• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Record Page вирус?

Статус
В этой теме нельзя размещать новые ответы.

RuMax

Активный пользователь
Сообщения
372
Реакции
60
Баллы
338
не успел установить вин 7, без антивируса успел уже судя по всему схватить вирус.
В списке установленных программ обнаружилась не устанавливаемая мной программа Record Page.
Почитал про нее отзывы, пишут, что вирус...
 

Вложения

  • CollectionLog-2015.08.01-18.57.zip
    83.4 KB · Просмотры: 6

Кирилл

Команда форума
Администратор
Сообщения
14,216
Реакции
6,246
Баллы
1,093
Удалите через установку и удаление программ:
eShield Browser Security
Record Page
Skype Click to Call
Super Optimizer v3.2
UpdateAdmin

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\program files\common files\87737dd0-ad90-4193-bd48-336966b8d777\updater.exe');
 TerminateProcessByName('c:\program files\super optimizer\supoptsmartscan.exe');
 TerminateProcessByName('c:\programdata\87737dd0-ad90-4193-bd48-336966b8d777\plugincontainer.exe');
 SetServiceStart('Update Mgr RecordPage', 4);
 SetServiceStart('Service Mgr RecordPage', 4);
 StopService('Update Mgr RecordPage');
 StopService('Service Mgr RecordPage');
 QuarantineFile('c:\programdata\{c68e363a-ab1e-6449-c68e-e363aab1d8ea}\hqghumeaylnlf.exe', '');
 QuarantineFile('C:\Program Files\Record Page\Extensions\2335267c-dbba-4dd5-a9d0-c4db8e6a75a4.dll', '');
 QuarantineFile('C:\Users\Мах\AppData\Local\UpdateAdmin\UpdateAdmin.exe', '');
 QuarantineFile('C:\Program Files\Super Optimizer\SupOptLauncher.exe', '');
 QuarantineFile('c:\Program Files\Super Optimizer\SupOptStats.dll', '');
 QuarantineFile('c:\program files\common files\87737dd0-ad90-4193-bd48-336966b8d777\updater.exe', '');
 QuarantineFile('c:\program files\super optimizer\supoptsmartscan.exe', '');
 QuarantineFile('c:\programdata\87737dd0-ad90-4193-bd48-336966b8d777\plugincontainer.exe', '');
 QuarantineFileF('C:\Program Files\Super Optimizer', '*', true, '', 0 , 0);
 QuarantineFileF('C:\Users\Мах\AppData\Local\UpdateAdmin', '*', true, '', 0 , 0);
 QuarantineFileF('C:\Program Files\Record Page', '*', true, '', 0 , 0);
 QuarantineFileF('c:\programdata\{c68e363a-ab1e-6449-c68e-e363aab1d8ea}', '*', true, '', 0 , 0);
 DeleteFile('c:\program files\super optimizer\supoptsmartscan.exe', '32');
 DeleteFile('c:\Program Files\Super Optimizer\SupOptStats.dll', '32');
 DeleteFile('C:\ProgramData\87737dd0-ad90-4193-bd48-336966b8d777\plugincontainer.exe', '32');
 DeleteFile('C:\Program Files\Common Files\87737dd0-ad90-4193-bd48-336966b8d777\updater.exe', '32');
 DeleteFile('C:\Program Files\Super Optimizer\SupOptLauncher.exe', '32');
 DeleteFile('C:\Users\Мах\AppData\Local\UpdateAdmin\UpdateAdmin.exe', '32');
 DeleteFile('C:\Program Files\Record Page\Extensions\2335267c-dbba-4dd5-a9d0-c4db8e6a75a4.dll', '32');
 DeleteFile('C:\Windows\Tasks\Superclean.job', '32');
 DeleteFile('c:\programdata\{c68e363a-ab1e-6449-c68e-e363aab1d8ea}\hqghumeaylnlf.exe', '32');
 DeleteFile('C:\Windows\system32\Tasks\Super Optimizer Schedule', '32');
 DeleteFile('C:\Windows\system32\Tasks\Superclean', '32');
 DeleteService('Update Mgr RecordPage');
 DeleteService('Service Mgr RecordPage');
 DeleteFileMask('C:\Program Files\Super Optimizer', '*', true);
 DeleteFileMask('C:\Users\Мах\AppData\Local\UpdateAdmin', '*', true);
 DeleteFileMask('C:\Program Files\Record Page', '*', true);
 DeleteFileMask('c:\programdata\{c68e363a-ab1e-6449-c68e-e363aab1d8ea}', '*', true);
 DeleteDirectory('C:\Program Files\Super Optimizer', '');
 DeleteDirectory('C:\Users\Мах\AppData\Local\UpdateAdmin', '');
 DeleteDirectory('C:\Program Files\Record Page', '');
 DeleteDirectory('c:\programdata\{c68e363a-ab1e-6449-c68e-e363aab1d8ea}', '');
 DelBHO('{896B993C-C71A-4237-A7E9-C8EB077E4F8F}');
 DelBHO('{2335267c-dbba-4dd5-a9d0-c4db8e6a75a4}');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Super Optimizer');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'UpdateAdmin');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

RuMax

Активный пользователь
Сообщения
372
Реакции
60
Баллы
338
Готово
 

Вложения

  • AdwCleaner[R0].txt
    5.8 KB · Просмотры: 1

Кирилл

Команда форума
Администратор
Сообщения
14,216
Реакции
6,246
Баллы
1,093
  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

RuMax

Активный пользователь
Сообщения
372
Реакции
60
Баллы
338
Повторил
 

Вложения

  • AdwCleaner[R1].txt
    5.9 KB · Просмотры: 1

Кирилл

Команда форума
Администратор
Сообщения
14,216
Реакции
6,246
Баллы
1,093
Я дико извиняюсь,немного не то написал))
  • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.
 

RuMax

Активный пользователь
Сообщения
372
Реакции
60
Баллы
338
сделал
 

Вложения

  • AdwCleaner[S0].txt
    5.6 KB · Просмотры: 0

RuMax

Активный пользователь
Сообщения
372
Реакции
60
Баллы
338
Кстати, при чистке удалилась папка программы Zona и сама программа тоже исчезла, остался только ярлык панели быстрого запуска). Она что была заражена?
Cейчас увидел, что в хроме стоит расширение Record Page и выскочило предупреждение, что дополнение eshield просит внести какие то изменения, запретил конечно, но ничего не делал с ним.
 

Кирилл

Команда форума
Администратор
Сообщения
14,216
Реакции
6,246
Баллы
1,093
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

На ваше личное усмотрение:
http://www.anti-malware.ru/Threats_Analysis/Zona_analysis
 

RuMax

Активный пользователь
Сообщения
372
Реакции
60
Баллы
338
Сомнительная программка...
 

Вложения

  • Addition.txt
    22.1 KB · Просмотры: 1
  • FRST.txt
    180.4 KB · Просмотры: 1
  • Shortcut.txt
    52.9 KB · Просмотры: 0

Кирилл

Команда форума
Администратор
Сообщения
14,216
Реакции
6,246
Баллы
1,093
Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
Код:
start
CreateRestorePoint:
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
FF SelectedSearchEngine: eShield Safe Web
FF Extension: eShield - C:\Users\Мах\AppData\Roaming\Mozilla\Firefox\Profiles\thhwio0v.default\Extensions\toolbar11433@eshield.com.xpi [2015-07-31]
FF Extension: Record Page - C:\Users\Мах\AppData\Roaming\Mozilla\Firefox\Profiles\thhwio0v.default\Extensions\{32f64797-b066-4d56-a827-9474972f4b6a}.xpi [2015-07-31]
CHR HKLM\...\Chrome\Extension: [dkmjljdbbgogihjcapfhgkonfmccbffp] - https://clients2.google.com/service/update2/crx
OPR Extension: (Record Page) - C:\Users\Мах\AppData\Roaming\Opera Software\Opera Stable\Extensions\ijgbnkffcnjcagpoppoodjjedamldilf [2015-07-31]
2015-08-01 17:12 - 2015-08-01 17:12 - 0004990 _____ () C:\ProgramData\mtbjfghn.xbe
EmptyTemp:
Reboot:
end
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

Сообщите о проблемах.
 

RuMax

Активный пользователь
Сообщения
372
Реакции
60
Баллы
338
fixlog
 

Вложения

  • Fixlog.txt
    2.3 KB · Просмотры: 1

Кирилл

Команда форума
Администратор
Сообщения
14,216
Реакции
6,246
Баллы
1,093
Как проблемы?
 

RuMax

Активный пользователь
Сообщения
372
Реакции
60
Баллы
338
ну разве что расширение в хроме отключенное есть (record page). Удалить его обычным способом?
 

Кирилл

Команда форума
Администратор
Сообщения
14,216
Реакции
6,246
Баллы
1,093
Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 

RuMax

Активный пользователь
Сообщения
372
Реакции
60
Баллы
338
Cделано. Видимых причин волноваться больше пока не наблюдается. Больше ничего делать не нужно, чтобы наверняка знать, что никаких угроз не осталось?
 

Кирилл

Команда форума
Администратор
Сообщения
14,216
Реакции
6,246
Баллы
1,093
  • Пожалуйста, запустите adwcleaner.exe
  • Нажмите Uninstall (Удалить).
  • Подтвердите удаление нажав кнопку: Да.

Подробнее читайте в этом руководстве.


Удалите папку FRST.

Все.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу