Решена js:criptonight(tri)

Статус
В этой теме нельзя размещать новые ответы.

demidiv

Пользователь
Сообщения
13
Реакции
1
Баллы
43
здравствуйте! помогите...!!!
когда заходишь в хром постоянно выскакивает окно от аваста:
угроза обезврежена. безопасно прервано подключение к сайту Local.avast.com, так как он заражен JS:criptonight tri
очень много раз выскакивает:(
 

Вложения

  • AdwCleaner[S0].txt
    1.3 KB · Просмотры: 2

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,272
Реакции
13,840
Баллы
2,293
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 ExecuteRepair(2);
RebootWindows(false);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O2 - HKLM\..\BHO: (no name) - {C0173A2E-3103-4954-AB8D-CD3C1D4B082A} - (no file)
O2 - HKLM\..\BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file)

- Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:
Код:
>>> [modified][MASK] "C:\Users\1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gооglе Сhrоmе.lnk"   -> ["C:\PROGRAM FILES\GOOGLE\СHRОMЕ.BАT.EXE"]
>>> [modified][MASK] "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Gооglе Сhrоmе.lnk"    -> ["C:\PROGRAM FILES\GOOGLE\СHRОMЕ.BАT.EXE"]
>>> [modified][MASK] "C:\Users\1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrоmе.lnk"   -> ["C:\PROGRAM FILES\GOOGLE\СHRОMЕ.BАT.EXE"]
>>> [modified][MASK] "C:\Users\1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Оpеrа.lnk"           -> ["C:\LАUNСHЕR.BАT.EXE"]
>>> [modified][MASK] "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Оpеrа.lnk"      -> ["C:\LАUNСHЕR.BАT.EXE"]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

demidiv

Пользователь
Сообщения
13
Реакции
1
Баллы
43
по поводу авз не понял!! комп перезагрузился а потом какой скрипт выполнять??
 

Вложения

  • ClearLNK-25.12.2017_20-33.log
    3.8 KB · Просмотры: 1

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,272
Реакции
13,840
Баллы
2,293
Сначала AVZ (перезагрузка), потом HJT, потом правим ярлыки (уже сделали), потом запускаем Farbar Recovery Scan Tool и крепим новые логи.

Какой шаг пропустили?
 

demidiv

Пользователь
Сообщения
13
Реакции
1
Баллы
43
Сначала AVZ (перезагрузка), потом HJT, потом правим ярлыки (уже сделали), потом запускаем Farbar Recovery Scan Tool и крепим новые логи.

Какой шаг пропустили?
понял. все так и сделал!!!
файл не создался - Shortcut.txt

сейчас добавлю(натупил)!

понял. все так и сделал!!!
файл не создался - Shortcut.txt

сейчас добавлю(натупил)!
 

Вложения

  • Addition.txt
    40.8 KB · Просмотры: 1
  • FRST.txt
    24.9 KB · Просмотры: 2
  • Shortcut.txt
    83.7 KB · Просмотры: 1

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,272
Реакции
13,840
Баллы
2,293
demidiv

Отключите до перезагрузки антивирус.
Выделите следующий код:
Код:
Start::
CreateRestorePoint:
GroupPolicy: Restriction - Chrome <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-21-2273077647-3722181599-427572689-1000 -> {F4137D40-259A-4FB3-B780-F8C39B303C41} URL = 
Toolbar: HKU\S-1-5-21-2273077647-3722181599-427572689-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
FF HKU\S-1-5-21-2273077647-3722181599-427572689-1000\...\Firefox\Extensions: [acewebextension_unlisted@acestream.org] - C:\Users\1\AppData\Roaming\ACEStream\extensions\awe\firefox\acewebextension_unlisted.xpi => not found
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
FF Plugin: @videolan.org/vlc,version=2.1.3 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [No File]
FF Plugin: @videolan.org/vlc,version=2.2.6 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [No File]
FF Plugin: JFGuide -> C:\Program Files\NetSurveillance\CMS\npGuide.dll [No File]
FF Plugin: JFWeb -> C:\Program Files\NetSurveillance\CMS\npWebPlugin.dll [No File]
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.


Что с проблемами?
 

demidiv

Пользователь
Сообщения
13
Реакции
1
Баллы
43
проблемы остались
 

Вложения

  • Fixlog.txt
    3.7 KB · Просмотры: 1

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,272
Реакции
13,840
Баллы
2,293
А в других браузерах все нормально?

Тогда еще отключите синхронизацию Хрома Get your bookmarks, passwords & more on all your devices - Computer - Google Chrome Help и удалите:
PUP.Optional.Mail.Ru, Plugin found: Визуальные закладки -
PUP.Optional.FakeYandex, Plugin found: Визуальные закладки -

И после

Скачайте Malwarebytes' Anti-Malware. Установите.
На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".
На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.
Самостоятельно ничего не удаляйте!!!
Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.
 

demidiv

Пользователь
Сообщения
13
Реакции
1
Баллы
43
после последнего FRST пока не было...
понаблюдаю немного отпишусь
 

demidiv

Пользователь
Сообщения
13
Реакции
1
Баллы
43
все равно появляется

в опере не появляется!
 

Вложения

  • scan.txt
    4.1 KB · Просмотры: 2

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,272
Реакции
13,840
Баллы
2,293
Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Поместить выделенные объекты в карантин" ("Quarantine Selected") - смотрите, что удаляете.

Подробнее читайте в руководстве.

Код:
Значение реестра: 3
PUP.Optional.Yamdex.ChrPRST, HKU\S-1-5-21-2273077647-3722181599-427572689-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\GROUP POLICY OBJECTS\{5A2BF78A-8DE6-4B43-8D7B-AD23782B0E74}Machine\Software\Policies\Google\Chrome|DefaultSearchProviderSearchURL, Проигнорировано пользователем, [1749], [454812],1.0.0
PUP.Optional.Yamdex.ChrPRST, HKU\S-1-5-21-2273077647-3722181599-427572689-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\GROUP POLICY OBJECTS\{5A2BF78A-8DE6-4B43-8D7B-AD23782B0E74}Machine\Software\Policies\Google\Chrome|DefaultSearchProviderSuggestURL, Проигнорировано пользователем, [1749], [454812],1.0.0
PUP.Optional.Yamdex.ChrPRST, HKU\S-1-5-21-2273077647-3722181599-427572689-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\GROUP POLICY OBJECTS\{5A2BF78A-8DE6-4B43-8D7B-AD23782B0E74}Machine\Software\Policies\Google\Chrome|DefaultSearchProviderInstantURL, Проигнорировано пользователем, [1749], [454812],1.0.0
Файл: 6
PUM.Optional.ChromeModification, C:\WINDOWS\SYSTEM32\GROUPPOLICY\ADM\CHROME.ADM, Проигнорировано пользователем, [16148], [302355],1.0.0
PUP.Optional.OpenCandy, C:\USERS\1\APPDATA\ROAMING\UTORRENT\UPDATES\3.4.2_37754.EXE, Проигнорировано пользователем, [525], [431539],1.0.0
PUP.Optional.Yamdex.ChrPRST, C:\USERS\1\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Web Data, Проигнорировано пользователем, [1749], [454812],1.0.0
PUP.Optional.Yamdex.ChrPRST, C:\PROGRAMDATA\NTUSER.POL, Проигнорировано пользователем, [1749], [-1],0.0.0
PUP.Optional.Yamdex.ChrPRST, C:\USERS\1\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Web Data, Проигнорировано пользователем, [1749], [454812],1.0.0

После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.
 

demidiv

Пользователь
Сообщения
13
Реакции
1
Баллы
43
новый скан
 

Вложения

  • novi scan.txt
    2.3 KB · Просмотры: 1

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,272
Реакции
13,840
Баллы
2,293
Дополнение от mail.ru удалили заодно (если нужно установите заново). Что с проблемой?
 

demidiv

Пользователь
Сообщения
13
Реакции
1
Баллы
43
пока нет. позже отпишусь!!!

все равно появляется!!

:(
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,272
Реакции
13,840
Баллы
2,293
Только в хроме? Если да, то отключите расширения chrome в том числе и служебные. Если реклама пропадет, включайте поочередно, пока не поймете какой расширение дает рекламу.
Название проблемного расширения сообщите.
 

demidiv

Пользователь
Сообщения
13
Реакции
1
Баллы
43
я его(хром) уже снес полностью, унисталлером, замучал он меня! установил все по новому и все норм. но спасибо все равно большое за потраченное время!!!

блин. снова появилась...:(

а может быть проблема(вирус,реклама) в гугловском аккаунте??
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
7,995
Реакции
2,422
Баллы
743

demidiv

Пользователь
Сообщения
13
Реакции
1
Баллы
43
не помогло! все равно вылазит!
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу