puffffff Опубликовано 12 августа, 2017 Опубликовано 12 августа, 2017 привет. скрытно установился амиго, после этого началась вся беда. рекламы, подвисание компа. часть удалилась программой AdwCleaner, но проблема полностью не решилась. логи ниже. CollectionLog-2017.08.13-00.09.zip
regist Опубликовано 12 августа, 2017 Опубликовано 12 августа, 2017 (изменено) часть удалилась программой AdwCleaner, Откуда его скачивали? Ссылку помните? Вы "левую" версию скачали. - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь. "Пофиксите" в HijackThis (некоторые строки могут отсутствовать): R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes: DefaultScope = {FFEBBF0A-C22C-4172-89FF-45215A135AC7} - Поиск@Mail.Ru - http://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7BDD98256B-C49B-4C20-B84D-3C53DA92A610%7D&gp=822363 R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7} - Поиск@Mail.Ru - http://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7BDD98256B-C49B-4C20-B84D-3C53DA92A610%7D&gp=822363 O1 - Hosts: 127.0.0.1 down.baidu2016.com O1 - Hosts: 127.0.0.1 123.sogou.com O1 - Hosts: 127.0.0.1 www.czzsyzgm.com O1 - Hosts: 127.0.0.1 www.czzsyzxl.com O1 - Hosts: 127.0.0.1 union.baidu2019.com O4 - HKCU\..\Run: [SafeWeb] C:\Users\ВОЛОДЬЯ\AppData\Roaming\SafeWeb\python\pythonw.exe "C:\Users\ВОЛОДЬЯ\AppData\Roaming\SafeWeb\ml.py" --APPNAME="SafeWeb" (file missing) O4 - User Startup: SafeWeb.lnk -> C:\Users\ВОЛОДЬЯ\AppData\Roaming\SafeWeb\python\pythonw.exe "C:\Users\ВОЛОДЬЯ\AppData\Roaming\SafeWeb\ml.py" --APPNAME="SafeWeb" O21 - ShellIconOverlayIdentifiers: 00asw - {472083B0-C522-11CF-8763-00608CC02F24} - (no file) O21 - ShellIconOverlayIdentifiers: 00avast - {472083B0-C522-11CF-8763-00608CC02F24} - (no file) O22 - Task (Ready): PBot2 - C:\Users\ВОЛОДЬЯ\AppData\Roaming\PBot\python\pythonw.exe "C:\Users\ВОЛОДЬЯ\AppData\Roaming\PBot\updater.py" O22 - Task (Ready): SafeWeb - C:\Users\ВОЛОДЬЯ\AppData\Roaming\SafeWeb\python\pythonw.exe "C:\Users\ВОЛОДЬЯ\AppData\Roaming\SafeWeb\ml.py" --APPNAME="SafeWeb" (file missing) Скачайте AdwCleaner и сохраните его на Рабочем столе. Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt. Прикрепите отчет к своему следующему сообщению. Изменено 12 августа, 2017 пользователем regist
puffffff Опубликовано 12 августа, 2017 Автор Опубликовано 12 августа, 2017 (изменено) качал отсюда Изменено 13 августа, 2017 пользователем regist спасибо, убрал левую ссылку.
regist Опубликовано 13 августа, 2017 Опубликовано 13 августа, 2017 Ссылку получил. Установленный у вас AdwCleaner удалите через установку и удаление программ, если с ним бонусом установился adguard то его тоже. Потом делайте остальное.
puffffff Опубликовано 13 августа, 2017 Автор Опубликовано 13 августа, 2017 удалил. профиксил. AdwCleaner отчет ниже, а вирус инфо ответ со вчерашнего дня на почту не пришел, и сейчас снова не приходит AdwCleanerS0.txt
regist Опубликовано 13 августа, 2017 Опубликовано 13 августа, 2017 Если в Хроме включена синхронизация, то отключите https://support.google.com/chrome/answer/3097271 Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора). В меню Tools ->Options (Инструменты ->Настройки) отметьте: Сброс политик IE Сброс политик Chrome [*]Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt. [*]Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. + Сделайте и прикрепите свежий лог Автологера.
puffffff Опубликовано 14 августа, 2017 Автор Опубликовано 14 августа, 2017 из акк вышли, вошли, обнова не требуется. реклама осталась, ютуб, вк и др. сайты AdwCleanerC0.txt
regist Опубликовано 14 августа, 2017 Опубликовано 14 августа, 2017 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.Отметьте галочкой также "Shortcut.txt".Нажмите кнопку Scan.После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
puffffff Опубликовано 14 августа, 2017 Автор Опубликовано 14 августа, 2017 (изменено) вирусинфо. пришло только это. Тема для обсуждения результатов анализа: Карантин 72C2DDE7DF90B3880FD8CB3092F4D16B Карантин успешно загружен. MD5 карантина: 72C2DDE7DF90B3880FD8CB3092F4D16B Размер в байтах: 20109757 логи ниже. Addition.txt FRST.txt Shortcut.txt Изменено 14 августа, 2017 пользователем puffffff
regist Опубликовано 14 августа, 2017 Опубликовано 14 августа, 2017 Отключите до перезагрузки антивирус. Выделите следующий код:Start:: CreateRestorePoint: HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe <==== ATTENTION FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://mail.ru/cnt/10445?gp=822353 FF Keyword.URL: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7B70185128-F988-4531-937B-07E37C585A99%7D&gp=822363 FF Extension: (No Name) - C:\Users\ВОЛОДЬЯ\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\data [2017-05-25] [not signed] FF Extension: (No Name) - C:\Users\ВОЛОДЬЯ\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\defaults [2016-12-08] [not signed] FF Extension: (supermegabest) - C:\Users\ВОЛОДЬЯ\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\jid1-n5ARdBzHkUEdAA@jetpack.xpi [2016-03-23] FF Extension: (No Name) - C:\Users\ВОЛОДЬЯ\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\lib [2017-05-25] [not signed] FF Extension: (No Name) - C:\Users\ВОЛОДЬЯ\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\resources [2016-12-08] [not signed] FF Extension: (Домашняя страница Mail.Ru) - C:\Users\ВОЛОДЬЯ\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru [2017-07-24] FF Extension: (Поиск@Mail.Ru) - C:\Users\ВОЛОДЬЯ\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru [2017-07-24] FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\ВОЛОДЬЯ\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2017-07-24] CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=profitraf7","hxxp://mail.ru/cnt/10445?gp=822353" CHR NewTab: Default -> Active:"chrome-extension://epgjfmblhacacphaljkdcjllkomdcjpc/visual-bookmarks.html" CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&product_id=%7BE7CD9793-2D69-49D8-8AA0-E98D1359D913%7D&gp=822323 CHR DefaultSearchKeyword: Default -> go.mail.ru ContextMenuHandlers1: [IObitUnstaler] -> {B19ED566-D419-470b-B111-3C89040BC027} => -> No File ContextMenuHandlers4: [IObitUnstaler] -> {B19ED566-D419-470b-B111-3C89040BC027} => -> No File ContextMenuHandlers6: [IObitUnstaler] -> {B19ED566-D419-470b-B111-3C89040BC027} => -> No File EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Рассширения от Яндекс как понимаю сами тоже не ставили? Скачайте Universal Virus Sniffer (uVS) Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе. !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную. Дождитесь окончания работы программы и прикрепите лог к посту в теме. !!! Обратите внимание , что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора , при необходимости укажите пароль администратора и нажмите "Да" . Подробнее читайте в руководстве Как подготовить лог UVS.
puffffff Опубликовано 15 августа, 2017 Автор Опубликовано 15 августа, 2017 яндекс не устанавливал. логи ниже. Fixlog.txt WIN-JQR6RNN0QT2_2017-08-15_10-34-58.7z
regist Опубликовано 15 августа, 2017 Опубликовано 15 августа, 2017 Выполните скрипт в uVS ;uVS v4.0.9 [http://dsrt.dyndns.org] ;Target OS: NTv10.0 v400c BREG ;---------command-block--------- delref %SystemDrive%\USERS\ВОЛОДЬЯ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LGDNILODCPLJOMELBBNPGDOGDBMCLBNI\2.0.0.15_0\ПОИСК ЯНДЕКСA delref %SystemDrive%\USERS\180D~1\APPDATA\LOCAL\TEMP\CHROME_BITS_10912_8041\26.0.0.151_WIN64_PEPPERFLASHPLAYER.CRX3 delref %SystemDrive%\USERS\ВОЛОДЬЯ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\OELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ\7.1.30_1\ВИЗУАЛЬНЫЕ ЗАКЛАДКИ MAIL.RU delref %SystemDrive%\USERS\ВОЛОДЬЯ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\EPGJFMBLHACACPHALJKDCJLLKOMDCJPC\12.0.21_0\ВИЗУАЛЬНЫЕ ЗАКЛАДКИ MAIL.RU delref %SystemDrive%\USERS\ВОЛОДЬЯ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\HCADGIJMEDBFGCIEGJOMFPJCDCHLHNIF\12.0.28_0\ДОМАШНЯЯ СТРАНИЦА MAIL.RU delref %SystemDrive%\USERS\ВОЛОДЬЯ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\CCFIFBOJENKENPKMNBNNDEADPFDIFFOF\11.0.26_1\ДОМАШНЯЯ СТРАНИЦА MAIL.RU delref %SystemDrive%\USERS\ВОЛОДЬЯ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\OJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD\12.0.12_0\ПОИСК MAIL.RU delref %SystemDrive%\USERS\ВОЛОДЬЯ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BHJHNAFPIILPFFHGLAJCAEPJBNBJEMCI\12.0.23_0\ПОИСК MAIL.RU delref %SystemDrive%\USERS\ВОЛОДЬЯ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BHJCGOMKANPKPBLOKEBECKNHAHGKCMOO\2.0.4.15_1\ПОИСК И СТАРТОВАЯ – ЯНДЕКС delref %SystemDrive%\USERS\ВОЛОДЬЯ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\HPCGHCDJNEHPKDECAFLPEDHKLIMNEJIA\2.0.0.15_0\СТАРТОВАЯ — ЯНДЕКС delref %SystemDrive%\USERS\ВОЛОДЬЯ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\16.10.1.1116\RESOURCES\YANDEX_FEEDBACK\YANDEX FEEDBACK delref %SystemDrive%\USERS\ВОЛОДЬЯ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\USER DATA\DEFAULT\EXTENSIONS\MCBKFPBHKHIOJMJNLJMOKNDNMPFENKEE\3.3_0\SUPERMEGABEST.COM delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBHJCGOMKANPKPBLOKEBECKNHAHGKCMOO%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DHPCGHCDJNEHPKDECAFLPEDHKLIMNEJIA%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLGDNILODCPLJOMELBBNPGDOGDBMCLBNI%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAONEDLCHKBICMHEPIMIAHFALHEEDJGBH%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBHJHNAFPIILPFFHGLAJCAEPJBNBJEMCI%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCCFIFBOJENKENPKMNBNNDEADPFDIFFOF%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEPGJFMBLHACACPHALJKDCJLLKOMDCJPC%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DHCADGIJMEDBFGCIEGJOMFPJCDCHLHNIF%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD%26INSTALLSOURCE%3DONDEMAND%26UC delref %SystemDrive%\USERS\ВОЛОДЬЯ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\AONEDLCHKBICMHEPIMIAHFALHEEDJGBH\4.3.5_1\ПОМОЩНИК delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\IOBIT UNINSTALLER\IOBITUNINSTALER.EXE delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {444785F1-DE89-4295-863A-D46C3A781394}\[CLSID] delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID] delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID] delref {B19ED566-D419-470B-B111-3C89040BC027}\[CLSID] delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID] delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL apply restart что с проблемой? 1
puffffff Опубликовано 15 августа, 2017 Автор Опубликовано 15 августа, 2017 спасибо за помощь,всё хорошо.от души дядь))
regist Опубликовано 15 августа, 2017 Опубликовано 15 августа, 2017 Выполните скрипт в AVZ при наличии доступа в интернет: var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.Выполните рекомендации после лечения.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти