (например яндекс) в сбитой верстке (без отображения изображений, (можно, конечно, списать на плохой сигнал вайфая, но боюсь, что нет - так было и в прошлый раз. Сначала по чуть-чуть, а потом бац, и "невозможно отобразить страницу, разорвано соединение. При том, что эксплорер при этом параллельно все отрабатывал) + при попытке открыть мейл страница поменялась на http://simple-search.ru/search.php . Т.е. сейчас все происходит не так, как до чистки (до чистки это было по 2-3 новых окна при попытке открыть нужное окно. Т.е. чтобы скачать что то из вышеуказанного приходилось регулярно лавировать между выскочившими окнами. Но чувствуется, что где-то оно еще сидит. Ну да, через пять минут работы новые окна хрома снова открываются как ya.ru с сообщением о невозможности отобразить страницу из-за разрыва соединения . Закрываешь хром, открываешь снова - гугл, новые окна гугл...... Еще одно сканирование показало еще несколько угроз (файл S2) AdwCleanerC0.txt AdwCleanerS2.txt Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 18 марта, 2017 Share Опубликовано 18 марта, 2017 - Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Цитата Ссылка на сообщение Поделиться на другие сайты
Andrey SanJ 0 Опубликовано 18 марта, 2017 Автор Share Опубликовано 18 марта, 2017 Добрый день ! Прикрепляю! FRST.txt Addition.txt Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 18 марта, 2017 Share Опубликовано 18 марта, 2017 Закройте и сохраните все открытые приложения. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:CreateRestorePoint: CloseProcesses: GroupPolicyUsers\S-1-5-21-4274860604-1094809600-1354673957-1002\User: Restriction - Chrome <======= ATTENTION FF Plugin-x32: @adobe.com/FlashPlayer -> C:\Windows\system32\Macromed\Flash\NPSWF32.dll [No File] CHR Extension: (SafeWeb) - C:\Users\Ilya\AppData\Local\Google\Chrome\User Data\Default\Extensions\obiloekfjckpojghcgmhapimfmcjmbgi [2017-01-09] CHR Extension: (Fast search) - C:\Users\Ilya\AppData\Local\Google\Chrome\User Data\Default\Extensions\pbdpajcdgknpendpmecafmopknefafha [2017-01-09] OPR Extension: (Fast search) - C:\Users\Ilya\AppData\Roaming\Opera Software\Opera Stable\Extensions\pbdpajcdgknpendpmecafmopknefafha [2017-01-09] 2017-02-22 14:02 - 2017-02-22 15:11 - 00000000 ____D C:\Users\Все пользователи\{664FC52E-D1E4-7285-DA86-433E98DABCB8} 2017-02-22 14:02 - 2017-02-22 15:11 - 00000000 ____D C:\ProgramData\{664FC52E-D1E4-7285-DA86-433E98DABCB8} 2017-01-09 00:03 - 2017-01-09 00:03 - 0000040 _____ () C:\Users\Ilya\AppData\Roaming\vof.exe.sha1 2015-11-09 21:11 - 2015-11-09 21:11 - 0000012 ___RH () C:\ProgramData\Action 2015-11-09 21:11 - 2015-11-09 21:11 - 0000012 ___RH () C:\ProgramData\Ambient 2015-11-09 21:11 - 2015-11-09 21:11 - 0000268 ___RH () C:\ProgramData\deskjet 2015-11-09 21:11 - 2015-11-09 21:11 - 0000268 ___RH () C:\ProgramData\filter 2011-02-03 04:26 - 2011-02-03 04:28 - 0000105 _____ () C:\ProgramData\{40BF1E83-20EB-11D8-97C5-0009C5020658}.log 2011-02-03 04:26 - 2011-02-03 04:26 - 0000107 _____ () C:\ProgramData\{C59C179C-668D-49A9-B6EA-0121CCFC1243}.log Task: {3C52E4F7-BD32-4ECF-8F93-26AD00162B0A} - \{DE80767E-692B-C1D5-E14D-26B9F5911EAB} -> No File <==== ATTENTION Task: {C03ECE33-C474-4564-B153-92D9F05A3507} - \{05780447-0E0E-7F79-0911-080F7D0B110E} -> No File <==== ATTENTION Task: {E1B2A7CC-D2F8-419B-9BA4-A11C5B721BE5} - \{8D922EC5-43A7-2F0C-6598-2F74EB560752} -> No File <==== ATTENTION Reboot: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Цитата Ссылка на сообщение Поделиться на другие сайты
Andrey SanJ 0 Опубликовано 18 марта, 2017 Автор Share Опубликовано 18 марта, 2017 Сделал. Хром продолжает переодически "неожидано разорвано соединение". Но сбросился на гугл. Яндекс пока самопроизвольно не лезет. В экслорере Нод продолжает выдавать блокировку "используемый сервер m59.prod2016.com является не тем, за кого себя выдает, при заходе, например, на страницу фарбара (причем раза 4 требуется нажать "заблокировать") Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 18 марта, 2017 Share Опубликовано 18 марта, 2017 Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS. Цитата Ссылка на сообщение Поделиться на другие сайты
Andrey SanJ 0 Опубликовано 19 марта, 2017 Автор Share Опубликовано 19 марта, 2017 Прикрепляю! KOMPDOM_2017-03-19_21-04-24.7z Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 19 марта, 2017 Share Опубликовано 19 марта, 2017 Закройте и сохраните все открытые приложения. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:CreateRestorePoint: Tcpip\..\Interfaces\{6842D8D2-5CEA-4A1B-868D-F5DABF2E1A91}: [DhcpNameServer] 82.163.143.176 Reboot: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Если пропадет интернет пропишите на сетевом интерфейсе в качестве днс-серверов: 8.8.8.8 8.8.4.4 Цитата Ссылка на сообщение Поделиться на другие сайты
Andrey SanJ 0 Опубликовано 20 марта, 2017 Автор Share Опубликовано 20 марта, 2017 Готово! При этом - в целом проблемы указаные в предыдущем сообщении сохраняются (хром периодически пишет "разрыв соединения" - правда реже, мейл открывает страницу без картинок и новостей, яндекс периодически сбивается на чисто строчки по левому краю без изображений.в эксплорере таких сбоев нет, но продолжает нод ругаться на тот же непроверенный сервер. Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 20 марта, 2017 Share Опубликовано 20 марта, 2017 Пробуйте отключить все расширения в Chrome и сообщите, что с проблемой? Цитата Ссылка на сообщение Поделиться на другие сайты
Andrey SanJ 0 Опубликовано 21 марта, 2017 Автор Share Опубликовано 21 марта, 2017 Отключил. Все так же. В Эксплорере отключил настройки. Все так же блокировка всплывает. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.