Решена При запуске компьютера открывается сайт gmaegames.pro/redirect-from-banner.html

Статус
В этой теме нельзя размещать новые ответы.

MrLeshak

Новый пользователь
Сообщения
11
Реакции
1
При включение компьютера открывается Google Chrome и сайт gmaegames.pro/redirect-from-banner.html

Логи прикрепил
 

Вложения

Последнее редактирование модератором:
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\MrLeshak\AppData\Roaming\Java\x86-64bits Windows\Config-DefaultMain\SysUtils SDK v2.5\svchost.exe','');
QuarantineFile('C:\Users\websyst.exe','');
QuarantineFile('C:\Windows\system32\srvany.exe','');
QuarantineFile('c:\users\websyst.exe','');
QuarantineFile('c:\users\mrleshak\appdata\roaming\java\x86-64bits windows\config-defaultmain\sysutils sdk v2.5\svchost.exe','');
DeleteFile('c:\users\mrleshak\appdata\roaming\java\x86-64bits windows\config-defaultmain\sysutils sdk v2.5\svchost.exe','32');
DeleteFile('c:\users\websyst.exe','32');
DeleteFile('C:\Users\websyst.exe','32');
DeleteFile('C:\Users\MrLeshak\AppData\Roaming\Java\x86-64bits Windows\Config-DefaultMain\SysUtils SDK v2.5\svchost.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','KMSAuto corp.','x32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','KMSAuto corp.','x64');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Service x64 applicatese','x32');
DeleteSchedulerTask('MrLeshak');
DeleteSchedulerTask('Service Update x64');
DeleteSchedulerTask('Service Updater x64');
DeleteFile('C:\Users\MrLeshak\AppData\Roaming\Java\x86-64bits Windows\Config-DefaultMain\SysUtils SDK v2.5\svchost.exe','64');
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
BC_ImportALL;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O4 - HKCU\..\Run: [MrLeshak] = C:\Windows\system32\cmd.exe /c start www.dipladoks.org

  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[S00].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\MrLeshak\AppData\Roaming\Java\x86-64bits Windows\Config-DefaultMain\SysUtils SDK v2.5\svchost.exe','');
QuarantineFile('C:\Users\websyst.exe','');
QuarantineFile('C:\Windows\system32\srvany.exe','');
QuarantineFile('c:\users\websyst.exe','');
QuarantineFile('c:\users\mrleshak\appdata\roaming\java\x86-64bits windows\config-defaultmain\sysutils sdk v2.5\svchost.exe','');
DeleteFile('c:\users\mrleshak\appdata\roaming\java\x86-64bits windows\config-defaultmain\sysutils sdk v2.5\svchost.exe','32');
DeleteFile('c:\users\websyst.exe','32');
DeleteFile('C:\Users\websyst.exe','32');
DeleteFile('C:\Users\MrLeshak\AppData\Roaming\Java\x86-64bits Windows\Config-DefaultMain\SysUtils SDK v2.5\svchost.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','KMSAuto corp.','x32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','KMSAuto corp.','x64');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Service x64 applicatese','x32');
DeleteSchedulerTask('MrLeshak');
DeleteSchedulerTask('Service Update x64');
DeleteSchedulerTask('Service Updater x64');
DeleteFile('C:\Users\MrLeshak\AppData\Roaming\Java\x86-64bits Windows\Config-DefaultMain\SysUtils SDK v2.5\svchost.exe','64');
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
BC_ImportALL;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O4 - HKCU\..\Run: [MrLeshak] = C:\Windows\system32\cmd.exe /c start www.dipladoks.org

  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[S00].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Все сделал. Файл прикрепляю.
 

Вложения

Покажите лог AdwCleaner[C00].txt

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Покажите лог AdwCleaner[C00].txt

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Готово

Покажите лог AdwCleaner[C00].txt

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Вложения

Последнее редактирование модератором:
Политики в системе сами настраивали?
 
+
Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  4. Закачайте полученный архив, как описано на этой странице.
  5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

+ - Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.
 
  • Like
Реакции: akok
Политики в системе сами настраивали?
Ну судя по тому, что я плохо понимаю что это, настраивал их не я)

+
Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  4. Закачайте полученный архив, как описано на этой странице.
  5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

+ - Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.
Готово
 

Вложения

Последнее редактирование модератором:
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    GroupPolicy: Restriction ? <==== ATTENTION
    GroupPolicy\User: Restriction ? <==== ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
    AlternateDataStreams: C:\ProgramData\TEMP:74603393 [122]
    AlternateDataStreams: C:\Users\Все пользователи\TEMP:74603393 [122]
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.


Что с проблемами?
 
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    GroupPolicy: Restriction ? <==== ATTENTION
    GroupPolicy\User: Restriction ? <==== ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
    AlternateDataStreams: C:\ProgramData\TEMP:74603393 [122]
    AlternateDataStreams: C:\Users\Все пользователи\TEMP:74603393 [122]
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.


Что с проблемами?

Все сделал. Лог прикрепляю.

А проблема решена! Спасибо.
 

Вложения

  • Like
Реакции: akok
Для закрытия уязвимостей вашей системы, сделайте лог, для этого обязательно скачайте свежую версию SecurityCheck by glax24
Перед запуском утилиты на своем компьютере отключите(выгрузите) или приостановите защиту всех ваших антивирусных программ.
Лог, который откроется в блокноте, скопируйте и вставьте в свой ответ, сам файл выкладывать не обязательно, затем скачайте и установите все обновления по ссылкам.
 
  • Like
Реакции: akok
Для закрытия уязвимостей вашей системы, сделайте лог, для этого обязательно скачайте свежую версию SecurityCheck by glax24
Перед запуском утилиты на своем компьютере отключите(выгрузите) или приостановите защиту всех ваших антивирусных программ.
Лог, который откроется в блокноте, скопируйте и вставьте в свой ответ, сам файл выкладывать не обязательно, затем скачайте и установите все обновления по ссылкам.

SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]
WebSite: www.safezone.cc
DateLog: 23.12.2018 18:37:04
Path starting: C:\Users\MrLeshak\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: MrLeshak
VersionXML: 5.76is-16.12.2018
___________________________________________________________________________

Windows 7(6.1.7601) Service Pack 1 (x64) HomePremium Lang: Russian(0419)
Дата установки ОС: 15.01.2015 13:00:11
Статус лицензии: Windows(R) 7, HomePremium edition Постоянная активация прошла успешно.
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
Системный диск: C: ФС: [NTFS] Емкость: [119 Гб] Занято: [103.4 Гб] Свободно: [15.6 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.19230 [+]
Контроль учётных записей пользователя включен (Уровень 3)
Загружать автоматически обновления и устанавливать по заданному расписанию
Дата установки обновлений: 2018-12-23 15:36:06
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба остановлена
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
------------------------------ [ MS Office ] ------------------------------
Microsoft Office 2016 x86 v.16.0.4266.1001
---------------------------- [ Antivirus_WMI ] ----------------------------
Microsoft Security Essentials (включен и обновлен)
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - Служба работает
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Microsoft Security Essentials (включен и обновлен)
Windows Defender (выключен и устарел)
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Microsoft Security Essentials v.4.10.209.0
--------------------------- [ OtherUtilities ] ----------------------------
7-Zip 17.01 beta (x64) v.17.01 beta Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
WinRAR 5.50 (64-разрядная) v.5.50.0 Внимание! Скачать обновления
Microsoft Silverlight v.5.1.50907.0
NVIDIA GeForce Experience 3.16.0.140 v.3.16.0.140
Steam v.2.10.91.91
--------------------------------- [ IM ] ----------------------------------
Skype, версия 8.34 v.8.34 Внимание! Скачать обновления
---------------------------- [ ProxyAndVPNs ] -----------------------------
OpenVPN 2.4.6-I602 v.2.4.6-I602
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.44954 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 181 (64-bit) v.8.0.1810.13 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u192-windows-x64.exe)^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Acrobat Reader DC - Russian v.19.010.20064
------------------------------- [ Browser ] -------------------------------
Google Chrome v.71.0.3578.98
--------------------------- [ RunningProcess ] ----------------------------
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe v.71.0.3578.98
------------------ [ AntivirusFirewallProcessServices ] -------------------
Microsoft Antimalware Service (MsMpSvc) - Служба работает
C:\Program Files\Microsoft Security Client\MsMpEng.exe v.4.10.209.0
C:\Program Files\Microsoft Security Client\msseces.exe v.4.10.209.0
Проверка сети (Майкрософт) (NisSrv) - Служба работает
C:\Program Files\Microsoft Security Client\NisSrv.exe v.4.10.209.0
Защитник Windows (WinDefend) - Служба остановлена
----------------------------- [ End of Log ] ------------------------------
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу