1. Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.
    Если у вас возникли проблемы с регистрацией на форуме - то вы можете сообщить об этом с помощью этой формы без авторизации,администрация форума обязательно отреагирует на вашу проблему.
    Скрыть объявление

Решена Подхватил недавно вирус в результате скачивания и распаковки одного подозрительного архива

Тема в разделе "Удаление компьютерных вирусов", создана пользователем Onlyone, 17 дек 2016.

  1. Onlyone
    Оффлайн

    Onlyone Новый пользователь

    Сообщения:
    12
    Симпатии:
    0
    Здравствуйте,
    Подхватил недавно вирус в результате скачивания и распаковки одного подозрительного архива.
    adwcleaner постоянно находит 1 угрозу,выглядит она так - htt://mail.ru/cnt/10445?gp=818408.
    после удаления и перезагрузки системы,сообщение появляется опять и периодически запускается Google Chrome с рекламным сайтом.
    Помогите пожалуйста решить роблему.
     

    Вложения:

  2. Инфо.Бот

    Ботан Злостный спам-бот

    Добро пожаловать!

    Вы обратились в раздел лечения форума Safezone.cc!

    Если Вы этого еще не сделали, выполните пожалуйста правила оформления запроса и прикрепите полученные логи к своему следующему сообщению.

    Ожидайте ответа консультанта.

    Помните, что помощь оказывается бесплатно в свободное от других занятий время.

    Благодарим за ожидание.

     
  3. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.935
    Симпатии:
    4.800
    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):
    begin
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     QuarantineFile('C:\Windows\system32\drivers\{955a1491-962c-4a4d-a25b-ddfc77991b58}Gw64.sys', '');
     QuarantineFile('C:\Users\Артур\appdata\roaming\adobe\manager.exe','');
     DeleteFile('C:\Users\Артур\appdata\roaming\adobe\manager.exe','32');
     ExecuteFile('schtasks.exe', '/delete /TN "InternetDD" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "Manager" /F', 0, 15000, true);
     DeleteFile('C:\Windows\system32\drivers\{955a1491-962c-4a4d-a25b-ddfc77991b58}Gw64.sys', '32');
     DeleteService('{955a1491-962c-4a4d-a25b-ddfc77991b58}Gw64');
    ExecuteSysClean;
     ExecuteWizard('SCU', 2, 3, true);
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    RebootWindows(true);
    end.

     
    Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
    К сообщению прикреплять карантин не нужно!

    Удалите параметры запуска ярлыков.

    Подготовьте лог AdwCleaner.
     
  4. Onlyone
    Оффлайн

    Onlyone Новый пользователь

    Сообщения:
    12
    Симпатии:
    0
    Отправляю Вам отчёт и лог
     

    Вложения:

  5. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.935
    Симпатии:
    4.800
  6. Onlyone
    Оффлайн

    Onlyone Новый пользователь

    Сообщения:
    12
    Симпатии:
    0
    логи Farbar
     

    Вложения:

    • Addition.txt
      Размер файла:
      47,6 КБ
      Просмотров:
      0
    • FRST.txt
      Размер файла:
      40 КБ
      Просмотров:
      0
    • Shortcut.txt
      Размер файла:
      150,1 КБ
      Просмотров:
      0
  7. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.935
    Симпатии:
    4.800
    А этот лог? настройка Chromium точно удалилась?
     
  8. Onlyone
    Оффлайн

    Onlyone Новый пользователь

    Сообщения:
    12
    Симпатии:
    0
  9. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.935
    Симпатии:
    4.800
    Вы лог покажите
     
  10. Onlyone
    Оффлайн

    Onlyone Новый пользователь

    Сообщения:
    12
    Симпатии:
    0
    Лог AdwCleaner ?
    --- Объединённое сообщение, 17 дек 2016 ---
    Farbar :
     

    Вложения:

    • AdwCleaner[S3].txt
      Размер файла:
      2 КБ
      Просмотров:
      2
    • Addition.txt
      Размер файла:
      47,7 КБ
      Просмотров:
      4
    • FRST.txt
      Размер файла:
      40,5 КБ
      Просмотров:
      4
    • Shortcut.txt
      Размер файла:
      150,1 КБ
      Просмотров:
      0
  11. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.935
    Симпатии:
    4.800
    C:\AdwCleaner\AdwCleaner[C3].txt - сделайте очистку и выложите этот лог.
     
  12. Onlyone
    Оффлайн

    Onlyone Новый пользователь

    Сообщения:
    12
    Симпатии:
    0
    Высылаю
     

    Вложения:

  13. Onlyone
    Оффлайн

    Onlyone Новый пользователь

    Сообщения:
    12
    Симпатии:
    0
    Проблема вроде бы решилась,рекламные сайты больше не всплывают.но AdwCleaner по прежнему находит вирус.
     
  14. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.935
    Симпатии:
    4.800
    Удалено:
    Код (Text):
    [-] [C:\Users\Артур\AppData\Local\Google\Chrome\User Data\Default] [homepage] Удалено: hxxp://mail.ru/cnt/10445?gp=818408
     
    Выполните скрипт в Farbar Recovery Scan Tool
    Код (Text):
    start
    CreateRestorePoint:
    Task: {C14BD776-EEC0-4DEE-83D4-AF8548E8C197} - System32\Tasks\MailRuUpdateTask => C:\Users\Артур\AppData\Local\Mail.Ru\MailRuUpdater.exe
    Task: {E4915919-DFD4-4A43-B365-6F4369709855} - \Ksation Schedule -> No File <==== ATTENTION
    AlternateDataStreams: C:\Windows:AstInfo [0]
    AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [136]
    AlternateDataStreams: C:\ProgramData\TEMP:888AFB86 [116]
    AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [136]
    AlternateDataStreams: C:\ProgramData\TEMP:CF778051 [120]
    AlternateDataStreams: C:\Users\Артур\Local Settings:wa [178]
    AlternateDataStreams: C:\Users\Артур\AppData\Local:wa [178]
    AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A [136]
    AlternateDataStreams: C:\Users\Все пользователи\TEMP:888AFB86 [116]
    AlternateDataStreams: C:\Users\Все пользователи\TEMP:A064CECC [136]
    AlternateDataStreams: C:\Users\Все пользователи\TEMP:CF778051 [120]
    CHR HomePage: Default -> hxxp://mail.ru/cnt/10445?gp=818408
    CHR HKLM-x32\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - hxxp://clients2.google.com/service/update2/crx
    2016-12-17 00:31 - 2016-09-14 05:38 - 00000000 ___HD C:\Program Files (x86)\11pb8lbz
    2016-12-17 00:31 - 2016-09-14 05:33 - 00000000 ___HD C:\Program Files (x86)\b91jki2u
    2016-12-16 21:57 - 2016-12-16 21:35 - 00024064 _____ C:\Windows\zoek-delete.exe
    2016-12-16 21:34 - 2016-12-16 21:54 - 00000000 ____D C:\zoek_backup
    EmptyTemp:
    Reboot:
    end
    +
    Почистите кэш и куки в браузерах.
     
  15. Onlyone
    Оффлайн

    Onlyone Новый пользователь

    Сообщения:
    12
    Симпатии:
    0
    Скрипт выполнил,всё почистил.
    После входа в google аккаунт в Chrome,adwcleaner продолжает находить 1 угрозу (mail.ru/cnt/10445?gp=818408).
     
  16. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    8.484
    Симпатии:
    9.201
    Отключите ВСЕ расширения в Chrome просканируйте и очистите с помощью AdwCleaner и проверьте наличие проблемы
     
  17. Onlyone
    Оффлайн

    Onlyone Новый пользователь

    Сообщения:
    12
    Симпатии:
    0
    При перезагрузке системы вирус в AdwCleaner всё равно остаётся
     
  18. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.935
    Симпатии:
    4.800
    Лог, который создался после выполнения скрипта, вы нам так и не показали...жём.
    Что конкретно остается? Мы же лог не видим...это?
    Код (Text):
    ***** [ Браузеры ] *****
    [-] [C:\Users\Артур\AppData\Local\Google\Chrome\User Data\Default] [homepage] Удалено: hxxp://mail.ru/cnt/10445?gp=818408
    Попробуйте самостоятельно в хроме сменить домашнюю страницу, например на яндекс и посмотреть, возвращается она после перезагрузки или нет?
    В любом случае эта страница не несет в себе ни какой угрозы и можете на это просто не обращать внимание или сообщить в этой теме о ложном срабатывании AdwCleaner.
     
    Последнее редактирование: 19 дек 2016
  19. Onlyone
    Оффлайн

    Onlyone Новый пользователь

    Сообщения:
    12
    Симпатии:
    0
    Да,именно это.
    Но если никакой угрозы нет,всё хорошо.
    Спасибо за помощь !!!
     
  20. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.935
    Симпатии:
    4.800
    ???
    +
    Для закрытия уязвимостей вашей системы, сделайте лог, для этого обязательно скачайте свежую версию SecurityCheck by glax24
    Перед запуском утилиты на своем компьютере отключите(выгрузите) или приостановите защиту всех ваших антивирусных программ.
    Лог, который откроется в блокноте, скопируйте и вставьте в пост, сам файл выкладывать не обязательно, затем скачайте и установите все обновления по ссылкам.
     
  21. Onlyone
    Оффлайн

    Onlyone Новый пользователь

    Сообщения:
    12
    Симпатии:
    0
    SecurityCheck by glax24 & Severnyj v.1.4.0.46 [22.09.16]
    WebSite: www.safezone.cc
    DateLog: 19.12.2016 20:07:24
    Path starting: C:\Users\Артур\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
    Log directory: C:\SecurityCheck\
    IsAdmin: True
    User: Артур
    VersionXML: 3.63is-16.12.2016
    ___________________________________________________________________________

    Windows 7(6.1.7601) Service Pack 1 (x64) Ultimate Lang: Russian(0419)
    Дата установки ОС: 05.04.2013 20:55:11
    Статус лицензии: Windows(R) 7, Ultimate edition Постоянная активация прошла успешно.
    Режим загрузки: Normal
    Браузер по умолчанию: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
    Системный диск: C: ФС: [NTFS] Емкость: [50 Гб] Занято: [45.4 Гб] Свободно: [4.6 Гб]
    ------------------------------- [ Windows ] -------------------------------
    Internet Explorer 11.0.9600.16428 Внимание! Скачать обновления
    ^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
    Контроль учётных записей пользователя включен
    Запрос на повышение прав для обычных пользователей отключен
    Автоматическое обновление отключено

    Дата установки обновлений: 2013-04-05 22:58:42
    Центр обновления Windows (wuauserv) - Служба работает
    Центр обеспечения безопасности (wscsvc) - Служба работает
    Удаленный реестр (RemoteRegistry) - Служба остановлена
    Обнаружение SSDP (SSDPSRV) - Служба остановлена
    Службы удаленных рабочих столов (TermService) - Служба остановлена
    Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
    ------------------------------ [ MS Office ] ------------------------------
    Microsoft Office 2007 v.12.0.6514.5001
    Microsoft Office 2010 x86 v.14.0.4763.1000
    ---------------------------- [ Antivirus_WMI ] ----------------------------
    Microsoft Security Essentials (выключен и обновлен)
    --------------------------- [ FirewallWindows ] ---------------------------
    Брандмауэр Windows (MpsSvc) - Служба работает
    --------------------------- [ AntiSpyware_WMI ] ---------------------------
    Windows Defender (выключен и обновлен)
    Microsoft Security Essentials (выключен и обновлен)
    ---------------------- [ AntiVirusFirewallInstall ] -----------------------
    Microsoft Security Essentials v.4.0.1526.0
    --------------------------- [ OtherUtilities ] ----------------------------
    Архиватор WinRAR
    Microsoft Silverlight v.5.1.40416.0 Внимание! Скачать обновления
    --------------------------------- [ IM ] ----------------------------------
    Skype™ 7.6 v.7.6.105 Внимание! Скачать обновления
    ^Необязательное обновление.^
    --------------------------------- [ P2P ] ---------------------------------
    µTorrent v.3.3.0.29462 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
    -------------------------------- [ Java ] ---------------------------------
    Java 8 Update 51 v.8.0.510 Внимание! Скачать обновления
    ^Удалите старую версию и установите новую (jre-8u112-windows-i586.exe)^
    --------------------------- [ AppleProduction ] ---------------------------
    QuickTime 7 v.7.79.80.95 Данная программа больше не поддерживается разработчиком и имеет известные проблемы безопасности! Рекомендуется деинсталлировать данное ПО.
    --------------------------- [ AdobeProduction ] ---------------------------
    Adobe AIR v.1.5.3.9120 Внимание! Скачать обновления
    Adobe Flash Player 24 ActiveX v.24.0.0.186
    Adobe Flash Player 24 NPAPI v.24.0.0.186
    Adobe Reader XI (11.0.18) - Russian v.11.0.18
    ------------------------------- [ Browser ] -------------------------------
    Google Chrome v.55.0.2883.87
    --------------------------- [ RunningProcess ] ----------------------------
    C:\Program Files (x86)\Google\Chrome\Application\chrome.exe v.55.0.2883.87
    ------------------ [ AntivirusFirewallProcessServices ] -------------------
    Microsoft Antimalware Service (MsMpSvc) - Служба работает
    C:\Program Files\Microsoft Security Client\MsMpEng.exe v.4.0.1526.0
    Проверка сети (Майкрософт) (NisSrv) - Служба остановлена
    Защитник Windows (WinDefend) - Служба остановлена
    ---------------------------- [ UnwantedApps ] -----------------------------
    Auslogics BoostSpeed v.version 4.5 Внимание! Подозрение на демо-версию антишпионской программы или программы-оптимизатора - scareware или badware. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
    Auslogics Registry Cleaner v.version 1.5 Внимание! Подозрение на демо-версию антишпионской программы или программы-оптимизатора - scareware или badware. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
    Auslogics Registry Defrag v.version 5.5 Внимание! Подозрение на демо-версию антишпионской программы или программы-оптимизатора - scareware или badware. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
    ----------------------------- [ End of Log ] ------------------------------
     

Поделиться этой страницей