[решено] Прошу помощи. - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

- - [решено] Прошу помощи. (http://forum.oszone.net/showthread.php?t=295672)

Прошу помощи.

Здравствуйте! На браузере Мозилла эпизодически перенаправления на казино Вулкан. Логи прилагаю.

Здравствуйте!

Через Панель управления - Удаление программ удалите нежелательное ПО:

Цитата:

VK Downloader

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

 TerminateProcessByName('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe');

 TerminateProcessByName('c:\program files (x86)\advplugin\basement\extensionupdaterservice.exe');

 TerminateProcessByName('c:\program files (x86)\vk downloader\basement\extensionupdaterservice.exe');

 StopService('WindowsMangerProtect');

 StopService('Update Service for VK Downloader');

 StopService('Update Service for advPlugin');

 QuarantineFile('C:\Users\Александр\appdata\roaming\mediahit\mediahitupd\mediahit.update.process.exe','');

 QuarantineFile('C:\Program Files (x86)\VK Downloader\Toolbar32.dll','');

 QuarantineFile('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe','');

 QuarantineFile('c:\program files (x86)\advplugin\basement\extensionupdaterservice.exe','');

 QuarantineFile('c:\program files (x86)\vk downloader\basement\extensionupdaterservice.exe','');

 QuarantineFile('C:\Users\Александр\AppData\Roaming\AWNLZ.exe', '');

 QuarantineFile('C:\Users\Александр\AppData\Roaming\CNS.exe', '');

 DeleteFile('C:\Program Files (x86)\advPlugin\Basement\ExtensionUpdaterService.exe','32');

 DeleteFile('C:\Program Files (x86)\VK Downloader\Basement\ExtensionUpdaterService.exe','32');

 DeleteFile('C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe','32');

 DeleteFile('C:\Program Files (x86)\VK Downloader\Toolbar32.dll','32');

 DeleteFile('C:\Users\Александр\appdata\roaming\mediahit\mediahitupd\mediahit.update.process.exe','32');

 DeleteFile('C:\Windows\Tasks\AWNLZ.job', '64');

 DeleteFile('C:\Windows\Tasks\CNS.job', '64');

 DeleteFile('C:\Users\Александр\AppData\Roaming\AWNLZ.exe', '32');

 DeleteFile('C:\Users\Александр\AppData\Roaming\CNS.exe', '32');

 DeleteService('WindowsMangerProtect');

 DeleteService('Update Service for VK Downloader');

 DeleteService('Update Service for advPlugin');

 DelBHO('{D5FEC983-01DB-414a-9456-AF95AC9ED7B5}');

 DelBHO('{3C6CF3C0-D800-4B4D-A3D8-8ADE406523B6}');

ExecuteSysClean;

 ExecuteWizard('SCU', 2, 3, true);

 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');

RebootWindows(true);

end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Спасибо за оперативный ответ.

Все вроде по инструкции сделал. При заходе на данный форум меня опять на вулкан выбросило...

отчет прилагаю

Уточнение - прошу прощения, в процессе упустил первый пункт - не удалил VK downloader.

Теперь удалил (не знаю, существенна ли последовательность)

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления потребуется перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

Удалите в AdwCleaner всё, кроме папок от mail.ru. Если программами от mail.ru не пользуетесь, то их тоже удалите.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

лог в приложении

Еще это:

Цитата:

Цитата Sandor

Повторите логи по правилам. »

в конце процесса autologger подвисает на финальной стадии формирования журнала событий. В папке автологгера появилась подпапка Collection Log _ Дата. Файлы из папки прилагаю.

а, вот сформировался

В логах порядок, что с проблемой?

пока их сюда отсылал - дважды на вулкан выкинуло опять...

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

пока пересылал логи (на этой странице) - опять на вулкан выкинуло...

отчеты высылаю

shortcut.txt чуть больше лимита размера для пересылки в данном форуме - ?

Упакуйте.

Advanced SystemCare 8 и IObit Malware Fighter 3 - рекомендую удалить.

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.

Код:

start

CreateRestorePoint

HKLM-x32\...\Run: [] => [X]

HKLM-x32\...\Run: [gmsd_ru_112] => [X]

SearchScopes: HKU\S-1-5-21-3029205433-36154893-246144645-1000 -> {61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} URL = 

SearchScopes: HKU\S-1-5-21-3029205433-36154893-246144645-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = 

BHO: advPlugin -> {1FE48F08-A2AC-44AC-A21C-0556D91C50DA} -> C:\Program Files (x86)\advPlugin\Toolbar64.dll No File

BHO: VK Downloader -> {3C6CF3C0-D800-4B4D-A3D8-8ADE406523B6} -> C:\Program Files (x86)\VK Downloader\Toolbar64.dll No File

Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File

FF Extension: Sense - C:\Users\Александр\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\e9d197d59f2f45f382b1aa5c14d82@8706aaed9b904554b5cb7984e9.com [2015-02-03]

FF Extension: WebAlta - C:\Users\Александр\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{4933189D-C7F7-4C6E-834B-A29F087BFD23}.xpi [2012-11-21]

FF HKLM\...\Firefox\Extensions: [jid1-n5ARdBzHkUEdAA@jetpack] - C:\Users\Александр\AppData\Roaming\Mozilla\Extensions\jid1-n5ARdBzHkUEdAA@jetpack

FF Extension: SuperMegaBest.com - C:\Users\Александр\AppData\Roaming\Mozilla\Extensions\jid1-n5ARdBzHkUEdAA@jetpack [2015-02-03]

FF HKLM-x32\...\Firefox\Extensions: [jid1-n5ARdBzHkUEdAA@jetpack] - C:\Users\Александр\AppData\Roaming\Mozilla\Extensions\jid1-n5ARdBzHkUEdAA@jetpack

CHR HKLM\...\Chrome\Extension: [aaaaahlfahldnilidgnlikdckbfehhca] - No Path

CHR HKLM\...\Chrome\Extension: [blbkdnmdcafmfhinpmnlhhddbepgkeaa] - https://chrome.google.com/webstore/detail/blbkdnmdcafmfhinpmnlhhddbepgkeaa [Not Found]

CHR HKLM-x32\...\Chrome\Extension: [aaaaahlfahldnilidgnlikdckbfehhca] - No Path

CHR HKLM-x32\...\Chrome\Extension: [aonedlchkbicmhepimiahfalheedjgbh] - No Path

CHR HKLM-x32\...\Chrome\Extension: [blbkdnmdcafmfhinpmnlhhddbepgkeaa] - https://chrome.google.com/webstore/detail/blbkdnmdcafmfhinpmnlhhddbepgkeaa [Not Found]

CHR HKLM-x32\...\Chrome\Extension: [cncgohepihcekklokhbhiblhfcmipbdh] - No Path

CHR HKLM-x32\...\Chrome\Extension: [gdknicmnhbaajdglbinpahhapghpakch] - No Path

CHR HKLM-x32\...\Chrome\Extension: [hcncjpganfocbfoenaemagjjopkkindp] - No Path

CHR HKLM-x32\...\Chrome\Extension: [jedelkhanefmcnpappfhachbpnlhomai] - No Path

CHR HKLM-x32\...\Chrome\Extension: [jggbjbmnfmipgcanidamjfpechdeekoi] - No Path

CHR HKLM-x32\...\Chrome\Extension: [nkcpopggjcjkiicpenikeogioednjeac] - C:\Users\Александр\AppData\Local\Temp\nkcpopggjcjkiicpenikeogioednjeac.crx [Not Found]

CHR HKLM-x32\...\Chrome\Extension: [odkmedfomghphdnmmemhkpoanggcfbbe] - No Path

CHR HKLM-x32\...\Chrome\Extension: [pganlglbhgfjfgopijbhemcpbehjnpia] - No Path

Task: {5F6C86B2-F625-4E8C-B0F7-E9FA395522EF} - \Installer_shopperpro No Task File <==== ATTENTION

EmptyTemp:

Reboot:

end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

и то верно... )

fixlog прилагаю

Что с проблемой?

при обновлении данной страницы форума - опять вулкан...

Это происходит только в Мозилле?

Скачайте Портативный браузер и проверьте в нем.

Перечислите расширения FireFox.

замечено только в Мозилле (я ее для всяких сомнительных закачек и пользую) Хром вроде все чисто. сейчас скачаю.

Как посмотреть расширения FF- ?

Конвертер валют
Антибаннер (отключен)
Безопасные платежи (отключен)
Виртуальная клавиатура (отключен)
Модуль блокирования опасных сайтов (отключен)
Модуль проверки ссылок (отключен)
HP smart printing (отключен)

Цитата:

Цитата Alex4791

Конвертер валют »

устанавливали самостоятельно? Отключите и проверьте.

ок, беру небольшую паузу - погоняю в опере и мозилле с отключенным конвертером...

Вроде пока все чисто. Большое спасибо за оперативную и квалифицированную помощь!

Еще пара вопросов в Вашего позволения:

1. Профилактические рекомендации на будущее (ну, кроме не лазить по всяким помойкам) - ?

2.Advanced SystemCare 8 и IObit Malware Fighter 3 - рекомендую удалить. - бесполезные или вредны?

Цитата:

Цитата Alex4791

1. Профилактические рекомендации на будущее »

Обязательно)

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var

LogPath : string;

ScriptPath : string;

begin

 LogPath := GetAVZDirectory + 'log\avz_log.txt';

 if FileExists(LogPath) Then DeleteFile(LogPath);

 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else 

begin

    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) 

else begin

       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');

       exit;

      end;

  end;

 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)

end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Рекомендации после лечения.

Цитата:

Цитата Alex4791

бесполезные или вредны? »

От всевозможных "настройщиков системы" толку мало. А антивирус должен быть в системе один.

получил вот такой отчет:

Поиск критических уязвимостей
Уязвимость в MSXML делает возможным удаленное выполнение кода
http://www.microsoft.com/downloads/d...0-4e0f4a65db04
Запускайте обновление от имени Администратора

Обнаружено уязвимостей: 1

эээ... а как запустить обновление?

AVZ отчет теперь говорит все нормально. Углубляюсь в чтение рекомендаций. Еще раз большое спасибо!