dksmartapp 0 Опубликовано 9 апреля, 2018 Share Опубликовано 9 апреля, 2018 Здравствуйте! ПК начал самопроизвольно открывать браузер Ghrome и десятки вкладок с адресами enclosely. info suggedin. info и т.д. До этого ПК просто был включен целый день и им никто не пользовался. Что сделано: 1. Хром удалил вручную через панель, тогда стал открываться Mozilla (браузер по умолчанию) - и десятки таких же вкладок. Работать возможно только при отключенном интернете. Как только подключаешься - сразу открываются вкладки. 2. KVRT нашел 4-5 вредоносов, вылечил/удалил, но trojan.multi.GenAutorunBITS.a появляется снова и снова 3. CureIt нашел еще что-то другое и ~50 зараженных файлов. 4. После KVRT + CureIt вкладки уже не открываются самопроизвольно в Mozilla, но при открытии других браузеров - валом идут новые вкладки с рекламой ( хром удален) 5. Скачал и запустил AutoLogger по инструкции (лог в приложении) Жду помощи, спасибо! CollectionLog-2018.04.09-12.16.zip Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 979 Опубликовано 9 апреля, 2018 Share Опубликовано 9 апреля, 2018 Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи. Здравствуйте! Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ClearQuarantine; QuarantineFile('C:\Program Files\jetmedia\nativedesktopmediaservice\checker.exe',''); QuarantineFile('C:\PROGRA~2\261418cf\6912bd3b.dll',''); DeleteFile('C:\PROGRA~2\261418cf\6912bd3b.dll','32'); DeleteFile('C:\WINDOWS\system32\Tasks\{3A9A56DA-E611-3EFB-D523-FE71BA023B0C}','32'); ExecuteSysClean; RebootWindows(true); end. Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su. 1. В заголовке письма напишите "Карантин". 2. В письме напишите ссылку на Вашу тему. 3. Прикрепите файл карантина и нажмите "Отправить" Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать). O17 - HKLM\System\CCS\Services\Tcpip\..\{7eb1f419-d137-454c-89e8-5e1eddef22c4}: [NameServer] = 82.163.142.178 O17 - HKLM\System\CCS\Services\Tcpip\..\{7eb1f419-d137-454c-89e8-5e1eddef22c4}: [NameServer] = 82.163.143.176 O17 - HKLM\System\CCS\Services\Tcpip\..\{d4b7996b-301e-4e12-9220-a570ab544e48}: [NameServer] = 82.163.142.178 O17 - HKLM\System\CCS\Services\Tcpip\..\{d4b7996b-301e-4e12-9220-a570ab544e48}: [NameServer] = 82.163.143.176 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: [NameServer] = 82.163.142.178 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: [NameServer] = 82.163.143.176 Если после фикса пропадет Интернет, впишите в настройки DNS адреса, выданные Вам провайдером (см. договор или звоните в их техподдержку). Сделайте новые логи Автологгером. Цитата Ссылка на сообщение Поделиться на другие сайты
dksmartapp 0 Опубликовано 9 апреля, 2018 Автор Share Опубликовано 9 апреля, 2018 (изменено) [member=mike 1], Спасибо за отклик! Сделал все по вашей инструкции, на почту отправил карантин. По поведению ПК стал еще хуже. Каждые 3-4 сек открываются и закрываются 1-2 окна командной строки, потом вкладки в браузере. Прилагаю новый отчет автологгера CollectionLog-2018.04.09-23.31.zip Изменено 9 апреля, 2018 пользователем dksmartapp Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 979 Опубликовано 9 апреля, 2018 Share Опубликовано 9 апреля, 2018 Деинсталлируйте NativeDesktopMediaService. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin QuarantineFile('C:\PROGRA~2\261418cf\6912bd3b.dll',''); TerminateProcessByName('c:\users\dksma\appdata\local\temp\3752db8e-e647-40b1-b77a-1352317d714f\netadapter.exe'); QuarantineFile('c:\users\dksma\appdata\local\temp\3752db8e-e647-40b1-b77a-1352317d714f\netadapter.exe',''); DeleteFile('c:\users\dksma\appdata\local\temp\3752db8e-e647-40b1-b77a-1352317d714f\netadapter.exe','32'); DeleteFile('C:\WINDOWS\system32\Tasks\Checker32','32'); DeleteFile('C:\WINDOWS\system32\Tasks\F73EE8D4-CD05-B691-DC2C-4CC0E465CAA9','32'); DeleteFile('C:\PROGRA~2\261418cf\6912bd3b.dll','32'); ExecuteSysClean; RebootWindows(true); end. Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.1. В заголовке письма напишите "Карантин". 2. В письме напишите ссылку на Вашу тему. 3. Прикрепите файл карантина и нажмите "Отправить" Пофиксите следующие строчки в HiJackThis. O17 - HKLM\System\CCS\Services\Tcpip\..\{7eb1f419-d137-454c-89e8-5e1eddef22c4}: [NameServer] = 82.163.142.178 O17 - HKLM\System\CCS\Services\Tcpip\..\{7eb1f419-d137-454c-89e8-5e1eddef22c4}: [NameServer] = 82.163.143.176 O17 - HKLM\System\CCS\Services\Tcpip\..\{d4b7996b-301e-4e12-9220-a570ab544e48}: [NameServer] = 82.163.142.178 O17 - HKLM\System\CCS\Services\Tcpip\..\{d4b7996b-301e-4e12-9220-a570ab544e48}: [NameServer] = 82.163.143.176 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: [NameServer] = 82.163.142.178 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: [NameServer] = 82.163.143.176 O22 - Task: Checker32 - C:\Program Files\Jetmedia\NativeDesktopMediaService\checker.exe O22 - Task: F73EE8D4-CD05-B691-DC2C-4CC0E465CAA9 - C:\WINDOWS\system32\regsvr32.exe /n /s /i:"/06d43215e19ac6ec /q" "C:\Users\dksma\AppData\Local\E73E96A2-82E5-288D-4301-2032D33E3FC2\{6912BD3B-A5F4-4F06-992B-2C8E11278B67}.." O22 - Task: {3A9A56DA-E611-3EFB-D523-FE71BA023B0C} - C:\WINDOWS\system32\regsvr32.exe /s /n /i:"/rt" "C:\PROGRA~2\261418cf\6912bd3b.dll" Сделайте новые логи Автологгером. Цитата Ссылка на сообщение Поделиться на другие сайты
dksmartapp 0 Опубликовано 10 апреля, 2018 Автор Share Опубликовано 10 апреля, 2018 Все сделал по инструкции. NativeDesktopMediaService деинсталлировал. Карантин выслал на почту с другого ящика, т.к. gmail уже не разрешает прикреплять файлы к письму, ругается на вирус. Сделал 2 сканирования автологгером - первое с отключенным интернетом (таким образом пытался ускорить процесс), второе - с включенным. Стоит лицензионная Win10, встроенный антивирус каждые 10 сек находит новые и новые trojan, dnschanger, browser modifier и т.д. CollectionLog-2018.04.10-08.38.zip CollectionLog-2018.04.10-08.58.zip Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 979 Опубликовано 10 апреля, 2018 Share Опубликовано 10 апреля, 2018 Скачайте отсюда Malwarebytes' Anti-Malware Установите MBAM с настройками по умолчанию. После установки в главном окне программы, выберите "Параметры". В параметрах перейдите на вкладку "Личный кабинет" и нажмите на кнопку "Деактивировать ознакомительную премиум версию". При появлении окошка предупреждения, нажмите "Yes". Обновите базы, выберите "Проверка" => "Выборочное сканирование", нажмите "Настроить сканирование". Сделайте настройки как показано на рисунке ниже: Для сканирование отметьте все доступные диски и нажмите "Запустить проверку" Самостоятельно ничего не удаляйте!!!. По окончанию проверки, нажмите на кнопку "Сохранить результаты проверки", результат проверки сохраните в текстовой файл. Сохраните лог на рабочий стол. Прикрепите этот лог к следующему вашему сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
dksmartapp 0 Опубликовано 10 апреля, 2018 Автор Share Опубликовано 10 апреля, 2018 отчет Malwarebytes MBAM 11-04-18 1-52.txt Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 979 Опубликовано 11 апреля, 2018 Share Опубликовано 11 апреля, 2018 Удалите в MBAM все, кроме: Файл: 36 HackTool.PdfCracker, D:\(D) SOFT\UTILITIES\Удаление пароля с PDF\PWDREMOVER.EXE, Проигнорировано пользователем, [8732], [145278],1.0.4682 Generic.Malware/Suspicious, D:\(D) SOFT\Игры\MINECRAFT\START.EXE, Проигнорировано пользователем, [0], [392686],1.0.4682 HackTool.Agent, D:\(D) SOFT\SKETCHUP RUS\SKETCHUPPRO ENG 2014\Патч\PATCH.EXE, Проигнорировано пользователем, [3981], [1570],1.0.4682 Сделайте новый лог MBAM после удаления. Цитата Ссылка на сообщение Поделиться на другие сайты
dksmartapp 0 Опубликовано 12 апреля, 2018 Автор Share Опубликовано 12 апреля, 2018 Здравствуйте. В MBAM все удалил, кроме указанного. При повторной проверке ничего не нашлось, отчет прилагаю. После всех проверок и удалений зашел в настройки Защитника Win и увидел там в исключениях странные записи (см. прилагаемый скриншот). Пробую их удалить из исключений, но кнопка "удалить" не активная. Может, это старые записи до работы MBAM? MBAM 12-04-18 01-33.txt Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 979 Опубликовано 12 апреля, 2018 Share Опубликовано 12 апреля, 2018 Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе. Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
dksmartapp 0 Опубликовано 12 апреля, 2018 Автор Share Опубликовано 12 апреля, 2018 прикрепил AdwCleanerS00.txt Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 979 Опубликовано 12 апреля, 2018 Share Опубликовано 12 апреля, 2018 Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan". По окончанию сканирования снимите галочки со следующих строк: ***** [ Folders ] ***** Adware.Yelloader C:\Users\dksma\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\notepad3k Нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[С0].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
dksmartapp 0 Опубликовано 12 апреля, 2018 Автор Share Опубликовано 12 апреля, 2018 сделал по инструкции, с перезагрузкой AdwCleanerC00.txt Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 979 Опубликовано 13 апреля, 2018 Share Опубликовано 13 апреля, 2018 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Цитата Ссылка на сообщение Поделиться на другие сайты
dksmartapp 0 Опубликовано 13 апреля, 2018 Автор Share Опубликовано 13 апреля, 2018 прикрепляю FRST.txt Addition.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.