ArCtic 0 Опубликовано 4 апреля, 2022 Share Опубликовано 4 апреля, 2022 Здравствуйте, какой-то вирусок перенаправляет все ссылки в браузере на адрес https://uzoguy.dieannews.xyz Антивирусники Нод 32 и Kaspersky Virus Removal Tool; ничего не нашли. CollectionLog-2022.04.04-17.54.zip Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 5 апреля, 2022 Share Опубликовано 5 апреля, 2022 Здравствуйте! "Пофиксите" в HijackThis (некоторые строки могут отсутствовать): O17 - DHCP DNS 1: 5.187.7.249 O17 - DHCP DNS 2: 45.129.97.29 Перетащите лог Check_Browsers_LNK.log из папки C:\Users\ECS\Downloads\AutoLogger\AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите. Через Панель управления - Удаление программ удалите устаревшие Цитата Adobe Flash Player 32 ActiveX Adobe Flash Player 32 NPAPI Adobe Flash Player 32 PPAPI Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift". Проблема наблюдается в любом браузере или в определенном? Ссылка на сообщение Поделиться на другие сайты
ArCtic 0 Опубликовано 5 апреля, 2022 Автор Share Опубликовано 5 апреля, 2022 В опере - точно. ClearLNK-2022.04.05_10.50.19.log CollectionLog-2022.04.05-11.00.zip Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 5 апреля, 2022 Share Опубликовано 5 апреля, 2022 Продолжаем: Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
ArCtic 0 Опубликовано 5 апреля, 2022 Автор Share Опубликовано 5 апреля, 2022 готово AdwCleaner[C00].txt AdwCleaner[S00].txt AdwCleaner[S01].txt AdwCleaner[S02].txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 6 апреля, 2022 Share Опубликовано 6 апреля, 2022 Спасибо, далее: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Да для соглашения с предупреждением. Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
ArCtic 0 Опубликовано 6 апреля, 2022 Автор Share Опубликовано 6 апреля, 2022 готово FRST.txt Addition.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 6 апреля, 2022 Share Опубликовано 6 апреля, 2022 Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: SystemRestore: On CreateRestorePoint: HKU\S-1-5-21-3406002263-558202271-1107361342-1000\...\MountPoints2: F - F:\AutoRun.exe HKU\S-1-5-21-3406002263-558202271-1107361342-1000\...\MountPoints2: H - H:\SISetup.exe HKU\S-1-5-21-3406002263-558202271-1107361342-1000\...\MountPoints2: J - J:\SISetup.exe HKU\S-1-5-21-3406002263-558202271-1107361342-1000\...\MountPoints2: {5795c500-51ba-11e8-a984-001921314667} - F:\AutoRun.exe HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ Tcpip\Parameters: [DhcpNameServer] 5.187.7.249 45.129.97.29 Tcpip\..\Interfaces\{5D0813B9-EC49-468F-806B-AFA5D9C8B056}: [DhcpNameServer] 5.187.7.249 45.129.97.29 CHR HKLM\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb] CHR HKLM\...\Chrome\Extension: [cncgohepihcekklokhbhiblhfcmipbdh] CHR HKLM\...\Chrome\Extension: [gehngeifmelphpllncobkmimphfkckne] CHR HKLM\...\Chrome\Extension: [mdeldjolamfbcgnndjmjjiinnhbnbnla] CHR HKLM\...\Chrome\Extension: [pbcgcpeifkdjijdjambaakmhhpkfgoec] CHR HKLM\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\":: WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99] WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate] AlternateDataStreams: C:\ProgramData\TEMP:58A5270D [147] Toolbar: HKU\S-1-5-21-3406002263-558202271-1107361342-1000 -> Нет имени - {4853DF44-7D6B-48E9-9258-D800EEE54AF6} - Нет файла cmd: del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*" C:\Windows\Temp\*.* C:\WINDOWS\system32\*.tmp C:\WINDOWS\syswow64\*.tmp EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Через Панель управления - Удаление программ деинсталлируйте Цитата Malwarebytes Activation Старайтесь избегать всяких "репаков", а от "Кролика" и подавно. Ссылка на сообщение Поделиться на другие сайты
ArCtic 0 Опубликовано 6 апреля, 2022 Автор Share Опубликовано 6 апреля, 2022 3 часа назад, Sandor сказал: Старайтесь избегать всяких "репаков", а от "Кролика" и подавно. а что не так с Кроликом? Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 6 апреля, 2022 Share Опубликовано 6 апреля, 2022 Неоднократно замечены подобные репаки у тех, кто обращается за помощью лечения от вредоносных программ. Что сейчас с проблемой? Если сохраняется, обратите внимание в каком именно браузере? Ссылка на сообщение Поделиться на другие сайты
ArCtic 0 Опубликовано 6 апреля, 2022 Автор Share Опубликовано 6 апреля, 2022 бес ушел! Спасибо! Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 7 апреля, 2022 Share Опубликовано 7 апреля, 2022 Отлично! В завершение и на будущее: 1. Пожалуйста, запустите adwcleaner.exeВ меню Параметры прокрутите вниз и выберите Удалить. Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Компьютер перезагрузится. Остальные утилиты лечения и папки можно просто удалить. 2.Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работуДождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txtЕсли Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txtПрикрепите этот файл к своему следующему сообщению. Ссылка на сообщение Поделиться на другие сайты
ArCtic 0 Опубликовано 7 апреля, 2022 Автор Share Опубликовано 7 апреля, 2022 Комп забрали. Спасибо. Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 7 апреля, 2022 Share Опубликовано 7 апреля, 2022 Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского". Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения