• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Автоматический запуск браузера, спам реклама, заполнен диск C

Статус
В этой теме нельзя размещать новые ответы.

simply god

Активный пользователь
Сообщения
136
Реакции
8
Баллы
188
Здравствуйте, некоторое время назад отец скачал кучу вредоносного ПО, который в свою очередь заразил все браузеры, кроме explorer. Начала появляться реклама, я ее вычислил, это было расширение "поделиться Вконтакте", я его удалил, но оно периодично появляется, и снова запускает рекламу, к тому же при запуске компьютера всегда запускается, до недавнего времени mazila, а сейчас google chrome со стартовым сайтом smartinf, и при перезагрузке компьютера, даже если я уберу его со стартовой страницы, браузер все равно делает этот сайт по умолчанию. Диск C, на мой взгляд, стал много весить, только что удалил скрытую папку, в которой находился, почему-то, установщик win 10, но он просто так не удалялся, я использовал unlocker, он долго удалял, и поместил все в корзину, теперь 2 папки из корзины требуют удаления с разрешения системы, я не знаю как его получить. Возможно ли очистить диск С от не нужных файлов. P.S. использовал для скана Red Organaizer. Использую Win 10. Пытался лазить в реестр, не помогает... или я что то не вижу
 

Вложения

  • CollectionLog-2015.11.26-14.31.zip
    174 KB · Просмотры: 4

Vvvyg

Ассоциация VN
Сообщения
215
Реакции
77
Баллы
408
В AVZ меню "Файл" -> "Выполнить скрипт", вставьте содержимое окна "код" ниже и нажмите "Запустить":
Код:
begin
QuarantineFile('C:\Users\super\AppData\Local\SystemDir\nethost.exe', '');
QuarantineFileF('C:\Users\super\AppData\Local\SystemDir\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0, 0);
DeleteFile('C:\Users\super\AppData\Local\SystemDir\nethost.exe', '32');
DeleteFile('C:\Users\super\Favorites\Links\Интернет.url', '32');
DeleteFile('C:\Users\super\Favorites\OVGORSKIY.url', '32')
DeleteFileMask('C:\Users\super\AppData\Local\SystemDir', '*', true);
DeleteDirectory('C:\Users\super\AppData\Local\SystemDir');
DelBHO('{8E8F97CD-60B5-456F-A201-73065652D099}');
ExecuteFile('schtasks.exe', '/delete /TN "nethost task" /F', 0, 15000, true);
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'aesiqlipvu');
ExecuteSysClean;
ExecuteRepair(3);
RebootWindows(true);
end.
Компьютер перезагрузится.

Выполните в AVZ скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В папке с AVZ появится архив карантина quarantine.zip, отправьте его с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Сделайте лог Farbar Recovery Scan Tool.
 
Последнее редактирование:

Vvvyg

Ассоциация VN
Сообщения
215
Реакции
77
Баллы
408
[ERROR]Куда надо было карантин?[/ERROR]
Аватар мой в тему оказался... Удалите карантин из сообщения, отправьте, куда просил.
И лог FRST жду.
 

simply god

Активный пользователь
Сообщения
136
Реакции
8
Баллы
188
Простите, сделал как надо, думаю.
 

Вложения

  • FRST.txt
    69.9 KB · Просмотры: 2

Vvvyg

Ассоциация VN
Сообщения
215
Реакции
77
Баллы
408
Addition.txt ещё нужен.
 

simply god

Активный пользователь
Сообщения
136
Реакции
8
Баллы
188
вот
 

Вложения

  • Addition.txt
    73.4 KB · Просмотры: 1

Vvvyg

Ассоциация VN
Сообщения
215
Реакции
77
Баллы
408
Закройте все браузеры.
Выполните скрипт в Farbar Recovery Scan Tool:
Код:
CreateRestorePoint:
FF Homepage: hxxp://vyitikho.ru/?utm_content=ba4af385bfafccf4846ffc58862c5853&utm_source=startpm&utm_term=ECAC407760535258C1054FFC13DA4FE0
CHR HKLM-x32\...\Chrome\Extension: [ilamgbdaebkbpkkmfmmfbnaamkhijdek] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ofdgafmdegfkhfdfkmllfefmcmcjllec] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ilamgbdaebkbpkkmfmmfbnaamkhijdek] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ofdgafmdegfkhfdfkmllfefmcmcjllec] - hxxps://clients2.google.com/service/update2/crx
Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Сообщите, что с проблемой.
 

simply god

Активный пользователь
Сообщения
136
Реакции
8
Баллы
188
Держите, походу, проблема исчезла, надеюсь и этот "Поделиться Вконтакте" из расширений тоже убрался. Только вопрос на счет загруженности диска "С", я уверен что не мог скачать столько программ, что бы там захламить 70 ГБ. Там есть папка windows.old, и она не хочет удаляться, хотя засоряет 8 ГБ, нужна ли она так? Может быть еще где-то куча мусора лежит на "С"?
PS после выполнения скрипта перезагрузки не было
 

Вложения

  • Fixlog.txt
    1.5 KB · Просмотры: 1

simply god

Активный пользователь
Сообщения
136
Реакции
8
Баллы
188
Получилось, только вот "чистильщик" показывал, что будет удалено ~22 ГБ, но вот очистил он около 8-10, это нормально? Получается у меня диск забит уже моими программами и софтом?
 

Vvvyg

Ассоциация VN
Сообщения
215
Реакции
77
Баллы
408
Тут я уже не подскажу. Смотрите утилитой SpaceSniffer, например, что сколько места занимает.
 

simply god

Активный пользователь
Сообщения
136
Реакции
8
Баллы
188
хорошо, спасибо вам, вроде бы, проблема исчезла, буду смотреть что там с памятью...
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,702
Реакции
5,982
Баллы
1,008
Папку C:\FRST удалите.

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 

simply god

Активный пользователь
Сообщения
136
Реакции
8
Баллы
188
хорошо, спасибо, еще раз.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу