Rubus Опубликовано 7 января, 2018 Опубликовано 7 января, 2018 (изменено) здравствуйте, мучаюсь несколько часов с удаление браузерного вируса, для более наглядного понимания, я снял двух-минутное видео с проблемой Изменено 7 января, 2018 пользователем Rubus
SQ Опубликовано 8 января, 2018 Опубликовано 8 января, 2018 Здравствуйте,HiJackThis (из каталога автологгера) профиксить O21 - ShellIconOverlayIdentifiers: 00asw - {472083B0-C522-11CF-8763-00608CC02F24} - (no file) AVZ выполнить следующий скрипт.Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFile('C:\Windows\Fonts\CPUID.dll', ''); DeleteFile('C:\Windows\Fonts\CPUID.dll', '32'); DeleteFile('C:\Users\AllCapone\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk', '32'); DeleteFile('C:\Users\AllCapone\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт.lnk', '32'); DeleteFile('C:\Users\AllCapone\Favorites\Links\Интернет.url', '32'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end.После выполнения скрипта компьютер перезагрузится.quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.1. В заголовке письма напишите "Запрос на исследование вредоносного файла".2. В письме напишите "Выполняется запрос хэлпера".3. Прикрепите файл карантина и нажмите "Отправить"4. Полученный ответ сообщите здесь (с указанием номера KLAN)- Подготовьте лог AdwCleaner и приложите его в теме. 1
Rubus Опубликовано 8 января, 2018 Автор Опубликовано 8 января, 2018 (изменено) Спасибо. Сделал в точности всё по пунктам, скрпит выполнил, также дополнительно в проге HiJackThis удалил 21 строчку как и советовалось в теме, пока проблема всё ещё активна Написал запрос в тех поддержку, там пока пришёл автоматический ответ, что файл передан на исследование.KLAN-7488079488 Лог advCleaner прилагаю, там не может удалиться прожка spyHunter (которая помечена как вредоносная), но это вроде нормальный софт. Если ещё есть какие то идеи буду крайне благодарен AdwCleanerS8.txt Изменено 8 января, 2018 пользователем Rubus
Sandor Опубликовано 8 января, 2018 Опубликовано 8 января, 2018 но это вроде нормальный софтЭто спорный вопрос. Удалите его через Панель управления - Удаление программ.
Rubus Опубликовано 8 января, 2018 Автор Опубликовано 8 января, 2018 но это вроде нормальный софтЭто спорный вопрос. Удалите его через Панель управления - Удаление программ. Я его ещё вчера удалил, кстати скачал я эту ерунду в рамках борьбы с моим вирусом ) Остались какие то логи, но они даже adwclearner не удаляются. Почему я думаю эта прога не виновата: я её скачал после появления проблемы.
SQ Опубликовано 8 января, 2018 Опубликовано 8 января, 2018 - Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. 1
Rubus Опубликовано 8 января, 2018 Автор Опубликовано 8 января, 2018 (изменено) готово. два файла во вложении. Очень хитрый червь, удивительно как ему удалось так хорошо замаскироваться ! В отчёте меня вот эти строчки насторожили CHR HKLM-x32\...\Chrome\Extension: [ccjleegmemocfpghkhpjmiccjcacackp] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib видно, что адрессация расширения идёт куда то в интернет (может поэтому у меня при включеном интернете банер есть, при выключеном нет( Или это безобидные строчки, которые "ниачём" ? Addition.txt FRST.txt Изменено 8 января, 2018 пользователем Rubus
SQ Опубликовано 8 января, 2018 Опубликовано 8 января, 2018 Закройте и сохраните все открытые приложения. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: CloseProcesses: GroupPolicy: Restriction - Chrome <==== ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION CHR HKU\S-1-5-21-3103147102-1570827885-3891749782-1000\SOFTWARE\Policies\Google: Restriction <==== ATTENTION FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File] File: C:\Windows\SysWOW64\ASGT.exe File: C:\autoexec.bat File: C:\Users\AllCapone\AtiFlash.exe File: C:\Users\AllCapone\ATIWinflash.exe 2014-10-15 12:14 - 2014-10-15 12:14 - 000000001 _____ () C:\Users\AllCapone\AppData\Roaming\smw_inst 2017-03-10 02:26 - 2017-03-10 02:26 - 000000000 _____ () C:\Users\AllCapone\AppData\Roaming\tmp352.tmp ShellIconOverlayIdentifiers: [ AccExtIco1] -> {AB9CF9F8-8A96-4F9D-BF21-CE85714C3A47} => C:\Program Files (x86)\Adobe\Adobe Creative Cloud\CoreSyncExtension\CoreSync_x64.dll -> No File ShellIconOverlayIdentifiers: [ AccExtIco2] -> {853B7E05-C47D-4985-909A-D0DC5C6D7303} => C:\Program Files (x86)\Adobe\Adobe Creative Cloud\CoreSyncExtension\CoreSync_x64.dll -> No File ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> No File ContextMenuHandlers1: [AccExt] -> {2A118EB5-5797-4F5E-8B3D-F4ECBA3C98E4} => C:\Program Files (x86)\Adobe\Adobe Creative Cloud\CoreSyncExtension\CoreSync_x64.dll -> No File Task: {6B71BB47-6B93-43B1-9673-15FB9B52FFAE} - \User_Feed_Synchronization-{0DB03C12-73C0-4847-B043-BB47DFB93CAE} -> No File <==== ATTENTION Task: {A6ECD34B-B47F-4393-A3D7-CB6049219898} - \PBot2 -> No File <==== ATTENTION Task: {C599DEE7-55F8-4E53-8B72-2C84D0198CEC} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> No File <==== ATTENTION Task: {E3FABF7C-08D2-4E03-9CC8-9D0C66CC8082} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> No File <==== ATTENTION ShortcutWithArgument: C:\Users\AllCapone\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk -> C:\Windows\explorer.exe (Microsoft Corporation) -> "hxxp://ownerga.ru/?utm_source=startlink03&utm_content=56d4932828e64bd8a225d89b67407067&utm_term=A58AB617027DF53F495C3FB972F0774E&utm_d=20170309" ShortcutWithArgument: C:\Users\AllCapone\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт.lnk -> C:\Windows\explorer.exe (Microsoft Corporation) -> "hxxp://ownerga.ru/?utm_source=startlink03&utm_content=56d4932828e64bd8a225d89b67407067&utm_term=A58AB617027DF53F495C3FB972F0774E&utm_d=20170309" Reboot: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. В настройках Chrome, пробуйте отключить следующие расширения: CHR Extension: (Презентации) - C:\Users\AllCapone\AppData\Local\Google\Chrome\User Data\Default\Extensions\aapocclcgogkmnckokdopfmhonfmgoek [2018-01-07] CHR Extension: (Документы) - C:\Users\AllCapone\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2018-01-07] CHR Extension: (Диск Google) - C:\Users\AllCapone\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2018-01-07] CHR Extension: (Таблицы) - C:\Users\AllCapone\AppData\Local\Google\Chrome\User Data\Default\Extensions\felcaaldnbdncclmgdcncolpebgiejap [2018-01-07] CHR Extension: (Google Документы офлайн) - C:\Users\AllCapone\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2018-01-07] Сообщите, что с проблемой? 1
Rubus Опубликовано 8 января, 2018 Автор Опубликовано 8 января, 2018 (изменено) еее, больше банера проклятого нет, спасибо братан, реально помог. уже на другой браузер пришлось пересесть, а привык на хроме, поэтому остаюсь на нём. Расскажи если не сложно, хотя бы вкрадце, как самому такие скрипты писать, чтобы в лишний раз вас по таким пустякам не отвлекать? Изменено 8 января, 2018 пользователем Rubus
SQ Опубликовано 8 января, 2018 Опубликовано 8 января, 2018 Расскажи если не сложно, хотя бы вкрадце, как самому такие скрипты писать, чтобы в лишний раз вас по таким пустякам не отвлекать? Тут в двух словах не описать, необходимо пройти специализированный курс, Вы можете попробовать записаться когда будет следующих набор.
Rubus Опубликовано 8 января, 2018 Автор Опубликовано 8 января, 2018 Посмотрим, а в какой ветке набор мониторить? Кстати, по поводу этого червя, что это было, неужели скрытое расширение хрома которое не отображается?
SQ Опубликовано 8 января, 2018 Опубликовано 8 января, 2018 Посмотрим, а в какой ветке набор мониторить? Кстати, по поводу этого червя, что это было, неужели скрытое расширение хрома которое не отображается? Мониторьте например на стороннем форуме virusinfo.info. С хромом обычно это расширения, пробуйте по одному из отключенных включить, чтобы понять из-за какого расширения, как выявите, удалите вредоносное расширение.
Rubus Опубликовано 8 января, 2018 Автор Опубликовано 8 января, 2018 (изменено) С хромом обычно это расширения, пробуйте по одному из отключенных включить, чтобы понять из-за какого расширения, как выявите, удалите вредоносное расширение. Я их все удалял, проблему не решало. Несколько стандартных появилось после того как я браузер переустанавливал (делал это раз 5), я их все отключил. обычным способом вирус не удалить, почему не знаю, я сделал предположение - возможно это расширения которые не отображаются, но они есть Изменено 8 января, 2018 пользователем Rubus
SQ Опубликовано 9 января, 2018 Опубликовано 9 января, 2018 Я их все удалял, проблему не решало. Несколько стандартных появилось после того как я браузер переустанавливал (делал это раз 5), я их все отключил. обычным способом вирус не удалить, почему не знаю, я сделал предположение - возможно это расширения которые не отображаются, но они есть Скорее всего была подмена стандартного расширения.
Rubus Опубликовано 9 января, 2018 Автор Опубликовано 9 января, 2018 Скорее всего была подмена стандартного расширения. Но они все были отключены, об этом свидетельствует видео которое я снимал, галочки везде были сняты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти