Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Вирус браузера (http://forum.oszone.net/showthread.php?t=322273)

Cleric9292232 03-01-2017 15:09 2700378
Вирус браузера
 
Вложений: 1
Netbook. при открытии браузера сразу стартует "левая" страница "searchstart.ru". + периодически цп грузится больше чем должен. н-р при открытии онлайн фильма цп нагружается 100%. при переводе в фуллкрин картинка практически не меняется(все тормозит). Пожалуйста помогите разобраться. логи прикрепил

SQx 04-01-2017 02:41 2700541
Здравствуйте,

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\docume~1\admin\locals~1\temp\nsi2.tmp\7130339d-d67a-4d75-87c6-d0028d936d77.exe');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\daemon2.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Application Data\Microsoft\5FE1F40B3FC8CB99C02A53CDFEBC61BB\61948F7C567A6B9085DA5EE78666783F.exe','');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\Microsoft\Macromed\Flash Player\D3A2EF78-1140-4C05-9C58-481D32563B19\7BA3B779-A9A5-4F8C-BC21-7754B3307EA2.exe','');
 QuarantineFile('c:\docume~1\admin\locals~1\temp\nsi2.tmp\7130339d-d67a-4d75-87c6-d0028d936d77.exe','');
 QuarantineFile('C:\Program Files\Common Files\4F2D2ECD-9A24-4A80-8D5D-8FEF9E9F7780\E8672AB3-4BE8-4F50-A7E1-2FB219FBF159.exe','');
 QuarantineFileF('C:\Program Files\Common Files\4F2D2ECD-9A24-4A80-8D5D-8FEF9E9F7780', '*.exe,*.dll,*.sys, *.pif', false,'', 0, 0);
 QuarantineFileF('C:\Documents and Settings\All Users\Application Data\Microsoft\Macromed\Flash Player\D3A2EF78-1140-4C05-9C58-481D32563B19', '*.exe,*.dll,*.sys, *.pif', false,'', 0, 0);
 QuarantineFileF('C:\Documents and Settings\Admin\Local Settings\Application Data\Microsoft\5FE1F40B3FC8CB99C02A53CDFEBC61BB', '*.exe,*.dll,*.sys, *.pif', false,'', 0, 0);
 DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\AppDownloads.lnk','32');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\daemon2.exe','32');
 DeleteFile('C:\Documents and Settings\Admin\Local Settings\Application Data\Microsoft\5FE1F40B3FC8CB99C02A53CDFEBC61BB\61948F7C567A6B9085DA5EE78666783F.exe','32');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\Microsoft\Macromed\Flash Player\D3A2EF78-1140-4C05-9C58-481D32563B19\7BA3B779-A9A5-4F8C-BC21-7754B3307EA2.exe','32');
 DeleteFile('c:\docume~1\admin\locals~1\temp\nsi2.tmp\7130339d-d67a-4d75-87c6-d0028d936d77.exe','32');
 DeleteFile('C:\Program Files\Common Files\4F2D2ECD-9A24-4A80-8D5D-8FEF9E9F7780\E8672AB3-4BE8-4F50-A7E1-2FB219FBF159.exe','32');
 DeleteFileMask('C:\Program Files\Common Files\4F2D2ECD-9A24-4A80-8D5D-8FEF9E9F7780', '*', true, ' ');
 DeleteDirectory('C:\Program Files\Common Files\4F2D2ECD-9A24-4A80-8D5D-8FEF9E9F7780');
 DeleteFileMask('C:\Documents and Settings\Admin\Local Settings\Application Data\Microsoft\5FE1F40B3FC8CB99C02A53CDFEBC61BB', '*', true, ' ');
 DeleteDirectory('C:\Documents and Settings\Admin\Local Settings\Application Data\Microsoft\5FE1F40B3FC8CB99C02A53CDFEBC61BB');
 DeleteFileMask('C:\Documents and Settings\All Users\Application Data\Microsoft\Macromed\Flash Player\D3A2EF78-1140-4C05-9C58-481D32563B19', '*', true, ' ');
 DeleteDirectory('C:\Documents and Settings\All Users\Application Data\Microsoft\Macromed\Flash Player\D3A2EF78-1140-4C05-9C58-481D32563B19');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','66783F687EE5AD5809B6A765C761948FSB');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','D3A2EF78-1140-4C05-9C58-481D32563B19');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Daemon');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','kagneuhsqs');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','66783F687EE5AD5809B6A765C761948FSB');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','AppDownloads');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','D3A2EF78-1140-4C05-9C58-481D32563B19');
BC_ImportAll;
ExecuteSysClean;
 ExecuteRepair(1);
 ExecuteRepair(3);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Подготовьте лог AdwCleaner.

Cleric9292232 04-01-2017 13:23 2700613
Вложений: 1
все выполнил. карантин оправил по форме. вот лог AdwCleaner

shestale 04-01-2017 14:00 2700626
Удалите в AdwCleaner все найденные объекты. Лог, который создается после удаления, прикрепите к сообщению.
+
Подготовьте логи FRST

SQx 04-01-2017 14:07 2700628
Также удалите два ярлыка:
Код:
C:\Documents and Settings\Admin\Local Settings\Application Data\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk
C:\Documents and Settings\Admin\Избранное\Ссылки\Интернет.url

Cleric9292232 04-01-2017 15:12 2700650
Вложений: 1
логи после

Cleric9292232 04-01-2017 15:21 2700654
FRST.txt:
Общая квота форума превышена на 25.9 Kb. Пожалуйста, сообщите об этом администрации.

shestale 04-01-2017 15:24 2700658
Цитата:
Цитата Cleric9292232
Общая квота форума превышена на 25.9 Kb. »
Запакуйте в архив и выложите.

Cleric9292232 04-01-2017 15:33 2700666
Архив ZIP - WinRAR.zip:
Общая квота форума превышена на 4.6 Kb. Пожалуйста, сообщите об этом администрации.

shestale 04-01-2017 15:36 2700668
Вы чего там пытаетесь упаковать?
Логи имеют маленький размер.
Упаковать нужно только логи!

Cleric9292232 04-01-2017 15:36 2700669
Вложений: 1
  • 1.rar (9.30 KB, скачиваний: 13)
Addition

SQx 04-01-2017 15:45 2700673
А где лог FRST.txt и Shortcut.txt?

Cleric9292232 04-01-2017 15:47 2700675
не могу залить. пишет что превышена квота. попробую на файлообменник

http://файлообменник.рф/z7dsz0ajdhrj.html

http://файлообменник.рф/ibgu48levzge.html

SQx 04-01-2017 15:56 2700678
Без Adware не нашли файловое хранилище?
Пробуйте перезалить на яндекс-диск, гугле-диск и т.п.

Cleric9292232 04-01-2017 15:58 2700679
перезалить логи FRST.txt и Shortcut.txt?

https://yadi.sk/d/RGwIxrN-36t793

SQx 04-01-2017 16:04 2700686
  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    Код:
    CreateRestorePoint:
    CloseProcesses:
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
    SearchScopes: HKU\S-1-5-21-861567501-1326574676-1614895754-500 -> {95F663C0-C370-4955-8B39-63069DB1F6C0} URL = hxxp://inet123.ru/?cx=partner-pub-7107628092852806%3Asxiti5-ktqk&cof=FORID%3A10&ie=utf-8&q={searchTerms}&sa=%CF%EE%E8%F1%EA&siteurl=inet123.ru%2F#881
    FF Homepage: C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://helogu.ru/?utm_content=45c1b0e5845c99cca0655b2843f37e03&utm_source=startpm&utm_term=D03E616FFEF9D1AE8E9A8B67A70378A4
    File: C:\Program Files\Adguard\AdguardSvc.exe
    2016-02-07 20:02 - 2016-02-07 20:02 - 0000000 _____ () C:\Documents and Settings\Admin\Application Data\smw_inst
    ShortcutWithArgument: C:\Documents and Settings\Admin\Local Settings\Application Data\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk -> C:\WINDOWS\system32\cmd.exe (Корпорация Майкрософт) ->  /c start "" "hxxp://helogu.ru/?utm_source=startlink03&utm_term=D03E616FFEF9D1AE8E9A8B67A70378A4&utm_d=20160205"
    Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

Cleric9292232 04-01-2017 16:14 2700689
Вложений: 1
Фикслог

SQx 04-01-2017 16:19 2700693
Сообщите, что с проблемой?

Cleric9292232 04-01-2017 16:20 2700695
по-прежнему запускается "стартап". левая страница новостей

SQx 04-01-2017 16:23 2700696
в каких браузерах?

Cleric9292232 04-01-2017 16:23 2700697
яндекс

SQx 04-01-2017 16:25 2700698
проблема только я яндексом?

Cleric9292232 04-01-2017 16:27 2700699
кажется, да. запускал эксплорер. ничего не было

поставил оперу. тоже все нормально

SQx 04-01-2017 16:32 2700701
Есть ли на яндекс-браузере что-то важное?

Cleric9292232 04-01-2017 16:34 2700703
нет. предлагаете удалить? тогда нужен скрипт для полной очистки. так как я не могу выбрать дирректорию при установке

SQx 04-01-2017 16:37 2700704
Предлагаю временно переименовать текущий профиль:
Код:
C:\Documents and Settings\Admin\Local Settings\Application Data\Yandex\User Data\Default
например на
Код:
C:\Documents and Settings\Admin\Local Settings\Application Data\Yandex\User Data\Default_bak
P.S. Важно перед начало работ закрыть яндекс-браузер

shestale 04-01-2017 16:39 2700705
+
Цитата:
Цитата Cleric9292232
яндекс »
Отключите в браузере яндекс все расширения, в т.ч. стандартные. Пропадет - включайте по одному, пока не найдете виновника. Название сообщите.

Cleric9292232 04-01-2017 16:55 2700709
я довн. там стояло раширение Newtab. извините, просто отнял ваше время из-за собственной тупости. я просто даже не додумался проверить расширения

shestale 04-01-2017 17:04 2700717
Для закрытия уязвимостей вашей системы, сделайте лог, для этого обязательно скачайте свежую версию SecurityCheck by glax24
Перед запуском утилиты на своем компьютере отключите(выгрузите) или приостановите защиту всех ваших антивирусных программ.
Лог, который откроется в блокноте, скопируйте и вставьте в пост, сам файл выкладывать не обязательно, затем скачайте и установите все обновления по ссылкам.

Cleric9292232 04-01-2017 17:32 2700724
SecurityCheck by glax24 & Severnyj v.1.4.0.46 [22.09.16]
WebSite: www.safezone.cc
DateLog: 04.01.2017 17:06:53
Path starting: C:\Documents and Settings\Admin\Local Settings\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: Admin
VersionXML: 3.67is-25.12.2016
___________________________________________________________________________

Windows XP(5.1.2600) Service Pack 3 (x86) Lang: Russian(0419)
Дата установки ОС: 23.10.2015 14:03:59
Режим загрузки: Normal
Браузер по умолчанию: C:\Documents and Settings\Admin\Local Settings\Application Data\Yandex\YandexBrowser\Application\browser.exe
Системный диск: C: ФС: [NTFS] Емкость: [48.8 Гб] Занято: [9.6 Гб] Свободно: [39.2 Гб]
------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 08.04.2014, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 8.0.6001.18702
Автоматическое обновление отключено
Автоматическое обновление (wuauserv) - Служба остановлена
Центр обеспечения безопасности (wscsvc) - Служба остановлена
Удаленный реестр (RemoteRegistry) - Служба остановлена
Службы терминалов (TermService) - Служба работает
Служба обнаружения SSDP (SSDPSRV) - Служба работает
------------------------------ [ MS Office ] ------------------------------
Microsoft Office 2007 v.12.0.6612.1000
-------------------------- [ SecurityUtilities ] --------------------------
Adguard v.6.0.185.962
--------------------------- [ OtherUtilities ] ----------------------------
WinRAR 5.01 (32-разрядная) v.5.01.0 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 7 Update 45 v.7.0.450 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u112-windows-i586.exe).
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 11 ActiveX & Plugin 32-bit v.11.9.900.170 Внимание! Скачать обновления
^Удалите старую версию и установите новые Flash Player ActiveX и Flash Player Plugin^
Adobe Flash Player 20 NPAPI v.20.0.0.286 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Opera Stable 36.0.2130.80 v.36.0.2130.80 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
Yandex v.16.11.1.676 [+]
--------------------------- [ RunningProcess ] ----------------------------
C:\Documents and Settings\Admin\Local Settings\Application Data\Yandex\YandexBrowser\Application\browser.exe v.16.11.1.676
------------------ [ AntivirusFirewallProcessServices ] -------------------
Adguard Service (Adguard Service) - Служба остановлена
---------------------------- [ UnwantedApps ] -----------------------------
Calculator Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
Unity Web Player v.5.0.3f2 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
----------------------------- [ End of Log ] ------------------------------

shestale 04-01-2017 17:34 2700726
Закрывайте уязвимости
+
Выполните рекомендации после лечения

Cleric9292232 06-01-2017 13:29 2701233
огромное спасибо!


Время: 22:33.

Время: 22:33.
© OSzone.net 2001-