Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] зараза от mail.ru (http://forum.oszone.net/showthread.php?t=330660)

Aleksandr_Perm 21-10-2017 10:27 2772144
зараза от mail.ru
 
Вложений: 1
Всем привет. Мама подцепила на ноут заразы от mail.ru. Форум покурил, но зверек остался.
Прошу помощи!

Еще, при открытой опере проц грузит до 100%.

Sandor 21-10-2017 16:27 2772203
Здравствуйте!

Дополнительно:
  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Sx].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Aleksandr_Perm 21-10-2017 17:14 2772217
Вложений: 1
Заметил вот что: зверек проявляется только в опере, хром и ие не гадят.
При поиске перебрасывает на майл, а на открытых страницах реклама...

Aleksandr_Perm 21-10-2017 17:23 2772218
Переустановка оперы с чисткой реестра не помогла)

Sandor 21-10-2017 17:25 2772219
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Aleksandr_Perm 21-10-2017 17:33 2772221
Вложений: 2
я намудил... парсек

Aleksandr_Perm 21-10-2017 17:37 2772224
Вложений: 3
Вот

Sandor 21-10-2017 17:46 2772227
Из перечня установленных программ удалите
Цитата:
AdwCleaner, версия 7.0.3.1
Оригинальная версия, ссылку на которую я давал выше, в систему не устанавливается, а является портативной.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
    GroupPolicy: Restriction <==== ATTENTION
    GroupPolicy\User: Restriction <==== ATTENTION
    CHR HomePage: Default -> hxxp://mail.ru/cnt/10445?gp=822318
    CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=811021","hxxp://www.google.com/"
    CHR DefaultSearchURL: Default -> hxxps://www.google.ru/search?newwindow=1&source=hp&btnG=%D0%9F%D0%BE%D0%B8%D1%81%D0%BA&q={searchTerms}&oq=bnm%2Cbnm&gs_l=psy-ab.3..0i10i1i42k1j0l2j0i22i10i30k1j0i22i30k1.15676.16124.0.16972.7.3.0.0.0.0.215.500.1j1j1.3.0....0...1.1.64.psy-ab..4.3.496...0i131k1j0i10i1k1.0.wP7hNHOx6ws
    C:\Users\Ольга\AppData\Roaming\Opera Software\Opera Stable\Extensions\pbdpajcdgknpendpmecafmopknefafha
    Task: {3A8AE49C-1BCE-4A0D-B9B2-35013EB0A342} - System32\Tasks\Uninstaller_SkipUac_Ольга => C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe
    AlternateDataStreams: C:\Users\Ольга\Downloads\03_материалы.xlsx:$CmdZnID [26]
    AlternateDataStreams: C:\Users\Ольга\Downloads\2 ндфл хромова 2015 (1).xls:$CmdZnID [26]
    AlternateDataStreams: C:\Users\Ольга\Downloads\2 ндфл хромова 2015.xls:$CmdZnID [26]
    AlternateDataStreams: C:\Users\Ольга\Downloads\2015_Raspisanie.xls:$CmdZnID [26]
    AlternateDataStreams: C:\Users\Ольга\Downloads\25-12-2014_13-35-36.zip:$CmdZnID [26]
    AlternateDataStreams: C:\Users\Ольга\Downloads\27-11-2014_00-01-17.zip:$CmdZnID [26]
    AlternateDataStreams: C:\Users\Ольга\Downloads\3482_Dec14.html:$CmdZnID [26]
    AlternateDataStreams: C:\Users\Ольга\Downloads\DFM 2014 - Imany - You Will Never Know (Ivan Spell &amp; Daniel Magre Reboot) (mixpromo.ru).mp3:$CmdZnID [26]
    AlternateDataStreams: C:\Users\Ольга\Downloads\image.jpeg:$CmdZnID [26]
    AlternateDataStreams: C:\Users\Ольга\Downloads\Natasha St.Pier  - Tant Que C'est Toi (красивая французская песня о любви) (mixpromo.ru).mp3:$CmdZnID [26]
    AlternateDataStreams: C:\Users\Ольга\Downloads\NetDvrV3.exe:$CmdTcID [64]
    AlternateDataStreams: C:\Users\Ольга\Downloads\NetDvrV3.exe:$CmdZnID [26]
    AlternateDataStreams: C:\Users\Ольга\Downloads\Roxette (дискотека 80-90х)медляк - 13 - It must have been love (live) (Альбом Charm School - 2011) (mixpromo.ru).mp3:$CmdZnID [26]
    AlternateDataStreams: C:\Users\Ольга\Downloads\rse03X_40010 (1).exe:$CmdTcID [64]
    AlternateDataStreams: C:\Users\Ольга\Downloads\rse03X_40010 (1).exe:$CmdZnID [26]
    AlternateDataStreams: C:\Users\Ольга\Downloads\rse03X_40010 (2).exe:$CmdTcID [64]
    AlternateDataStreams: C:\Users\Ольга\Downloads\rse03X_40010 (2).exe:$CmdZnID [26]
    AlternateDataStreams: C:\Users\Ольга\Downloads\rse03X_40010 (3).exe:$CmdTcID [64]
    AlternateDataStreams: C:\Users\Ольга\Downloads\rse03X_40010 (3).exe:$CmdZnID [26]
    AlternateDataStreams: C:\Users\Ольга\Downloads\rse03X_40010 (4).exe:$CmdTcID [64]
    AlternateDataStreams: C:\Users\Ольга\Downloads\rse03X_40010 (4).exe:$CmdZnID [26]
    AlternateDataStreams: C:\Users\Ольга\Downloads\rse03X_40010.exe:$CmdTcID [64]
    AlternateDataStreams: C:\Users\Ольга\Downloads\rse03X_40010.exe:$CmdZnID [26]
    AlternateDataStreams: C:\Users\Ольга\Downloads\Waterfalls.themepack:$CmdZnID [26]
    AlternateDataStreams: C:\Users\Ольга\Downloads\АВАНСОВОЕ ИВАНОВСКАЯ.docx:$CmdZnID [26]
    AlternateDataStreams: C:\Users\Ольга\Downloads\В Арбитражный суд Пермского края судье Трубину (1).docx:$CmdZnID [26]
    AlternateDataStreams: C:\Users\Ольга\Downloads\В Арбитражный суд Пермского края судье Трубину.docx:$CmdZnID [26]
    AlternateDataStreams: C:\Users\Ольга\Downloads\выдержки из постановления ПК от 04.12.2014 №1400-П.pdf:$CmdZnID [26]
    AlternateDataStreams: C:\Users\Ольга\Downloads\ДОПОЛНИТЕЛЬНОЕ СОГЛАШЕНИЕ. дом Комсомольская,11doc+++ (1).doc:$CmdZnID [26]
    AlternateDataStreams: C:\Users\Ольга\Downloads\ДОПОЛНИТЕЛЬНОЕ СОГЛАШЕНИЕ. дом Комсомольская,11doc+++.doc:$CmdZnID [26]
    AlternateDataStreams: C:\Users\Ольга\Downloads\Неизвестный исполнитель - sh ft. looloo david badalyan-  raй club mixed by dj novikov-  ♥23- 45 feat. 5ivesta  family el tirano-  img style-  attis-  дискотека 80-90х-  zaz - изабель жеффруа-  dj jim [vkhp.net]-  ириш.mp3--:$CmdZnID [26]
    AlternateDataStreams: C:\Users\Ольга\Downloads\Непара - Песня о любви (mixpromo.ru).mp3:$CmdZnID [26]
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Aleksandr_Perm 21-10-2017 17:57 2772231
Вложений: 1
готово

Sandor 22-10-2017 19:07 2772507
Что с проблемой?

Aleksandr_Perm 23-10-2017 20:20 2772840
Проблема всё там же...(

После пары перезагрузок вроде все пропало...

Спасибо за помощь) Надеюсь что эпопея окончена)

Может ли эта падла некоторое время "спать" после перезагрузки??

Aleksandr_Perm 23-10-2017 20:55 2772866
Вложений: 5
Выкладываю новые логи...

Aleksandr_Perm 23-10-2017 21:02 2772872
может снести все напрочь?!...

Sandor 23-10-2017 21:33 2772885
Пожалуйста, яснее выражайтесь. Проблема по-прежнему актуальна? Если да, в каком браузере? Проверьте в IE и сообщите.

Aleksandr_Perm 23-10-2017 21:46 2772896
проблема актуальна по прежнему. IE работает без отклонений. По прежнему работает не корректно браузер OPERA. При поиске в адресной строке пробрасывает с гугла через "websearchtds . ru" на поиск майл. При открытии страниц в браузере на весь экран выскакивает реклама и при попытке закрыть ее крестом отправляет в дебри интернета...

Проще сказать так - после произведенных манипуляций пока что ничего не изменилось...

Однако, сразу после загрузки в течении малого времени симптомы не проявляются.

Sandor 23-10-2017 21:49 2772901
Отключите в Опере все расширения, в т.ч. стандартные (Ctrl+Shift+E). Пропадет - включайте по одному, пока не найдете виновника. Название сообщите.

Aleksandr_Perm 23-10-2017 21:50 2772903
Подскажите, что еще я могу предпринять для решения данной проблемы?...

Браузер ОПЕРА. и только ОПЕРА. ИЕ и ХРОМ ведут себя адекватно

Это чудо!
Расширение с названием "Fast search",версия 1.1.3

Огромное вам СПАСИБО!)

Sandor 23-10-2017 22:01 2772911
В завершение:
1.
  • Пожалуйста, запустите adwcleaner.exe
  • В меню File (Файл) - выберите Uninstall (Деинсталлировать).
  • Подтвердите удаление, нажав кнопку: Да.

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

2.
Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
      ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
      exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Рекомендации после лечения.

Aleksandr_Perm 23-10-2017 22:09 2772914
Выполнено!


Время: 00:50.

Время: 00:50.
© OSzone.net 2001-