Данил0525 Опубликовано 2 декабря, 2017 Share Опубликовано 2 декабря, 2017 (изменено) Где подцепил болячку не знаю, но симптомы такие: При попытке перейти по ссылке для скачивания перебрасывает на сторонний сайт, либо сразу скачивается архив с именем совпадающим с нужным файлом, внутри ехе с тем же именем. Наблядается эта проблема во всех установленных браузерах. CollectionLog-2017.12.02-18.46.zip Изменено 2 декабря, 2017 пользователем Данил0525 Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 2 декабря, 2017 Share Опубликовано 2 декабря, 2017 С MediaGet скорее всего и подцепили. Удалите его через Установку программ. Выполните скрипт в AVZ begin ExecuteFile('schtasks.exe', '/delete /TN "curl" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "curls" /F', 0, 15000, true); RebootWindows(false); end. Обратите внимание: будет выполнена перезагрузка компьютера.Пофиксите в HiJack из папки Autologger O17 - HKLM\System\CSS\Services\Tcpip\..\{79fee6ea-b000-4cab-a99f-08f83044a338}: NameServer = 35.177.46.238 O17 - HKLM\System\CSS\Services\Tcpip\..\{79fee6ea-b000-4cab-a99f-08f83044a338}: NameServer = 46.101.28.31 O17 - HKLM\System\CSS\Services\Tcpip\..\{79fee6ea-b000-4cab-a99f-08f83044a338}: NameServer = 82.202.226.203 O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{79fee6ea-b000-4cab-a99f-08f83044a338}: NameServer = 35.177.46.238 O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{79fee6ea-b000-4cab-a99f-08f83044a338}: NameServer = 46.101.28.31 O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{79fee6ea-b000-4cab-a99f-08f83044a338}: NameServer = 82.202.226.203 Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи. 1 Ссылка на комментарий Поделиться на другие сайты More sharing options...
Данил0525 Опубликовано 2 декабря, 2017 Автор Share Опубликовано 2 декабря, 2017 (изменено) Первый пункт выполнил, а второй не понимаю. Нужно просто в HiJack вставить скрипт, который вы написали? Изменено 2 декабря, 2017 пользователем Данил0525 Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 2 декабря, 2017 Share Опубликовано 2 декабря, 2017 https://forum.kasperskyclub.ru/index.php?showtopic=7607 1 1 Ссылка на комментарий Поделиться на другие сайты More sharing options...
Данил0525 Опубликовано 2 декабря, 2017 Автор Share Опубликовано 2 декабря, 2017 Ага сделал. CollectionLog-2017.12.02-19.36.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 2 декабря, 2017 Share Опубликовано 2 декабря, 2017 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению. 1 1 Ссылка на комментарий Поделиться на другие сайты More sharing options...
Данил0525 Опубликовано 2 декабря, 2017 Автор Share Опубликовано 2 декабря, 2017 Готово Desktop.rar Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 2 декабря, 2017 Share Опубликовано 2 декабря, 2017 С MediaGet скорее всего и подцепили. Удалите его через Установку программ.Это я для себя писал разве? 1. Откройте Блокнот и скопируйте в него приведенный ниже текст CreateRestorePoint: HKU\S-1-5-21-704587592-2829502138-106997172-1001\...\Run: [MediaGet2] => C:\Users\Коркищенко Данил\AppData\Local\MediaGet2\mediaget.exe [14091504 2017-12-02] (MediaGet LLC) CHR HKLM-x32\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [imhlianhlhdicjchlbmbfaefhhjencbe] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [indjgiebmakhmnaplnlnanodkfiejfjd] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [lgdnilodcpljomelbbnpgdogdbmclbni] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [lhemechcanjmilllmccjbjldonmnnjjj] - hxxps://clients2.google.com/service/update2/crx OPR StartupUrls: "hxxp://ertowap.ru/?utm_source=startpage03&utm_content=117e0d6c7b95dc5e3c4d6ef9a0fa4da4&utm_term=D6D8D8256F637E4466FCDACF475FDC49&utm_d=20171128" 2017-12-02 17:33 - 2017-12-02 17:33 - 000001193 _____ C:\Users\Коркищенко Данил\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MediaGet.lnk 2017-12-02 17:33 - 2017-12-02 17:33 - 000001185 _____ C:\Users\Коркищенко Данил\Desktop\MediaGet.lnk 2017-12-02 17:31 - 2017-12-02 17:35 - 000000000 ____D C:\Users\Коркищенко Данил\AppData\Local\MediaGet2 2017-12-02 17:31 - 2017-12-02 17:33 - 000000000 ____D C:\Users\Коркищенко Данил\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MediaGet2 2017-12-02 17:31 - 2017-12-02 17:31 - 000000000 ____D C:\Users\Коркищенко Данил\AppData\Local\Media Get LLC 2017-12-02 17:27 - 2017-12-02 17:27 - 000000000 ____D C:\Users\Коркищенко Данил\AppData\Local\Tempzxpsignc9c1b53b1c1103e8 2017-12-02 17:27 - 2017-12-02 17:27 - 000000000 ____D C:\Users\Коркищенко Данил\AppData\Local\Tempzxpsign3a23fe1ed0f8fd6b 2017-12-02 17:27 - 2017-12-02 17:27 - 000000000 ____D C:\Users\Коркищенко Данил\AppData\Local\Tempzxpsign1b971015e2be5567 2017-12-02 17:27 - 2017-12-02 17:27 - 000000000 ____D C:\Users\Коркищенко Данил\AppData\Local\Tempzxpsign09c08e669ed68bcc 2017-12-02 16:15 - 2017-12-02 16:15 - 000000000 ____D C:\Users\Коркищенко Данил\AppData\Local\Tempzxpsignbc334b4aed140bc2 2017-12-02 16:15 - 2017-12-02 16:15 - 000000000 ____D C:\Users\Коркищенко Данил\AppData\Local\Tempzxpsign96d2172b32f01796 2017-12-02 16:15 - 2017-12-02 16:15 - 000000000 ____D C:\Users\Коркищенко Данил\AppData\Local\Tempzxpsign78bd387aea5c2bc8 2017-12-02 16:15 - 2017-12-02 16:15 - 000000000 ____D C:\Users\Коркищенко Данил\AppData\Local\Tempzxpsign2c10018745b0d093 2017-12-02 16:15 - 2017-12-02 16:15 - 000000000 ____D C:\Users\Коркищенко Данил\AppData\Local\Tempzxpsign0830e5a17b4052c6 2017-12-02 15:31 - 2017-12-02 15:31 - 000000000 ____D C:\Users\Коркищенко Данил\AppData\Local\Tempzxpsign2e55cd784aadf163 2017-12-02 15:27 - 2017-12-02 15:27 - 000000000 ____D C:\Users\Коркищенко Данил\AppData\Local\Tempzxpsigne20cfcbca62bf9f1 2017-12-02 15:27 - 2017-12-02 15:27 - 000000000 ____D C:\Users\Коркищенко Данил\AppData\Local\Tempzxpsignbfe45e605549f554 2017-12-02 15:27 - 2017-12-02 15:27 - 000000000 ____D C:\Users\Коркищенко Данил\AppData\Local\Tempzxpsign7abade863f3a5241 2017-12-02 15:27 - 2017-12-02 15:27 - 000000000 ____D C:\Users\Коркищенко Данил\AppData\Local\Tempzxpsign618e72e5a2df160a 2017-12-02 15:25 - 2017-12-02 15:25 - 000000000 ____D C:\Users\Коркищенко Данил\AppData\Local\Tempzxpsignf58f55d7b3bad536 2017-12-02 15:25 - 2017-12-02 15:25 - 000000000 ____D C:\Users\Коркищенко Данил\AppData\Local\Tempzxpsign4e9b5785aaec02d5 2017-12-02 15:25 - 2017-12-02 15:25 - 000000000 ____D C:\Users\Коркищенко Данил\AppData\Local\Tempzxpsign4863ab67277b6d23 2017-12-02 15:25 - 2017-12-02 15:25 - 000000000 ____D C:\Users\Коркищенко Данил\AppData\Local\Tempzxpsign41ec530a8422f599 2017-12-02 15:25 - 2017-12-02 15:25 - 000000000 ____D C:\Users\Коркищенко Данил\AppData\Local\Tempzxpsign0670be6809c9dbc3 2017-12-02 15:24 - 2017-12-02 15:24 - 000000000 ____D C:\Users\Коркищенко Данил\AppData\Local\Tempzxpsign022389ed2f069f9f 2017-12-02 15:23 - 2017-12-02 15:23 - 000000000 ____D C:\Users\Коркищенко Данил\AppData\Local\Tempzxpsigndb730603dd6f5b48 2017-12-02 15:23 - 2017-12-02 15:23 - 000000000 ____D C:\Users\Коркищенко Данил\AppData\Local\Tempzxpsignd897cad1a3795c1e 2017-12-02 15:23 - 2017-12-02 15:23 - 000000000 ____D C:\Users\Коркищенко Данил\AppData\Local\Tempzxpsignd6e330ea93a1798e 2017-12-02 15:23 - 2017-12-02 15:23 - 000000000 ____D C:\Users\Коркищенко Данил\AppData\Local\Tempzxpsign160e1cc82466fbfa 2017-12-02 15:23 - 2017-12-02 15:23 - 000000000 ____D C:\Users\Коркищенко Данил\AppData\Local\Tempzxpsign13f6bf73c29d2278 2017-11-30 08:18 - 2017-11-30 14:13 - 000000000 ____D C:\Users\Коркищенко Данил\AppData\Local\yc 2017-11-28 20:45 - 2017-11-28 20:45 - 000000000 ____D C:\Users\Коркищенко Данил\AppData\Roaming\curl 2017-11-30 08:18 - 2017-11-30 08:18 - 038316032 _____ (The Chromium Authors) C:\Users\Коркищенко Данил\AppData\Local\Temp\4WBsIFpGtzWy.exe 2017-11-30 14:13 - 2017-11-30 14:13 - 038316032 _____ (The Chromium Authors) C:\Users\Коркищенко Данил\AppData\Local\Temp\6cfRbtMXVY45.exe 2017-11-30 08:23 - 2017-11-30 08:23 - 004011696 _____ () C:\Users\Коркищенко Данил\AppData\Local\Temp\ctB45VcJBxSo.exe 2017-11-30 08:08 - 2017-11-30 08:08 - 000410616 _____ (Mail.Ru) C:\Users\Коркищенко Данил\AppData\Local\Temp\Kss9GBDxemQ7.exe AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [128] AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [144] AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A [128] AlternateDataStreams: C:\Users\Все пользователи\TEMP:A064CECC [144] FirewallRules: [TCP Query User{85D2BF9A-E443-4F3B-AA03-636537AB3E54}C:\users\коркищенко данил\appdata\local\mediaget2\mediaget.exe] => (Allow) C:\users\коркищенко данил\appdata\local\mediaget2\mediaget.exe FirewallRules: [UDP Query User{FE21FD8C-BACC-4169-B2F6-2EA6670ED50A}C:\users\коркищенко данил\appdata\local\mediaget2\mediaget.exe] => (Allow) C:\users\коркищенко данил\appdata\local\mediaget2\mediaget.exe Reboot: 2. Нажмите Файл – Сохранить как3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool 4. Укажите Тип файла – Все файлы (*.*) 5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить 6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: будет выполнена перезагрузка компьютера. 1 1 Ссылка на комментарий Поделиться на другие сайты More sharing options...
Данил0525 Опубликовано 2 декабря, 2017 Автор Share Опубликовано 2 декабря, 2017 Удалил. Fixlog.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 2 декабря, 2017 Share Опубликовано 2 декабря, 2017 Проблема решена? 1 1 Ссылка на комментарий Поделиться на другие сайты More sharing options...
Данил0525 Опубликовано 2 декабря, 2017 Автор Share Опубликовано 2 декабря, 2017 Да, большое спасибо. Я могу вам спасибо поставить или плюс реп? Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 2 декабря, 2017 Share Опубликовано 2 декабря, 2017 Я могу вам спасибо поставить или плюс реп?Как пожелаете. Кнопочки в правой части окна с ответом. Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10); Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу; Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt; Процитируйте содержимое файла в своем следующем сообщении. 1 Ссылка на комментарий Поделиться на другие сайты More sharing options...
Данил0525 Опубликовано 2 декабря, 2017 Автор Share Опубликовано 2 декабря, 2017 SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17] WebSite: www.safezone.cc DateLog: 02.12.2017 23:21:31 Path starting: C:\Users\Коркищенко Данил\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe Log directory: C:\SecurityCheck\ IsAdmin: True User: Коркищенко Данил VersionXML: 4.76is-18.11.2017 ___________________________________________________________________________ Windows 10(6.3.15063) (x64) Professional Версия: 1703 Lang: Russian(0419) Дата установки ОС: 15.07.2017 21:48:46 Статус лицензии: Windows®, Professional edition Срок истечения многопользовательской активации: 223892 мин. Статус лицензии: Office 16, Office16ProPlusVL_KMS_Client edition Срок истечения многопользовательской активации: 252642 мин. Режим загрузки: Normal Браузер по умолчанию: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe Системный диск: C: ФС: [NTFS] Емкость: [117.5 Гб] Занято: [109.9 Гб] Свободно: [7.6 Гб] ------------------------------- [ Windows ] ------------------------------- Internet Explorer 11.726.15063.0 Контроль учётных записей пользователя включен (Уровень 3) Центр обновления Windows (wuauserv) - Служба работает Центр обеспечения безопасности (wscsvc) - Служба работает Удаленный реестр (RemoteRegistry) - Служба остановлена Обнаружение SSDP (SSDPSRV) - Служба работает Службы удаленных рабочих столов (TermService) - Служба остановлена Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена Восстановление системы отключено ------------------------------ [ MS Office ] ------------------------------ Microsoft Office 2016 x86 v.16.0.4266.1001 ---------------------------- [ Antivirus_WMI ] ---------------------------- Windows Defender (включен и обновлен) --------------------------- [ FirewallWindows ] --------------------------- Брандмауэр Windows (MpsSvc) - Служба работает Отключен доменный профиль Брандмауэра Windows Отключен общий профиль Брандмауэра Windows Отключен частный профиль Брандмауэра Windows --------------------------- [ AntiSpyware_WMI ] --------------------------- Windows Defender (включен и обновлен) --------------------------- [ OtherUtilities ] ---------------------------- WinRAR 5.40 (64-разрядная) v.5.40.0 Внимание! Скачать обновления -------------------------------- [ Java ] --------------------------------- Java 8 Update 151 v.8.0.1510.12 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u152-windows-i586.exe)^ --------------------------- [ AdobeProduction ] --------------------------- Adobe Flash Player 27 PPAPI v.27.0.0.187 Adobe Acrobat Reader DC - Russian v.18.009.20050 [+] ------------------------------- [ Browser ] ------------------------------- Yandex v.17.10.0.2017 Google Chrome v.62.0.3202.94 Opera Stable 49.0.2725.47 v.49.0.2725.47 [+] --------------------------- [ RunningProcess ] ---------------------------- C:\Program Files (x86)\Google\Chrome\Application\chrome.exe v.62.0.3202.94 ------------------ [ AntivirusFirewallProcessServices ] ------------------- C:\Program Files\Windows Defender\MsMpEng.exe v.4.11.15063.447 C:\Program Files\Windows Defender\NisSrv.exe v.4.11.15063.0 C:\Program Files\Windows Defender\MSASCuiL.exe v.4.11.15063.0 Антивирусная программа "Защитника Windows" (WinDefend) - Служба работает Служба проверки сети Windows Defender Antivirus (WdNisSvc) - Служба работает ----------------------------- [ End of Log ] ------------------------------ Брандмауэр уже включил. Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 2 декабря, 2017 Share Опубликовано 2 декабря, 2017 Обновите указанные программы, и на этом закончим 1 1 Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти