• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Решена Подхватил недавно вирус в результате скачивания и распаковки одного подозрительного архива

Onlyone

Новый пользователь
Сообщения
12
Симпатии
0
#1
Здравствуйте,
Подхватил недавно вирус в результате скачивания и распаковки одного подозрительного архива.
adwcleaner постоянно находит 1 угрозу,выглядит она так - htt://mail.ru/cnt/10445?gp=818408.
после удаления и перезагрузки системы,сообщение появляется опять и периодически запускается Google Chrome с рекламным сайтом.
Помогите пожалуйста решить роблему.
 

Вложения

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,654
Симпатии
4,954
#2
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Windows\system32\drivers\{955a1491-962c-4a4d-a25b-ddfc77991b58}Gw64.sys', '');
 QuarantineFile('C:\Users\Артур\appdata\roaming\adobe\manager.exe','');
 DeleteFile('C:\Users\Артур\appdata\roaming\adobe\manager.exe','32');
 ExecuteFile('schtasks.exe', '/delete /TN "InternetDD" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Manager" /F', 0, 15000, true);
 DeleteFile('C:\Windows\system32\drivers\{955a1491-962c-4a4d-a25b-ddfc77991b58}Gw64.sys', '32');
 DeleteService('{955a1491-962c-4a4d-a25b-ddfc77991b58}Gw64');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
К сообщению прикреплять карантин не нужно!

Удалите параметры запуска ярлыков.

Подготовьте лог AdwCleaner.
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,654
Симпатии
4,954
#4

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,654
Симпатии
4,954
#10
C:\AdwCleaner\AdwCleaner[C3].txt - сделайте очистку и выложите этот лог.
 

Onlyone

Новый пользователь
Сообщения
12
Симпатии
0
#12
Проблема вроде бы решилась,рекламные сайты больше не всплывают.но AdwCleaner по прежнему находит вирус.
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,654
Симпатии
4,954
#13
AdwCleaner по прежнему находит вирус.
Удалено:
Код:
[-] [C:\Users\Артур\AppData\Local\Google\Chrome\User Data\Default] [homepage] Удалено: hxxp://mail.ru/cnt/10445?gp=818408
Выполните скрипт в Farbar Recovery Scan Tool
Код:
start
CreateRestorePoint:
Task: {C14BD776-EEC0-4DEE-83D4-AF8548E8C197} - System32\Tasks\MailRuUpdateTask => C:\Users\Артур\AppData\Local\Mail.Ru\MailRuUpdater.exe
Task: {E4915919-DFD4-4A43-B365-6F4369709855} - \Ksation Schedule -> No File <==== ATTENTION
AlternateDataStreams: C:\Windows:AstInfo [0]
AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [136]
AlternateDataStreams: C:\ProgramData\TEMP:888AFB86 [116]
AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [136]
AlternateDataStreams: C:\ProgramData\TEMP:CF778051 [120]
AlternateDataStreams: C:\Users\Артур\Local Settings:wa [178]
AlternateDataStreams: C:\Users\Артур\AppData\Local:wa [178]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A [136]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:888AFB86 [116]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:A064CECC [136]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:CF778051 [120]
CHR HomePage: Default -> hxxp://mail.ru/cnt/10445?gp=818408
CHR HKLM-x32\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - hxxp://clients2.google.com/service/update2/crx
2016-12-17 00:31 - 2016-09-14 05:38 - 00000000 ___HD C:\Program Files (x86)\11pb8lbz
2016-12-17 00:31 - 2016-09-14 05:33 - 00000000 ___HD C:\Program Files (x86)\b91jki2u
2016-12-16 21:57 - 2016-12-16 21:35 - 00024064 _____ C:\Windows\zoek-delete.exe
2016-12-16 21:34 - 2016-12-16 21:54 - 00000000 ____D C:\zoek_backup
EmptyTemp:
Reboot:
end
+
Почистите кэш и куки в браузерах.
 

Onlyone

Новый пользователь
Сообщения
12
Симпатии
0
#14
Скрипт выполнил,всё почистил.
После входа в google аккаунт в Chrome,adwcleaner продолжает находить 1 угрозу (mail.ru/cnt/10445?gp=818408).
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,435
Симпатии
8,710
#15
Отключите ВСЕ расширения в Chrome просканируйте и очистите с помощью AdwCleaner и проверьте наличие проблемы
 

Onlyone

Новый пользователь
Сообщения
12
Симпатии
0
#16
При перезагрузке системы вирус в AdwCleaner всё равно остаётся
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,654
Симпатии
4,954
#17
Выполните скрипт в Farbar Recovery Scan Tool
Лог, который создался после выполнения скрипта, вы нам так и не показали...жём.
При перезагрузке системы вирус в AdwCleaner всё равно остаётся
Что конкретно остается? Мы же лог не видим...это?
Код:
***** [ Браузеры ] *****
[-] [C:\Users\Артур\AppData\Local\Google\Chrome\User Data\Default] [homepage] Удалено: hxxp://mail.ru/cnt/10445?gp=818408
Попробуйте самостоятельно в хроме сменить домашнюю страницу, например на яндекс и посмотреть, возвращается она после перезагрузки или нет?
В любом случае эта страница не несет в себе ни какой угрозы и можете на это просто не обращать внимание или сообщить в этой теме о ложном срабатывании AdwCleaner.
 
Последнее редактирование:

Onlyone

Новый пользователь
Сообщения
12
Симпатии
0
#18
Да,именно это.
Но если никакой угрозы нет,всё хорошо.
Спасибо за помощь !!!
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,654
Симпатии
4,954
#19
Попробуйте самостоятельно в хроме сменить домашнюю страницу, например на яндекс и посмотреть, возвращается она после перезагрузки или нет?
???
+
Для закрытия уязвимостей вашей системы, сделайте лог, для этого обязательно скачайте свежую версию SecurityCheck by glax24
Перед запуском утилиты на своем компьютере отключите(выгрузите) или приостановите защиту всех ваших антивирусных программ.
Лог, который откроется в блокноте, скопируйте и вставьте в пост, сам файл выкладывать не обязательно, затем скачайте и установите все обновления по ссылкам.
 

Onlyone

Новый пользователь
Сообщения
12
Симпатии
0
#20
SecurityCheck by glax24 & Severnyj v.1.4.0.46 [22.09.16]
WebSite: www.safezone.cc
DateLog: 19.12.2016 20:07:24
Path starting: C:\Users\Артур\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: Артур
VersionXML: 3.63is-16.12.2016
___________________________________________________________________________

Windows 7(6.1.7601) Service Pack 1 (x64) Ultimate Lang: Russian(0419)
Дата установки ОС: 05.04.2013 20:55:11
Статус лицензии: Windows(R) 7, Ultimate edition Постоянная активация прошла успешно.
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
Системный диск: C: ФС: [NTFS] Емкость: [50 Гб] Занято: [45.4 Гб] Свободно: [4.6 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.16428 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя включен
Запрос на повышение прав для обычных пользователей отключен
Автоматическое обновление отключено

Дата установки обновлений: 2013-04-05 22:58:42
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба остановлена
Службы удаленных рабочих столов (TermService) - Служба остановлена
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
------------------------------ [ MS Office ] ------------------------------
Microsoft Office 2007 v.12.0.6514.5001
Microsoft Office 2010 x86 v.14.0.4763.1000
---------------------------- [ Antivirus_WMI ] ----------------------------
Microsoft Security Essentials (выключен и обновлен)
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - Служба работает
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Windows Defender (выключен и обновлен)
Microsoft Security Essentials (выключен и обновлен)
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Microsoft Security Essentials v.4.0.1526.0
--------------------------- [ OtherUtilities ] ----------------------------
Архиватор WinRAR
Microsoft Silverlight v.5.1.40416.0 Внимание! Скачать обновления
--------------------------------- [ IM ] ----------------------------------
Skype™ 7.6 v.7.6.105 Внимание! Скачать обновления
^Необязательное обновление.^
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.3.0.29462 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 51 v.8.0.510 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u112-windows-i586.exe)^
--------------------------- [ AppleProduction ] ---------------------------
QuickTime 7 v.7.79.80.95 Данная программа больше не поддерживается разработчиком и имеет известные проблемы безопасности! Рекомендуется деинсталлировать данное ПО.
--------------------------- [ AdobeProduction ] ---------------------------
Adobe AIR v.1.5.3.9120 Внимание! Скачать обновления
Adobe Flash Player 24 ActiveX v.24.0.0.186
Adobe Flash Player 24 NPAPI v.24.0.0.186
Adobe Reader XI (11.0.18) - Russian v.11.0.18
------------------------------- [ Browser ] -------------------------------
Google Chrome v.55.0.2883.87
--------------------------- [ RunningProcess ] ----------------------------
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe v.55.0.2883.87
------------------ [ AntivirusFirewallProcessServices ] -------------------
Microsoft Antimalware Service (MsMpSvc) - Служба работает
C:\Program Files\Microsoft Security Client\MsMpEng.exe v.4.0.1526.0
Проверка сети (Майкрософт) (NisSrv) - Служба остановлена
Защитник Windows (WinDefend) - Служба остановлена
---------------------------- [ UnwantedApps ] -----------------------------
Auslogics BoostSpeed v.version 4.5 Внимание! Подозрение на демо-версию антишпионской программы или программы-оптимизатора - scareware или badware. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Auslogics Registry Cleaner v.version 1.5 Внимание! Подозрение на демо-версию антишпионской программы или программы-оптимизатора - scareware или badware. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Auslogics Registry Defrag v.version 5.5 Внимание! Подозрение на демо-версию антишпионской программы или программы-оптимизатора - scareware или badware. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
----------------------------- [ End of Log ] ------------------------------
 
Сверху Снизу