Решена Подхватил недавно вирус в результате скачивания и распаковки одного подозрительного архива

Тема в разделе "Удаление компьютерных вирусов", создана пользователем Onlyone, 17 дек 2016.

  1. Onlyone

    Onlyone Новый пользователь

    Сообщения:
    12
    Симпатии:
    0
    Здравствуйте,
    Подхватил недавно вирус в результате скачивания и распаковки одного подозрительного архива.
    adwcleaner постоянно находит 1 угрозу,выглядит она так - htt://mail.ru/cnt/10445?gp=818408.
    после удаления и перезагрузки системы,сообщение появляется опять и периодически запускается Google Chrome с рекламным сайтом.
    Помогите пожалуйста решить роблему.
     

    Вложения:

  2. Добро пожаловать!

    Вы обратились в раздел лечения форума Safezone.cc!

    Если Вы этого еще не сделали, выполните пожалуйста правила оформления запроса и прикрепите полученные логи к своему следующему сообщению.

    Ожидайте ответа консультанта.

    Помните, что помощь оказывается бесплатно в свободное от других занятий время.

    Благодарим за ожидание.

     
  3. shestale

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    9.182
    Симпатии:
    4.836
    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):
    begin
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     QuarantineFile('C:\Windows\system32\drivers\{955a1491-962c-4a4d-a25b-ddfc77991b58}Gw64.sys', '');
     QuarantineFile('C:\Users\Артур\appdata\roaming\adobe\manager.exe','');
     DeleteFile('C:\Users\Артур\appdata\roaming\adobe\manager.exe','32');
     ExecuteFile('schtasks.exe', '/delete /TN "InternetDD" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "Manager" /F', 0, 15000, true);
     DeleteFile('C:\Windows\system32\drivers\{955a1491-962c-4a4d-a25b-ddfc77991b58}Gw64.sys', '32');
     DeleteService('{955a1491-962c-4a4d-a25b-ddfc77991b58}Gw64');
    ExecuteSysClean;
     ExecuteWizard('SCU', 2, 3, true);
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    RebootWindows(true);
    end.

     
    Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
    К сообщению прикреплять карантин не нужно!

    Удалите параметры запуска ярлыков.

    Подготовьте лог AdwCleaner.
     
  4. Onlyone

    Onlyone Новый пользователь

    Сообщения:
    12
    Симпатии:
    0
    Отправляю Вам отчёт и лог
     

    Вложения:

  5. shestale

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    9.182
    Симпатии:
    4.836
  6. Onlyone

    Onlyone Новый пользователь

    Сообщения:
    12
    Симпатии:
    0
    логи Farbar
     

    Вложения:

    • Addition.txt
      Размер файла:
      47,6 КБ
      Просмотров:
      0
    • FRST.txt
      Размер файла:
      40 КБ
      Просмотров:
      0
    • Shortcut.txt
      Размер файла:
      150,1 КБ
      Просмотров:
      0
  7. shestale

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    9.182
    Симпатии:
    4.836
    А этот лог? настройка Chromium точно удалилась?
     
  8. Onlyone

    Onlyone Новый пользователь

    Сообщения:
    12
    Симпатии:
    0
  9. shestale

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    9.182
    Симпатии:
    4.836
    Вы лог покажите
     
  10. Onlyone

    Onlyone Новый пользователь

    Сообщения:
    12
    Симпатии:
    0
    Лог AdwCleaner ?
    Farbar :
     

    Вложения:

    • AdwCleaner[S3].txt
      Размер файла:
      2 КБ
      Просмотров:
      2
    • Addition.txt
      Размер файла:
      47,7 КБ
      Просмотров:
      4
    • FRST.txt
      Размер файла:
      40,5 КБ
      Просмотров:
      4
    • Shortcut.txt
      Размер файла:
      150,1 КБ
      Просмотров:
      0
  11. shestale

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    9.182
    Симпатии:
    4.836
    C:\AdwCleaner\AdwCleaner[C3].txt - сделайте очистку и выложите этот лог.
     
  12. Onlyone

    Onlyone Новый пользователь

    Сообщения:
    12
    Симпатии:
    0
    Высылаю
     

    Вложения:

  13. Onlyone

    Onlyone Новый пользователь

    Сообщения:
    12
    Симпатии:
    0
    Проблема вроде бы решилась,рекламные сайты больше не всплывают.но AdwCleaner по прежнему находит вирус.
     
  14. shestale

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    9.182
    Симпатии:
    4.836
    Удалено:
    Код (Text):
    [-] [C:\Users\Артур\AppData\Local\Google\Chrome\User Data\Default] [homepage] Удалено: hxxp://mail.ru/cnt/10445?gp=818408
     
    Выполните скрипт в Farbar Recovery Scan Tool
    Код (Text):
    start
    CreateRestorePoint:
    Task: {C14BD776-EEC0-4DEE-83D4-AF8548E8C197} - System32\Tasks\MailRuUpdateTask => C:\Users\Артур\AppData\Local\Mail.Ru\MailRuUpdater.exe
    Task: {E4915919-DFD4-4A43-B365-6F4369709855} - \Ksation Schedule -> No File <==== ATTENTION
    AlternateDataStreams: C:\Windows:AstInfo [0]
    AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [136]
    AlternateDataStreams: C:\ProgramData\TEMP:888AFB86 [116]
    AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [136]
    AlternateDataStreams: C:\ProgramData\TEMP:CF778051 [120]
    AlternateDataStreams: C:\Users\Артур\Local Settings:wa [178]
    AlternateDataStreams: C:\Users\Артур\AppData\Local:wa [178]
    AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A [136]
    AlternateDataStreams: C:\Users\Все пользователи\TEMP:888AFB86 [116]
    AlternateDataStreams: C:\Users\Все пользователи\TEMP:A064CECC [136]
    AlternateDataStreams: C:\Users\Все пользователи\TEMP:CF778051 [120]
    CHR HomePage: Default -> hxxp://mail.ru/cnt/10445?gp=818408
    CHR HKLM-x32\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - hxxp://clients2.google.com/service/update2/crx
    2016-12-17 00:31 - 2016-09-14 05:38 - 00000000 ___HD C:\Program Files (x86)\11pb8lbz
    2016-12-17 00:31 - 2016-09-14 05:33 - 00000000 ___HD C:\Program Files (x86)\b91jki2u
    2016-12-16 21:57 - 2016-12-16 21:35 - 00024064 _____ C:\Windows\zoek-delete.exe
    2016-12-16 21:34 - 2016-12-16 21:54 - 00000000 ____D C:\zoek_backup
    EmptyTemp:
    Reboot:
    end
    +
    Почистите кэш и куки в браузерах.
     
  15. Onlyone

    Onlyone Новый пользователь

    Сообщения:
    12
    Симпатии:
    0
    Скрипт выполнил,всё почистил.
    После входа в google аккаунт в Chrome,adwcleaner продолжает находить 1 угрозу (mail.ru/cnt/10445?gp=818408).
     
  16. Severnyj

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    8.447
    Симпатии:
    9.210
    Отключите ВСЕ расширения в Chrome просканируйте и очистите с помощью AdwCleaner и проверьте наличие проблемы
     
  17. Onlyone

    Onlyone Новый пользователь

    Сообщения:
    12
    Симпатии:
    0
    При перезагрузке системы вирус в AdwCleaner всё равно остаётся
     
  18. shestale

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    9.182
    Симпатии:
    4.836
    Лог, который создался после выполнения скрипта, вы нам так и не показали...жём.
    Что конкретно остается? Мы же лог не видим...это?
    Код (Text):
    ***** [ Браузеры ] *****
    [-] [C:\Users\Артур\AppData\Local\Google\Chrome\User Data\Default] [homepage] Удалено: hxxp://mail.ru/cnt/10445?gp=818408
    Попробуйте самостоятельно в хроме сменить домашнюю страницу, например на яндекс и посмотреть, возвращается она после перезагрузки или нет?
    В любом случае эта страница не несет в себе ни какой угрозы и можете на это просто не обращать внимание или сообщить в этой теме о ложном срабатывании AdwCleaner.
     
    Последнее редактирование: 19 дек 2016
  19. Onlyone

    Onlyone Новый пользователь

    Сообщения:
    12
    Симпатии:
    0
    Да,именно это.
    Но если никакой угрозы нет,всё хорошо.
    Спасибо за помощь !!!
     
  20. shestale

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    9.182
    Симпатии:
    4.836
    ???
    +
    Для закрытия уязвимостей вашей системы, сделайте лог, для этого обязательно скачайте свежую версию SecurityCheck by glax24
    Перед запуском утилиты на своем компьютере отключите(выгрузите) или приостановите защиту всех ваших антивирусных программ.
    Лог, который откроется в блокноте, скопируйте и вставьте в пост, сам файл выкладывать не обязательно, затем скачайте и установите все обновления по ссылкам.
     
  21. Onlyone

    Onlyone Новый пользователь

    Сообщения:
    12
    Симпатии:
    0
    SecurityCheck by glax24 & Severnyj v.1.4.0.46 [22.09.16]
    WebSite: www.safezone.cc
    DateLog: 19.12.2016 20:07:24
    Path starting: C:\Users\Артур\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
    Log directory: C:\SecurityCheck\
    IsAdmin: True
    User: Артур
    VersionXML: 3.63is-16.12.2016
    ___________________________________________________________________________

    Windows 7(6.1.7601) Service Pack 1 (x64) Ultimate Lang: Russian(0419)
    Дата установки ОС: 05.04.2013 20:55:11
    Статус лицензии: Windows(R) 7, Ultimate edition Постоянная активация прошла успешно.
    Режим загрузки: Normal
    Браузер по умолчанию: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
    Системный диск: C: ФС: [NTFS] Емкость: [50 Гб] Занято: [45.4 Гб] Свободно: [4.6 Гб]
    ------------------------------- [ Windows ] -------------------------------
    Internet Explorer 11.0.9600.16428 Внимание! Скачать обновления
    ^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
    Контроль учётных записей пользователя включен
    Запрос на повышение прав для обычных пользователей отключен
    Автоматическое обновление отключено

    Дата установки обновлений: 2013-04-05 22:58:42
    Центр обновления Windows (wuauserv) - Служба работает
    Центр обеспечения безопасности (wscsvc) - Служба работает
    Удаленный реестр (RemoteRegistry) - Служба остановлена
    Обнаружение SSDP (SSDPSRV) - Служба остановлена
    Службы удаленных рабочих столов (TermService) - Служба остановлена
    Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
    ------------------------------ [ MS Office ] ------------------------------
    Microsoft Office 2007 v.12.0.6514.5001
    Microsoft Office 2010 x86 v.14.0.4763.1000
    ---------------------------- [ Antivirus_WMI ] ----------------------------
    Microsoft Security Essentials (выключен и обновлен)
    --------------------------- [ FirewallWindows ] ---------------------------
    Брандмауэр Windows (MpsSvc) - Служба работает
    --------------------------- [ AntiSpyware_WMI ] ---------------------------
    Windows Defender (выключен и обновлен)
    Microsoft Security Essentials (выключен и обновлен)
    ---------------------- [ AntiVirusFirewallInstall ] -----------------------
    Microsoft Security Essentials v.4.0.1526.0
    --------------------------- [ OtherUtilities ] ----------------------------
    Архиватор WinRAR
    Microsoft Silverlight v.5.1.40416.0 Внимание! Скачать обновления
    --------------------------------- [ IM ] ----------------------------------
    Skype™ 7.6 v.7.6.105 Внимание! Скачать обновления
    ^Необязательное обновление.^
    --------------------------------- [ P2P ] ---------------------------------
    µTorrent v.3.3.0.29462 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
    -------------------------------- [ Java ] ---------------------------------
    Java 8 Update 51 v.8.0.510 Внимание! Скачать обновления
    ^Удалите старую версию и установите новую (jre-8u112-windows-i586.exe)^
    --------------------------- [ AppleProduction ] ---------------------------
    QuickTime 7 v.7.79.80.95 Данная программа больше не поддерживается разработчиком и имеет известные проблемы безопасности! Рекомендуется деинсталлировать данное ПО.
    --------------------------- [ AdobeProduction ] ---------------------------
    Adobe AIR v.1.5.3.9120 Внимание! Скачать обновления
    Adobe Flash Player 24 ActiveX v.24.0.0.186
    Adobe Flash Player 24 NPAPI v.24.0.0.186
    Adobe Reader XI (11.0.18) - Russian v.11.0.18
    ------------------------------- [ Browser ] -------------------------------
    Google Chrome v.55.0.2883.87
    --------------------------- [ RunningProcess ] ----------------------------
    C:\Program Files (x86)\Google\Chrome\Application\chrome.exe v.55.0.2883.87
    ------------------ [ AntivirusFirewallProcessServices ] -------------------
    Microsoft Antimalware Service (MsMpSvc) - Служба работает
    C:\Program Files\Microsoft Security Client\MsMpEng.exe v.4.0.1526.0
    Проверка сети (Майкрософт) (NisSrv) - Служба остановлена
    Защитник Windows (WinDefend) - Служба остановлена
    ---------------------------- [ UnwantedApps ] -----------------------------
    Auslogics BoostSpeed v.version 4.5 Внимание! Подозрение на демо-версию антишпионской программы или программы-оптимизатора - scareware или badware. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
    Auslogics Registry Cleaner v.version 1.5 Внимание! Подозрение на демо-версию антишпионской программы или программы-оптимизатора - scareware или badware. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
    Auslogics Registry Defrag v.version 5.5 Внимание! Подозрение на демо-версию антишпионской программы или программы-оптимизатора - scareware или badware. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
    ----------------------------- [ End of Log ] ------------------------------
     
Загрузка...
Похожие темы - Подхватил недавно вирус
  1. puertorikanez
    Ответов:
    8
    Просмотров:
    176
  2. Ioann777
    Ответов:
    2
    Просмотров:
    310
  3. Saf
    Ответов:
    11
    Просмотров:
    287
  4. idiscodancer
    Ответов:
    5
    Просмотров:
    4.787
  5. tyrabby
    Ответов:
    2
    Просмотров:
    282
  6. lilchurll
    Ответов:
    19
    Просмотров:
    2.958

Поделиться этой страницей

Загрузка...