Михаил Киселёв Опубликовано 21 мая, 2018 Опубликовано 21 мая, 2018 Здравствуйте! У меня 100% вирус на компьютере, и довольно таки хитрый. Я 2 раза перезагружал компьютер, 2 раза проводил полную проверку. Результата не дало. Галочка "Обнаруживать другие программы, которые могут быть использованы злоумышленниками для нанесения вреда компьютеру или данным пользователя" - стоит. Этот вирус внес какие-то изменения почти во все программы на компьютере, так как у них дата установки обновилась и стала 20 мая (скриншот прикрепил) До установки касперского реклама была в браузере "Гугл Хром", на популярных сайтах - ВК, Ютуб и т.д.. Установил Касперский, он стал блокировать ее в браузере, пишет всегда (всплывает справа) - "Загрузка запрещена". Полная запись в логе: "21.05.2018 18.14.31;Заблокирован веб-адрес, который может быть использован злоумышленниками для нанесения вреда компьютеру и персональным данным, или рекламный сайт;https://mb49mn8bz.ru/d6safundjenk6af/30370.js;https://mb49mn8bz.ru/d6safundjenk6af/30370.js;Веб-адрес;GoogleChrome;05/21/2018 18:14:31" Только так блокирует и все.. А удалить вообще невозможно. Но из-за этого теперь процессор нагружен почти до 100%, хотя стоит i5 . Никогда так не нагружался, максимум 15-20% видел.. Заранее спасибо за помощь.
Михаил Киселёв Опубликовано 21 мая, 2018 Автор Опубликовано 21 мая, 2018 Здравствуйте! У меня 100% вирус на компьютере, и довольно таки хитрый. Я 2 раза перезагружал компьютер, 2 раза проводил полную проверку. Результата не дало. Галочка "Обнаруживать другие программы, которые могут быть использованы злоумышленниками для нанесения вреда компьютеру или данным пользователя" - стоит. Этот вирус внес какие-то изменения почти во все программы на компьютере, так как у них дата установки обновилась и стала 20 мая (скриншот прикрепил) До установки касперского реклама была в браузере "Гугл Хром", на популярных сайтах - ВК, Ютуб и т.д.. Установил Касперский, он стал блокировать ее в браузере, пишет всегда (всплывает справа) - "Загрузка запрещена". Полная запись в логе: "21.05.2018 18.14.31;Заблокирован веб-адрес, который может быть использован злоумышленниками для нанесения вреда компьютеру и персональным данным, или рекламный сайт;https://mb49mn8bz.ru...еб-адрес;GoogleChrome;05/21/2018 18:14:31" Только так блокирует и все.. А удалить вообще невозможно. Но из-за этого теперь процессор нагружен почти до 100%, хотя стоит i5 . Никогда так не нагружался, максимум 15-20% видел.. Заранее спасибо за помощь Сообщение от модератора Mark D. Pearlstone Темы объединены. CollectionLog-2018.05.22-00.11.zip
thyrex Опубликовано 21 мая, 2018 Опубликовано 21 мая, 2018 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; DeleteFile('C:\WINDOWS\system32\Tasks\GoogleUpdateSecurityTaskMachine_GP','x64'); DeleteFile('C:\WINDOWS\system32\Tasks\GoogleUpdateSecurityTaskMachine_DP','x64'); DeleteFile('C:\WINDOWS\system32\Tasks\GoogleUpdateSecurityTaskMachine_OC','x64'); DeleteFile('C:\WINDOWS\system32\Tasks\GoogleUpdateSecurityTaskMachine_RB','x64'); DeleteFile('C:\WINDOWS\system32\Tasks\GoogleUpdateSecurityTaskMachine_ZC','x64'); DeleteFile('C:\WINDOWS\system32\Tasks\bku0000499931909455','x64'); DeleteFile('C:\Users\TheMKTV\AppData\Local\Temp\zhjbli4f.uee\hhueiqpii.exe','64'); DeleteFile('C:\WINDOWS\system32\Tasks\CCleaner Update','x64'); DeleteFile('C:\WINDOWS\system32\Tasks\CCleanerSkipUAC','x64'); DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\DeviceDirectoryClient\DeviceDirectoryClientTask','x64'); DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\Services\WindowsUpdate32','x64'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end. Обратите внимание: будет выполнена перезагрузка компьютера.Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.1. Распакуйте архив с утилитой в отдельную папку. 2. Перенесите Check_Browsers_LNK.log из папки Autologger на ClearLNK как показано на рисунке 3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG. 4. Прикрепите этот отчет к своему следующему сообщению. Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.
Михаил Киселёв Опубликовано 21 мая, 2018 Автор Опубликовано 21 мая, 2018 Готово ClearLNK-2018.05.22_00.45.23.log CollectionLog-2018.05.22-00.52.zip
thyrex Опубликовано 21 мая, 2018 Опубликовано 21 мая, 2018 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.
thyrex Опубликовано 21 мая, 2018 Опубликовано 21 мая, 2018 1. Откройте Блокнот и скопируйте в него приведенный ниже текст CreateRestorePoint: GroupPolicy: Restriction - Windows Defender <==== ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION CHR StartupUrls: Default -> "","hxxp://mail.ru/cnt/7993/","hxxp://websearch.searchfix.info/?pid=724&r=2014/11/25&hid=8288379229089277140&lg=EN&cc=RU","hxxp://www.mystartsearch.com/?type=hp&ts=1419246029&from=epom&uid=SAMSUNGXHM321HX_S26VJ9AZ632908","hxxp://mail.ru/cnt/10445?gp=mp3","hxxp://www.google.com","hxxp://mail.ru/cnt/10445?gp=blackbear9","hxxp://mail.ru/cnt/10445?gp=openpart2","hxxp://go.mail.ru/?chverfix=1&fr=chverfix_sg","hxxp://www.istartpageing.com/?type=hp&ts=1450040666&z=2143fae8e41e4034cffa9b8g7z0w6efe3z8e2qaq4z&from=cmi&uid=WDCXWD10EZEX-00BN5A0_WD-WCC3FC55E9665E966","hxxp://www.yoursearching.com/?type=hp&ts=1450118919&z=7e14a544671a1397391a2eeg3z2wee3gcg5b8t0g2q&from=face&uid=WDCXWD10EZEX-00BN5A0_WD-WCC3FC55E9665E966","hxxp://www.istartpageing.com/?type=hp&ts=1450205299&z=fab8d48bc10419b20f8a85egezew4e8o8e2wbo1t2q&from=cmi&uid=WDCXWD10EZEX-00BN5A0_WD-WCC3FC55E9665E966","hxxp://mail.ru/cnt/10445?gp=820323" CHR HKLM\...\Chrome\Extension: [mchjnmdbdlkdbfliogedbnpnanfjnolk] - hxxps://chrome.google.com/webstore/detail/mchjnmdbdlkdbfliogedbnpnanfjnolk CHR HKU\S-1-5-21-2532700777-173496539-699649590-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [mchjnmdbdlkdbfliogedbnpnanfjnolk] - hxxps://chrome.google.com/webstore/detail/mchjnmdbdlkdbfliogedbnpnanfjnolk 2017-11-25 00:43 - 2017-11-25 00:43 - 000000000 _____ () C:\Users\TheMKTV\AppData\Roaming\df0cbc26de5c23bc4d42fd7abb4962ee 2018-05-20 01:35 - 2018-05-20 01:35 - 000068356 _____ () C:\Users\TheMKTV\AppData\Roaming\run2.exe Task: {1706C02A-CD92-446B-9C97-D0A613B2C582} - System32\Tasks\GoogleUpdateSecurityTaskMachine_GP => C:\Users\TheMKTV\AppData\Local\e8e3db7303b847e7b20c72b95c75140f\HandlerExecution.exe <==== ATTENTION Task: {300F361A-8059-4ADC-97FE-C0CA2AA1A92D} - \Microsoft\Windows\UNP\RunCampaignManager -> No File <==== ATTENTION Task: {6502514F-F4C4-4742-96C1-D1F9FA088481} - System32\Tasks\Noise Italian Juest => C:\WINDOWS\system32\rundll32.exe "C:\Program Files\Noise Italian Juest\Noise Italian Juest.dll",VDTUedi <==== ATTENTION Task: {7A1CE6A5-35E3-4EA9-97C1-6D46E4502189} - System32\Tasks\GoogleUpdateSecurityTaskMachine_OC => C:\ProgramData\3eb674db41b54cf885961b287c2b8ca0\HandlerExecution.exe <==== ATTENTION Task: {9765E027-3291-45A1-A50E-F8569E0736E0} - System32\Tasks\Microsoft\Windows\DeviceDirectoryClient\DeviceDirectoryClientTask => C:\WINDOWS\winmain64.exe Task: {9FEFE414-78F9-42C4-A378-3107FA0584B5} - System32\Tasks\Microsoft\Windows\Services\WindowsUpdate32 => C:\WINDOWS\srv_ext.exe Task: {A51D8835-868D-4C6A-96A3-2D16497EA040} - System32\Tasks\GoogleUpdateSecurityTaskMachine_DP => C:\Users\TheMKTV\AppData\Local\Temp\6d82f9c5094746d1869dd3124df024d5\HandlerExecution.exe <==== ATTENTION Task: {E95CCC3E-1A69-4A57-9312-53DA474FF8EA} - System32\Tasks\GoogleUpdateSecurityTaskMachine_RB => C:\Users\TheMKTV\AppData\Local\Temp\8428a3afdee8476d8be3c14d702bec31\HandlerExecution.exe <==== ATTENTION Task: {FEBAFD74-33F2-475E-985D-0ED998C3C50C} - System32\Tasks\GoogleUpdateSecurityTaskMachine_ZC => C:\ProgramData\9c690703f4e34864bc41e84cecde0e0d\HandlerExecution.exe <==== ATTENTION AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [128] AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [144] AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A [128] AlternateDataStreams: C:\Users\Все пользователи\TEMP:A064CECC [144] Reboot: 2. Нажмите Файл – Сохранить как3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool 4. Укажите Тип файла – Все файлы (*.*) 5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить 6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: будет выполнена перезагрузка компьютера.
Михаил Киселёв Опубликовано 21 мая, 2018 Автор Опубликовано 21 мая, 2018 Готово Я не знаю, что произошло. Но после перезагрузки, Касперский перестал выдавать окно о блокировке ссылки. Fixlog.txt
thyrex Опубликовано 21 мая, 2018 Опубликовано 21 мая, 2018 Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10); Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу; Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt; Процитируйте содержимое файла в своем следующем сообщении.
Михаил Киселёв Опубликовано 21 мая, 2018 Автор Опубликовано 21 мая, 2018 SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17] WebSite: www.safezone.cc DateLog: 22.05.2018 05:25:43 Path starting: C:\Users\TheMKTV\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe Log directory: C:\SecurityCheck\ IsAdmin: True User: TheMKTV VersionXML: 5.06is-19.05.2018 ___________________________________________________________________________ Windows 10(6.3.17134) (x64) Education Версия: 1803 Lang: Russian(0419) Дата установки ОС: 20.05.2018 10:56:01 Статус лицензии: Office 16, Office16ProPlusR_Grace edition Срок окончания начального льготного периода: 5071 мин. Статус лицензии: Office 16, Office16ProPlusVL_KMS_Client edition Срок окончания начального льготного периода: 41071 мин. Статус лицензии: Windows®, Education edition Windows находится в режиме уведомления Режим загрузки: Normal Браузер по умолчанию: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe Системный диск: C: ФС: [NTFS] Емкость: [243.2 Гб] Занято: [165.7 Гб] Свободно: [77.5 Гб] ------------------------------- [ Windows ] ------------------------------- Internet Explorer 11.48.17134.0 Контроль учётных записей пользователя отключен ^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^ Центр обновления Windows (wuauserv) - Служба остановлена Центр обеспечения безопасности (wscsvc) - Служба работает Удаленный реестр (RemoteRegistry) - Служба остановлена Обнаружение SSDP (SSDPSRV) - Служба работает Службы удаленных рабочих столов (TermService) - Служба остановлена Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена ---------------------------- [ Antivirus_WMI ] ---------------------------- Kaspersky Anti-Virus (включен и обновлен) Windows Defender (отключен) --------------------------- [ FirewallWindows ] --------------------------- Брандмауэр Защитника Windows (mpssvc) - Служба работает --------------------------- [ AntiSpyware_WMI ] --------------------------- Kaspersky Anti-Virus (включен и обновлен) Windows Defender (выключен и обновлен) ---------------------- [ AntiVirusFirewallInstall ] ----------------------- Kaspersky Anti-Virus v.18.0.0.405 Kaspersky Secure Connection v.18.0.0.405 -------------------------- [ SecurityUtilities ] -------------------------- UnHackMe 9.85 --------------------------- [ OtherUtilities ] ---------------------------- WinRAR 5.40 (64-разрядная) v.5.40.0 Внимание! Скачать обновления VMware Workstation v.14.0.0 FileZilla Client 3.29.0 v.3.29.0 Внимание! Скачать обновления TeamViewer 13 v.13.1.3629 TeamViewer 13 (TeamViewer) - Служба работает --------------------------------- [ IM ] ---------------------------------- WhatsApp v.0.2.6426 -------------------------------- [ Java ] --------------------------------- Java 8 Update 151 v.8.0.1510.12 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u172-windows-i586.exe)^ ------------------------------- [ Browser ] ------------------------------- Mozilla Firefox 60.0.1 (x64 ru) v.60.0.1 Yandex v.18.4.0.2080 Внимание! Скачать обновления ^Проверьте обновления через меню Дополнительно - О браузере Yandex!^ Google Chrome v.66.0.3359.181 --------------------------- [ RunningProcess ] ---------------------------- C:\Program Files (x86)\Google\Chrome\Application\chrome.exe v.66.0.3359.181 C:\Users\TheMKTV\AppData\Local\Yandex\YandexBrowser\Application\browser.exe v.18.4.0.2080 C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\MicrosoftEdge.exe v.11.0.17134.48 ------------------ [ AntivirusFirewallProcessServices ] ------------------- Kaspersky Anti-Virus Service 18.0.0 (AVP18.0.0) - Служба работает C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 18.0.0\avp.exe v.18.0.0.405 C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 18.0.0\avpui.exe v.18.0.0.405 C:\Program Files (x86)\Kaspersky Lab\Kaspersky Secure Connection 2.0\ksde.exe v.18.0.0.405 C:\Program Files (x86)\Kaspersky Lab\Kaspersky Secure Connection 2.0\ksdeui.exe v.18.0.0.405 C:\Program Files\Windows Defender\MSASCuiL.exe v.4.13.17134.1 Антивирусная программа "Защитника Windows" (WinDefend) - Служба остановлена Служба проверки сети Windows Defender Antivirus (WdNisSvc) - Служба остановлена ----------------------------- [ End of Log ] ------------------------------
thyrex Опубликовано 22 мая, 2018 Опубликовано 22 мая, 2018 Выполните указанные рекомендации, и на этом закончим.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти