Вы используете устаревший браузер. Этот и другие сайты могут отображаться в нём некорректно. Вам необходимо обновить браузер или попробовать использовать другой.
РешенаТроян при включении компьютера открывается сайт с неприличным содержанием
Здравствуйте!
Столкнулась с проблемой - при включении компьютера открывается браузер и эротический сайт (или любой другой, по-разному)
Проверяла компьютер с помощью антивируса, находил 5 угроз, пишет "Троян", но удалить все не получилось, только "Вылечить"
Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины).
В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке с AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_auto_<имя_ПК>.zip
Закачайте полученный архив, как описано на этой странице.
Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.SU, MediaFire, Files.FM, MixDrop или karelia.ru - этот последний не желательно, он урезает скорость) и укажите ссылку на скачивание в своём следующем сообщении.
O4 - HKCU\..\Run: [ZET] = C:\Windows\system32\cmd.exe /c start vvv.dinoklafbzor.org (sign: 'Microsoft')
O4 - HKLM\..\Session Manager: [PendingFileRenameOperations2] = C:\Windows\SystemTemp\ChromiumTemp19284_2055517595 -> DELETE (file missing)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\E&xport to Microsoft Excel: (default) = C:\Program Files (x86)\Microsoft Office\Root\Office16\EXCEL.EXE (file missing)
O22 - Task (.job): (Not scheduled) Восстановление сервиса обновлений Яндекс.Браузера.job - C:\Program Files (x86)\Yandex\YandexBrowser\22.9.1.1095\service_update.exe (file missing)
O23 - Driver R: (no name) - C:\Users\ZET\AppData\Local\Temp\97E884F4-6BC75422-449F88BE-BC7D37A8\2cf945c03.sys (file missing)
O23 - Driver R: (no name) - C:\Users\ZET\AppData\Local\Temp\dwt-1836-6528-2d19cb7c8.sys (sign: 'Microsoft' - no company)
O23 - Driver R: (no name) - C:\Users\ZET\AppData\Local\Temp\dwt-1836-7684-37694702d.sys (sign: 'Microsoft' - no company)
O27 - Account: (Hidden) User 'John' is invisible on logon screen
O27 - RDP: (Other) HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server: [fDenyTSConnections] = 0
O27 - RDP: (Port) 3389 TCP opened as inbound - termservice - (Удаленный рабочий стол — пользовательский режим (входящий трафик TCP)) - C:\Windows\system32\svchost.exe
O27 - RDP: (Port) 3389 UDP opened as inbound - termservice - (Удаленный рабочий стол — пользовательский режим (входящий трафик UDP)) - C:\Windows\system32\svchost.exe
Скачайте, распакуйте (в подпапку) и запустите в безопасном режиме с поддержкой сети AV block remover или с зеркала
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.
Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины).
В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке с AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_auto_<имя_ПК>.zip
Закачайте полученный архив, как описано на этой странице.
Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.SU, MediaFire, Files.FM, MixDrop или karelia.ru - этот последний не желательно, он урезает скорость) и укажите ссылку на скачивание в своём следующем сообщении.
O4 - HKCU\..\Run: [ZET] = C:\Windows\system32\cmd.exe /c start vvv.dinoklafbzor.org (sign: 'Microsoft')
O4 - HKLM\..\Session Manager: [PendingFileRenameOperations2] = C:\Windows\SystemTemp\ChromiumTemp19284_2055517595 -> DELETE (file missing)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\E&xport to Microsoft Excel: (default) = C:\Program Files (x86)\Microsoft Office\Root\Office16\EXCEL.EXE (file missing)
O22 - Task (.job): (Not scheduled) Восстановление сервиса обновлений Яндекс.Браузера.job - C:\Program Files (x86)\Yandex\YandexBrowser\22.9.1.1095\service_update.exe (file missing)
O23 - Driver R: (no name) - C:\Users\ZET\AppData\Local\Temp\97E884F4-6BC75422-449F88BE-BC7D37A8\2cf945c03.sys (file missing)
O23 - Driver R: (no name) - C:\Users\ZET\AppData\Local\Temp\dwt-1836-6528-2d19cb7c8.sys (sign: 'Microsoft' - no company)
O23 - Driver R: (no name) - C:\Users\ZET\AppData\Local\Temp\dwt-1836-7684-37694702d.sys (sign: 'Microsoft' - no company)
O27 - Account: (Hidden) User 'John' is invisible on logon screen
O27 - RDP: (Other) HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server: [fDenyTSConnections] = 0
O27 - RDP: (Port) 3389 TCP opened as inbound - termservice - (Удаленный рабочий стол — пользовательский режим (входящий трафик TCP)) - C:\Windows\system32\svchost.exe
O27 - RDP: (Port) 3389 UDP opened as inbound - termservice - (Удаленный рабочий стол — пользовательский режим (входящий трафик UDP)) - C:\Windows\system32\svchost.exe
Скачайте, распакуйте (в подпапку) и запустите в безопасном режиме с поддержкой сети AV block remover или с зеркала
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.
Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Защита от подделки или TamperProtection (внедрено с Windows 10 Версия 1903)- это дополнительная функция в приложении "Microsoft Defender", которая предназначена для повышения уровня защиты компьютера. Когда эта функция включена, изменение ключевых функций безопасности невозможно, благодаря...
safezone.cc
C:\Users\ZET\Documents\task.vbs - знакомо? Если нет какое содержимое файла? (можно открыть блокнотом)
Защита от подделки или TamperProtection (внедрено с Windows 10 Версия 1903)- это дополнительная функция в приложении "Microsoft Defender", которая предназначена для повышения уровня защиты компьютера. Когда эта функция включена, изменение ключевых функций безопасности невозможно, благодаря...
safezone.cc
C:\Users\ZET\Documents\task.vbs - знакомо? Если нет какое содержимое файла? (можно открыть блокнотом)
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
Отключите до перезагрузки антивирус.
Выделите следующий код:
Код:
Start::
SystemRestore: On
CreateRestorePoint:
Task: {D9A138C3-7F8F-4332-9F61-ACD848C412C6} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => %ProgramFiles%\Common Files\Microsoft Shared\Office16\OLicenseHeartbeat.exe (Нет файла)
Task: {B8901E55-35A2-4294-913A-E6338FF98F51} - System32\Tasks\ChromiumModeUpdate => C:\Windows\System32\wscript.exe [170496 2023-10-11] (Microsoft Windows -> Microsoft Corporation) -> C:\Users\ZET\Documents\task.vbs <==== ВНИМАНИЕ
FirewallRules: [{A487C39F-85D3-48B4-8A71-00647C763D91}] => (Allow) D:\Games\Steam\steamapps\common\Counter-Strike Global Offensive\csgo.exe => Нет файла
FirewallRules: [{A89904A0-667D-4E5A-A6D6-59F823CC9222}] => (Allow) D:\Games\Steam\steamapps\common\Counter-Strike Global Offensive\csgo.exe => Нет файла
FirewallRules: [{3B8B9C6B-CACA-44DA-9F3D-D84C04A6F39C}] => (Allow) C:\Users\ZET\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [{2E0CD572-8EAD-409A-BFAC-115A1179A410}] => (Allow) C:\Users\ZET\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [{01639B11-D958-4845-B37F-5863800DE54D}] => (Allow) C:\Users\ZET\Desktop\AnyDesk.exe => Нет файла
FirewallRules: [{7EE4932F-6279-4844-A10C-128DDD6E25D2}] => (Allow) C:\Users\ZET\Desktop\AnyDesk.exe => Нет файла
FirewallRules: [{4AC81551-D0B7-4C28-802F-C3555D545AAF}] => (Allow) C:\Users\ZET\Desktop\AnyDesk.exe => Нет файла
FirewallRules: [{6F83445C-DF6A-4550-AFDD-89A536274DFE}] => (Allow) C:\Users\ZET\Desktop\AnyDesk.exe => Нет файла
FirewallRules: [{907A4A43-2487-4B34-809B-FC4739117B67}] => (Allow) C:\Users\ZET\Desktop\AnyDesk.exe => Нет файла
FirewallRules: [{CDD10293-2BD9-448E-92DD-9DC7E7B85666}] => (Allow) C:\Users\ZET\Desktop\AnyDesk.exe => Нет файла
EmptyTemp:
Reboot:
End::
Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
Отключите до перезагрузки антивирус.
Выделите следующий код:
Код:
Start::
SystemRestore: On
CreateRestorePoint:
Task: {D9A138C3-7F8F-4332-9F61-ACD848C412C6} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => %ProgramFiles%\Common Files\Microsoft Shared\Office16\OLicenseHeartbeat.exe (Нет файла)
Task: {B8901E55-35A2-4294-913A-E6338FF98F51} - System32\Tasks\ChromiumModeUpdate => C:\Windows\System32\wscript.exe [170496 2023-10-11] (Microsoft Windows -> Microsoft Corporation) -> C:\Users\ZET\Documents\task.vbs <==== ВНИМАНИЕ
FirewallRules: [{A487C39F-85D3-48B4-8A71-00647C763D91}] => (Allow) D:\Games\Steam\steamapps\common\Counter-Strike Global Offensive\csgo.exe => Нет файла
FirewallRules: [{A89904A0-667D-4E5A-A6D6-59F823CC9222}] => (Allow) D:\Games\Steam\steamapps\common\Counter-Strike Global Offensive\csgo.exe => Нет файла
FirewallRules: [{3B8B9C6B-CACA-44DA-9F3D-D84C04A6F39C}] => (Allow) C:\Users\ZET\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [{2E0CD572-8EAD-409A-BFAC-115A1179A410}] => (Allow) C:\Users\ZET\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [{01639B11-D958-4845-B37F-5863800DE54D}] => (Allow) C:\Users\ZET\Desktop\AnyDesk.exe => Нет файла
FirewallRules: [{7EE4932F-6279-4844-A10C-128DDD6E25D2}] => (Allow) C:\Users\ZET\Desktop\AnyDesk.exe => Нет файла
FirewallRules: [{4AC81551-D0B7-4C28-802F-C3555D545AAF}] => (Allow) C:\Users\ZET\Desktop\AnyDesk.exe => Нет файла
FirewallRules: [{6F83445C-DF6A-4550-AFDD-89A536274DFE}] => (Allow) C:\Users\ZET\Desktop\AnyDesk.exe => Нет файла
FirewallRules: [{907A4A43-2487-4B34-809B-FC4739117B67}] => (Allow) C:\Users\ZET\Desktop\AnyDesk.exe => Нет файла
FirewallRules: [{CDD10293-2BD9-448E-92DD-9DC7E7B85666}] => (Allow) C:\Users\ZET\Desktop\AnyDesk.exe => Нет файла
EmptyTemp:
Reboot:
End::
Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Чтобы автоматически удалить все файлы и папки, созданные FRST, в том числе сам инструмент, переименуйте FRST/FRST64.exe в uninstall.exe и запустите его. Процедура требует перезагрузки системы.
Чтобы автоматически удалить все файлы и папки, созданные FRST, в том числе сам инструмент, переименуйте FRST/FRST64.exe в uninstall.exe и запустите его. Процедура требует перезагрузки системы.
Брандмауэр Защитника Windows (mpssvc) - Служба работает Отключен доменный профиль Брандмауэра Windows Отключен общий профиль Брандмауэра Windows Отключен частный профиль Брандмауэра Windows
GPL Ghostscript v.9.20 Внимание! Скачать обновления ^Удалите старую версию, скачайте и установите новую.^
TeamViewer v.15.36.6 Внимание! Скачать обновления
NVIDIA GeForce Experience 3.27.0.112 v.3.27.0.112 Внимание! Скачать обновления
Ghostscript GPL 8.64 (Msi Setup) v.8.64 Внимание! Скачать обновления ^Удалите старую версию, скачайте и установите новую.^
WinRAR 5.10 (64-bit) v.5.10.0 Внимание! Скачать обновления
Discord v.1.0.9005 Внимание! Скачать обновления
WhatsApp v.2.2222.12 Классическая версия приложения больше не поддерживается разработчиком.. Установите программу из Microsoft Store.
µTorrent v.3.6.0.46896 Внимание! Клиент сети P2P с рекламным модулем!.
uTorrent Web v.1.4.0 Внимание! Клиент сети P2P с рекламным модулем!.
Java 8 Update 51 (64-bit) v.8.0.510 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u411-windows-x64.exe - Windows Offline (64-bit))^
VLC media player v.3.0.18 Внимание! Скачать обновления
Adobe Acrobat (64-bit) v.22.003.20322 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - Проверить обновления!^
---------------------------- [ UnwantedApps ] -----------------------------
Кнопка "Яндекс" на панели задач v.2.2.2.55 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Брандмауэр Защитника Windows (mpssvc) - Служба работает Отключен доменный профиль Брандмауэра Windows
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
GPL Ghostscript v.9.20 Внимание! Скачать обновления ^Удалите старую версию, скачайте и установите новую.^
TeamViewer v.15.36.6 Внимание! Скачать обновления
NVIDIA GeForce Experience 3.27.0.112 v.3.27.0.112 Внимание! Скачать обновления
Ghostscript GPL 8.64 (Msi Setup) v.8.64 Внимание! Скачать обновления ^Удалите старую версию, скачайте и установите новую.^
WinRAR 5.10 (64-bit) v.5.10.0 Внимание! Скачать обновления
Discord v.1.0.9005 Внимание! Скачать обновления
WhatsApp v.2.2222.12 Классическая версия приложения больше не поддерживается разработчиком.. Установите программу из Microsoft Store.
µTorrent v.3.6.0.46896 Внимание! Клиент сети P2P с рекламным модулем!.
uTorrent Web v.1.4.0 Внимание! Клиент сети P2P с рекламным модулем!.
Java 8 Update 51 (64-bit) v.8.0.510 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u411-windows-x64.exe - Windows Offline (64-bit))^
VLC media player v.3.0.18 Внимание! Скачать обновления
Adobe Acrobat (64-bit) v.22.003.20322 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - Проверить обновления!^
---------------------------- [ UnwantedApps ] -----------------------------
Кнопка "Яндекс" на панели задач v.2.2.2.55 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.