Перейти к содержанию

Рекламный вирус gameorplay.info


Рекомендуемые сообщения

Вчера, 10.07.2018, на моём компьютере появился рекламный вирус gameorplay.info. Этот вирус при каждом запуске компьютера сразу же открывает страницу firefox с соответствующим адресом gameorplay.info. Других действий этого вируса пока не замечено.

 

Есть подозрение, что заражение этим вирусом произошло после вчерашнего обновления лицензионной версии игры Far cry 5. Поскольку данный вирус появился сразу после этого обновления, и  других действий с компьютером между обновлением игры с последующим использованием Far cry 5 и заражением я не производил.

 

Попытки лечения компьютера с помощью программ Kaspersky Virus Removal Tool 2015 и Dr.Web CureIt! результатов не дали

CollectionLog-2018.07.11-13.07.zip

Изменено пользователем dao47rus
Ссылка на комментарий
Поделиться на другие сайты

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 
"Пофиксите" в HijackThis:

O4 - HKCU\..\Run: [47] = C:\Windows\system32\cmd.exe /c start www.exinariuminix.info
O4 - MSConfig\startupreg: Aimersoft Helper Compact.exe [command] = C:\Program Files (x86)\Common Files\Aimersoft\Aimersoft Helper Compact\ASHelper.exe (file missing) (HKLM) (2018/07/10)
O4 - MSConfig\startupreg: Dropbox [command] = C:\Program Files (x86)\Dropbox\Client\Dropbox.exe /systemstartup (file missing) (HKLM) (2017/11/08)
O4 - MSConfig\startupreg: GameCenterMailRu [command] = C:\Users\47\AppData\Local\Mail.Ru\GameCenter\GameCenter@Mail.Ru.exe -autostart (file missing) (HKCU) (2017/05/27)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt: &Экспорт в Microsoft Excel - C:\Program Files\Microsoft Office\Office14\EXCEL.EXE (file missing)
O22 - Task: \AVAST Software\Avast settings backup - C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe /backup /iavs (file missing)

 
Программы/расширения от Mail.ru используете?
 

  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[s00].txt.
  • Прикрепите отчет к своему следующему сообщению.
Изменено пользователем regist
Ссылка на комментарий
Поделиться на другие сайты

Ссылка на карантин VirusDetector

https://virusinfo.info/virusdetector/report.php?md5=2B223DBED93B8B5D25494664D0BAAD5C

 

В HiJackThis "пофиксил". После перезагрузки рекламная страница gameorplay не появилась!

 

По поводу Mail.ru: у меня на компьютере был установлен только Игровой центр Mail.ru. Но больше полугода я им вообще не пользовался. Впрочем, на всякий случай, сейчас удалил его.

 

В приложении отчёты AdwCleaner и HiJackThis

 

Спасибо за помощь!

 

HiJackThis.log

AdwCleanerS00.txt

Ссылка на комментарий
Поделиться на другие сайты

  • Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Настройки включите дополнительно в разделе Базовые действия:
    • Сбросить политики IE
    • Сбросить политики Chrome
  • В меню Панель управления нажмите Сканировать.
  • По окончании нажмите кнопку Очистить и восстановить и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Сделал всё по пунктам. Отчёт AdwCleaner в приложенном файле

 

 

 


+

Прикрепленные файлы

Лог  HiJackThis.log это до фикса или после? По нему не видно, чтобы вы фиксили.

 

Честно говоря, не могу сказать точно до или после фикса этот отчёт HiJackThis. Но я точно нашёл и пофиксил те строчки, которые вы указали в предыдущем сообщении. По крайней мере, при повторном запуске HiJackThis я их уже больше не нашёл в списке.

 

На всякий случай, прикладываю отчёт после повторного запуска и нажатия на кнопку "Проверить систему и сохранить отчёт". То есть уже точно после фикса, который был при первом запуске HiJackThis

AdwCleanerC02.txt

HiJackThis.log

Ссылка на комментарий
Поделиться на другие сайты

  • Пожалуйста, запустите adwcleaner.exe
  • В меню Настройки - Удалить AdwCleaner - выберите Удалить.
  • Подтвердите удаление, нажав кнопку: Да.


 

 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 
Ссылка на комментарий
Поделиться на другие сайты

Из уязвимостей avz нашёл только "Контроль учётных записей отключён".

 

Рекомендации по зачистке программ для лечения сейчас выполню. Спасибо!

avz_log.txt

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • farguskz
      Автор farguskz
      приветствую, после установки дистрибутива скаченного с официального сайта, получили зашифрованные файлы с письмом, так говорят менеджеры, прочитал ваш пост далее обращаюсь к вам за помощью в этом вопросе, спасибо
      систем защиты на момент возникновения проблемы не было, только удалил для переустановки едпоинт, с перепугу установил малваре прекратил отправку данных и нашёл очень много ошибок
      virus.zip Addition.txt Shortcut.txt FRST.txt
    • rancol347
      Автор rancol347
      Иногда проверяю компьютер КВРТ и он выдал 2 рекламных вируса/расширения. После лечения с перезагрузкой всё вроде нормально, но если через 2-3 дня проверить снова появляется 1-2 расширения (not-a-virus:HEUR:AdWare.js.extredirect.gen и ещё какой-то, но по названию самый обычный адварь). И могу ли запустить автологгер вместе с защитником виндовс? (я не понял как выгрузить) и компьютер теоретически должен выдержать.
    • monstr878
      Автор monstr878
      Помогите пожалуйста попал в такую ситуацию. С начала после запуска пк не открывалось не одно приложение, понель задач и поиск. Антивирус отказывался запускать сканирование запуская
      бессконечную загрузку. Попробовали AVZ не помогло, но встроенный антивирус винды начал работать но также ничего не нашел. Дальше переустановил виндовс, после скачивания всех обновлений,
      При настройки браузеров скачивании приложений проблема возобновилась. Установил касперский он нашел одну папку, но после удаления папки ничего не поменялаось.
      Симптомы: на нажатие кнопки виндовс реакции нет, не открывается поиск, настройки виндовс, при попытки зайти в персонализацию пишет что такого приложения не обнаружено.
      Подскажите пожалуйста что это может быть и как это решить?
    • LexaSLX
      Автор LexaSLX
      Добрый день! Через RDP на наш сервер проник вирус-шифровальщик,  появился новый том М (Зарезервировано системой) , на нем один файл HELP.txt, с координатами вымогателя. Так же этот файл появился во всех папках. Система грузится, но все файлы (1C, Office, html и др.) зашифрованы. На рабочем столе висит картинка с надписью: "We encrypted adn stolen all of your files. Open HELP.txt and follow the instructions to recover your files." . Нужна помощь в расшифровки.  В приложении результат сканирования FRST, а также оригиналы документов и их зашифрованные версииFRST.txt
      Addition.txt ориг и шифр.zip
      HELP.txt
    • alexansh
      Автор alexansh
      На смартфоне
      Версия Android 9 PPR1.180610.011
      Проверял антивирусом
      Kaspersky Free 
      Версия 11.124.4.14286
      Вирус: UDS:Trojan.AndroidOS.Piom.bngd
      -----------------------------------------------
      Если на смартфоне при открытии приложения "Сбербанк" появилось сообщение, что обнаружен вирус "UDS:Trojan.AndroidOS.Piom.bngd" 
      и при этом давалась возможность удалить этот вирус, что я и сделал (удалил его).
      В тех.поддержке Сбербанка мне сказали, что этот вирус был в прошивке смартфона, и что теперь уже он удалён модулем Касперского.
      Также сказали, что какие могут быть последствия от этого вируса, они не знают.
      Рекомендовали обратиться в Лабораторию Касперского.
      После этого на смартфоне иногда возникали торможения - черный экран во время работы на некоторое время и черный экран при перезагрузке на некоторое время.
      Кнопками можно было вывести смартфон в нормальное состояние. Но в основном смартфон работает нормально.
      **********************************************************************************************************************************
      Хотел узнать, что это за троян, что он делает, какие возможные последствия и как его можно побороть ?
      И лечится ли он антивирусом, если находится в прошивке ? (ведь при входе в приложение Сбербанк вирус был удален из прошивки).
      И как "очистить" прошивку, чтобы быть уверенным, что там всё в порядке ?
      И как избавиться от последствий этого трояна ?

×
×
  • Создать...