Va.all 0 Опубликовано 2 ноября, 2017 Share Опубликовано 2 ноября, 2017 (изменено) Добрый день. В последнее время поймал вирус Redirect. Сидя в любом браузере, нажимая на ссылку перехода открываются рекламные сайты ( не всегда бывает и десять минуть сидишь ничего не вылезет, а бывает и каждую минуту переадресовывает) Провел проверку CureIt, KVRT. Они ничего не обнаружили. Прилагаю логи. Изменено 2 ноября, 2017 пользователем Va.all Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 2 ноября, 2017 Share Опубликовано 2 ноября, 2017 Здравствуйте! Прилагаю логиВозможно не нажали кнопку "Загрузить" Цитата Ссылка на сообщение Поделиться на другие сайты
Va.all 0 Опубликовано 2 ноября, 2017 Автор Share Опубликовано 2 ноября, 2017 Не заметил, что надо отдельно их загружать. Вот логи. CollectionLog-2017.11.02-15.25.zip report1.log report2.log Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 2 ноября, 2017 Share Опубликовано 2 ноября, 2017 Скачайте AdwCleaner и сохраните его на Рабочем столе. Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt. Прикрепите отчет к своему следующему сообщению. + это расширение знакомо? Click-to-Play staged rollout - extension - clicktoplay-rollout@mozilla.org - Цитата Ссылка на сообщение Поделиться на другие сайты
Va.all 0 Опубликовано 2 ноября, 2017 Автор Share Опубликовано 2 ноября, 2017 Расширение не знакомо, в фаирфоксе у меня его нет. Сижу в основном в нем. Где он есть и как его удалить? Проверку выполнил. Лог прикреплен AdwCleanerS0.txt Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 2 ноября, 2017 Share Опубликовано 2 ноября, 2017 Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора). В меню Tools ->Options (Инструменты ->Настройки) отметьте: Сброс политик IE Сброс политик Chrome [*]Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt. [*]Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.Отметьте галочкой также "Shortcut.txt".Нажмите кнопку Scan.После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Расширение не знакомо, в фаирфоксе у меня его нет. Сижу в основном в нем. Где он есть и как его удалить? из этих, что ещё не знакомо? AdBlock for Firefox - extension - jid1-NIfFY2CA8fy1tg@jetpack Помощник - extension - jid1-n5ARdBzHkUEdAA@jetpack Speed Dial [FVD] New Tab Page, 3D Start Page, Sync - extension - pavel.sherbakov@gmail.com uBlock Origin - extension - uBlock0@raymondhill.net C:\Users\ADM\AppData\Roaming\Mozilla\Firefox\Profiles\23skivh6.default-1509481652796\extensions.json Activity Stream - extension - activity-stream@mozilla.org - Application Update Service Helper - extension - aushelper@mozilla.org - Click-to-Play staged rollout - extension - clicktoplay-rollout@mozilla.org - Multi-process staged rollout - extension - e10srollout@mozilla.org - Pocket - extension - firefox@getpocket.com - Follow-on Search Telemetry - extension - followonsearch@mozilla.com - Form Autofill - extension - formautofill@mozilla.org - Photon onboarding - extension - onboarding@mozilla.org - Firefox Screenshots - extension - screenshots@mozilla.org - Shield Recipe Client - extension - shield-recipe-client@mozilla.org - Web Compat - extension - webcompat@mozilla.org - Youtube AdBlock - extension - {95E84BD3-3604-4AAC-B2CA-D9AC3E55B64B} - supermegabest - extension - jid1-n5ARdBzHkUEdAA@jetpack - Default - theme - {972ce4c6-7e08-4474-a285-3208198ce6fd} - SmartPrintButton - extension - quickprint@hp.com - Kaspersky Protection - webextension - light_plugin_F6F079488B53499DB99380A7E11A93F6@kaspersky.com - Shield Recipe Client - extension - shield-recipe-client@mozilla.org - Adblock for Youtube™ - webextension - {0ac04bdb-d698-452f-8048-bcef1a3f4b0d} - AdBlock - webextension - jid1-NIfFY2CA8fy1tg@jetpack - Speed Dial [FVD] New Tab Page, 3D Start Page, Sync - extension - pavel.sherbakov@gmail.com - uBlock Origin - webextension - uBlock0@raymondhill.net - и для чего столько Адблоков? Вы уверены, что они все настоящие, а не фейковые? Цитата Ссылка на сообщение Поделиться на другие сайты
Va.all 0 Опубликовано 2 ноября, 2017 Автор Share Опубликовано 2 ноября, 2017 Чето реально слишком много adblock'ов. я ставил только для Youtuba и Origin. А также пользуюсь SpeedDial. Насчет остальных плагинов непонятно. Я три раза запускал очистку фаирфокса от всего, и заново ставил эти плагины. Логи прикрепляю. AdwCleanerS1.txt AdwCleanerC1.txt FRST.txt Addition.txt Shortcut.txt Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 2 ноября, 2017 Share Опубликовано 2 ноября, 2017 Чето реально слишком много adblock'ов. я ставил только для Youtuba и Origin. А также пользуюсь SpeedDial. Adblocker for Youtube™ - также без цифровой подписи расширения, так что возможно он тоже левый. Давайте удалю его скриптом и остальные без подсписи. А потом если что поставите из магазина огнелиса. + Пожалуйста, запустите adwcleaner.exe Нажмите File (Файл) Uninstall (Деинсталлировать). Подтвердите удаление нажав кнопку: Да. OPR Extension: (AdBlock) - C:\Users\ADM\AppData\Roaming\Opera Software\Opera Stable\Extensions\aobdicepooefnbaeokijohmhjlleamfj [2016-11-13] OPR Extension: (Adblock Plus) - C:\Users\ADM\AppData\Roaming\Opera Software\Opera Stable\Extensions\oidhhegpmlfpoeialbgcdocjalghfpkp [2017-09-28] Эти как понимаю тоже не знакомы? ____________________ С учётом написанного выше. Отключите до перезагрузки антивирус. Выделите следующий код:Start:: CreateRestorePoint: HKU\S-1-5-21-4284018138-1223389373-552892185-1002\...\MountPoints2: M - "M:\BELOFF.exe" HKU\S-1-5-21-4284018138-1223389373-552892185-1002\...\MountPoints2: {ce67f91a-7cbd-11e6-90d0-806e6f6e6963} - "J:\Launcher.exe" -a SearchScopes: HKU\S-1-5-21-4284018138-1223389373-552892185-1002 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B5AEBD097-0FBF-4119-99F2-C4C1DB92053B%7D&gp=811006 Toolbar: HKLM-x32 - No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File FF Extension: (supermegabest) - C:\Users\ADM\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\jid1-n5ARdBzHkUEdAA@jetpack.xpi [2016-03-21] FF Extension: (Adblocker for Youtube™) - C:\Program Files\Mozilla Firefox\browser\features\{95E84BD3-3604-4AAC-B2CA-D9AC3E55B64B} [2016-11-16] [not signed] FF Extension: (Adblocker for Youtube™) - C:\Program Files (x86)\Mozilla Firefox\browser\features\{95E84BD3-3604-4AAC-B2CA-D9AC3E55B64B} [2016-10-20] [not signed] FF Extension: (SmartPrintButton) - C:\Program Files (x86)\Hewlett-Packard\SmartPrint\QPExtension [2011-01-26] [not signed] FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\400590125.js [2017-10-30] <==== ATTENTION (Points to *.cfg file) FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\itms.js [2017-01-03] FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\400590015.js [2017-10-30] <==== ATTENTION (Points to *.cfg file) FF ExtraCheck: C:\Program Files\mozilla firefox\400590125.cfg [2017-10-30] <==== ATTENTION FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\400590015.cfg [2017-10-30] <==== ATTENTION CHR StartupUrls: ChromeDefaultData -> "hxxp://www.trotux.com/?z=a132c2a38bbb3d32a37d142g6zem9m7cdb8q0gbe8g&from=ftp&uid=SPCCXSolidXStateXDisk_DB0A074713EE00654276&type=hp" OPR Extension: (AdBlock) - C:\Users\ADM\AppData\Roaming\Opera Software\Opera Stable\Extensions\aobdicepooefnbaeokijohmhjlleamfj [2016-11-13] OPR Extension: (Adblock Plus) - C:\Users\ADM\AppData\Roaming\Opera Software\Opera Stable\Extensions\oidhhegpmlfpoeialbgcdocjalghfpkp [2017-09-28] 2016-10-20 13:56 - 2016-10-20 13:56 - 000000336 _____ () C:\Users\ADM\AppData\Local\expand.ini 2017-06-29 14:06 - 2017-09-14 09:02 - 000007597 _____ () C:\Users\ADM\AppData\Local\Resmon.ResmonCfg 2016-11-22 14:24 - 2016-11-22 14:24 - 000004096 _____ () C:\ProgramData\czchsjpj.srw 2016-10-20 13:16 - 2016-10-20 13:16 - 000000016 _____ () C:\ProgramData\mntemp HKU\S-1-5-21-4284018138-1223389373-552892185-1002\...\StartupApproved\Run: => "Browser Manager" FirewallRules: [{29BCA18E-EED1-45C8-9776-C0148454D379}] => (Allow) C:\Users\ADM\AppData\Local\MediaGet2\mediaget.exe FirewallRules: [{765FEFFF-7FCB-4A87-8A08-C646651620A2}] => (Allow) C:\Users\ADM\AppData\Local\MediaGet2\mediaget.exe EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Цитата Ссылка на сообщение Поделиться на другие сайты
Va.all 0 Опубликовано 2 ноября, 2017 Автор Share Опубликовано 2 ноября, 2017 скрипт выполнил. Лог прилагаю. Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 2 ноября, 2017 Share Опубликовано 2 ноября, 2017 Лог прилагаю. похоже опять забыли прикрепить. Цитата Ссылка на сообщение Поделиться на другие сайты
Va.all 0 Опубликовано 2 ноября, 2017 Автор Share Опубликовано 2 ноября, 2017 Прикрепил Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 2 ноября, 2017 Share Опубликовано 2 ноября, 2017 Что с проблемой? Цитата Ссылка на сообщение Поделиться на другие сайты
Va.all 0 Опубликовано 3 ноября, 2017 Автор Share Опубликовано 3 ноября, 2017 Добрый день. Вроде проблема исчезла. спасибо за помощь. Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 3 ноября, 2017 Share Опубликовано 3 ноября, 2017 Выполните скрипт в AVZ при наличии доступа в интернет: var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.Выполните рекомендации после лечения. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.