Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Плагин с вирусом. При попытки зайти в папку загрузки перезапускается проводник. (http://forum.oszone.net/showthread.php?t=306937)

Cool_bee 21-10-2015 16:04 2566600
Плагин с вирусом. При попытки зайти в папку загрузки перезапускается проводник.
 
Вложений: 1
После установки плагина savefrom, попытки в яндекс.браузере что либо скачать с любого сайта или зайти в историю загрузок оканчивалось ошибкой работы в браузере, в хроме появился какой-то левый плагин, так же крашился или просто долго не загружал вкладки, попытка зайти в историю загрузок кончалась крашем. После попытки зайти в папку загрузки, проводник перезапускается.

Sandor 21-10-2015 16:27 2566609
Здравствуйте!

Через Панель управления - Удаление программ - удалите нежелательное ПО:
Цитата:
HitmanPro 3.7
У Вас установлен Malwarebytes Anti-Malware. Сделайте полное сканирование и покажите отчет.
Подробнее читайте в руководстве.

Cool_bee 21-10-2015 18:42 2566658
Malwarebytes ничего не нашел, проблема осталась.

Cool_bee 21-10-2015 19:23 2566675
AVZ это написал. Это что-то значит?
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .rdata
Функция kernel32.dll:ReadConsoleInputExA (1106) перехвачена, метод ProcAddressHijack.GetProcAddress ->761BA037->75D95600
Функция kernel32.dll:ReadConsoleInputExW (1107) перехвачена, метод ProcAddressHijack.GetProcAddress ->761BA06A->75D95630

vvvyg 21-10-2015 20:23 2566703
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).

Cool_bee 21-10-2015 20:53 2566711
Вложений: 1
К сожалению FRST (на сканировании shortcut) так же как и AVZ перестает отвечать и прекращает работу. Это все что есть.

vvvyg 21-10-2015 21:17 2566721
Отключайте 360 Total Security на время запуска утилит диагностики и лечения, он на лету бьёт что надо и что не надо.

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
Код:
CreateRestorePoint:
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  No File
2015-10-20 20:00 - 2015-10-20 20:00 - 00131747 _____ C:\Users\PathfindeR\Downloads\Не*подтверждено 320094.~
2015-10-20 19:46 - 2015-10-20 19:46 - 00109027 _____ C:\Users\PathfindeR\Downloads\Не*подтверждено 270833.~
2015-10-20 18:42 - 2015-10-20 18:42 - 00332723 _____ C:\Users\PathfindeR\Downloads\Не*подтверждено 994394.~
2015-10-20 01:03 - 2015-10-20 01:03 - 00117547 _____ C:\Users\PathfindeR\Downloads\Не*подтверждено 857060.~
2015-10-20 01:02 - 2015-10-20 01:02 - 00453207 _____ C:\Users\PathfindeR\Downloads\Не*подтверждено 797581.~
2015-10-01 20:33 - 2015-10-01 20:33 - 04005409 _____ C:\Users\PathfindeR\Downloads\[化物語] 寝取語 参 [夕鍋進行中(田辺京)].zip
2015-09-30 22:28 - 2015-09-30 22:28 - 01531248 _____ C:\Users\PathfindeR\Downloads\Не*подтверждено 339897.~
2015-09-30 22:26 - 2015-09-30 22:26 - 02352532 _____ C:\Users\PathfindeR\Downloads\Не*подтверждено 431644.~
2015-09-30 22:26 - 2015-09-30 22:26 - 01311672 _____ C:\Users\PathfindeR\Downloads\Не*подтверждено 243291.~
2015-09-30 22:26 - 2015-09-30 22:26 - 00888512 _____ C:\Users\PathfindeR\Downloads\Не*подтверждено 997692.~
2015-09-30 22:26 - 2015-09-30 22:26 - 00759864 _____ C:\Users\PathfindeR\Downloads\Не*подтверждено 858689.~
2015-10-10 16:20 - 2015-09-16 11:23 - 00000000 ____D C:\Users\Все пользователи\AVAST Software
AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A
AlternateDataStreams: C:\Users\Все пользователи\TEMP:A064CECC
CMD: cmd.exe/C dir C:\Users\PathfindeR\Downloads /AAHS
EmptyTemp:
Reboot:
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool (на рабочий стол в Вашем случае). При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Cool_bee 21-10-2015 21:33 2566730
Вложений: 1
вот

vvvyg 21-10-2015 22:16 2566754
Что сейчас при открытии папку загрузки?

Cool_bee 21-10-2015 22:22 2566758
снова перезапускается проводник

То что творится, с этим не связано? (Все перехваченные помечены красным курсивом)

1. Поиск RootKit и программ, перехватывающих функции API
>> Опасно ! Обнаружена маскировка процессов
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .rdata
Функция kernel32.dll:ReadConsoleInputExA (1106) перехвачена, метод ProcAddressHijack.GetProcAddress ->74C5A037->76925600
Функция kernel32.dll:ReadConsoleInputExW (1107) перехвачена, метод ProcAddressHijack.GetProcAddress ->74C5A06A->76925630
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtCreateFile (270) перехвачена, метод ProcAddressHijack.GetProcAddress ->7798F740->71071ED0
Функция ntdll.dll:NtSetInformationFile (558) перехвачена, метод ProcAddressHijack.GetProcAddress ->7798F460->71071E10
Функция ntdll.dll:NtSetValueKey (590) перехвачена, метод ProcAddressHijack.GetProcAddress ->7798F7F0->710A7310
Функция ntdll.dll:ZwCreateFile (1689) перехвачена, метод ProcAddressHijack.GetProcAddress ->7798F740->71071ED0
Функция ntdll.dll:ZwSetInformationFile (1975) перехвачена, метод ProcAddressHijack.GetProcAddress ->7798F460->71071E10
Функция ntdll.dll:ZwSetValueKey (2007) перехвачена, метод ProcAddressHijack.GetProcAddress ->7798F7F0->710A7310
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:CallNextHookEx (1531) перехвачена, метод ProcAddressHijack.GetProcAddress ->74EF34B0->71071DC0
Функция user32.dll:SetWindowsHookExW (2340) перехвачена, метод ProcAddressHijack.GetProcAddress ->74EFFA00->710A7390
Функция user32.dll:gSharedInfo (2435) перехвачена, метод CodeHijack (метод не определен)
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:I_ScRegisterPreshutdownRestart (1386) перехвачена, метод ProcAddressHijack.GetProcAddress ->74AE78BB->778BBD30
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
Функция netapi32.dll:NetFreeAadJoinInformation (139) перехвачена, метод ProcAddressHijack.GetProcAddress ->778EC3AE->70B5A460
Функция netapi32.dll:NetGetAadJoinInformation (140) перехвачена, метод ProcAddressHijack.GetProcAddress ->778EC3DD->70B5A7D0
1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка - не найден файл (C:\SystemRoot\system32\ntoskrnl.exe)
>>>> Обнаружена маскировка процесса 1164 c:\program files (x86)\nvidia corporation\3d vision\nvscpapisvr.exe
>>>> Обнаружена маскировка процесса 1940 c:\program files (x86)\360\total security\safemon\qhactivedefense.exe
>>>> Обнаружена маскировка процесса 2240 c:\windows\syswow64\asgt.exe
>>>> Обнаружена маскировка процесса 2364 c:\program files (x86)\nvidia corporation\netservice\nvnetworkservice.exe
>>>> Обнаружена маскировка процесса 2384 c:\program files (x86)\glasswire\gwctlsrv.exe
>>>> Обнаружена маскировка процесса 3448 c:\program files (x86)\360\total security\safemon\qhwatchdog.exe
>>>> Обнаружена маскировка процесса 2620 c:\program files (x86)\google\update\googleupdate.exe
>>>> Обнаружена маскировка процесса 4508 c:\program files (x86)\nvidia corporation\update core\nvbackend.exe
>>>> Обнаружена маскировка процесса 4272 c:\program files (x86)\glasswire\gwidlmon.exe
>>>> Обнаружена маскировка процесса 5672 c:\program files\windowsapps\microsoft.messaging_1.10.11003.0_x86__8wekyb3d8bbwe\skypehost.exe
>>>> Обнаружена маскировка процесса 5616 c:\program files (x86)\common files\java\java update\jusched.exe
>>>> Обнаружена маскировка процесса 5896 c:\program files (x86)\360\total security\safemon\qhsafetray.exe
>>>> Обнаружена маскировка процесса 2252 c:\users\pathfinder\appdata\local\yandex\yandexbrowser\application\browser.exe
>>>> Обнаружена маскировка процесса 5880 c:\users\pathfinder\appdata\local\yandex\yandexbrowser\application\45.0.2454.3388\crash_service.exe
>>>> Обнаружена маскировка процесса 856 c:\users\pathfinder\appdata\local\yandex\yandexbrowser\application\browser.exe
>>>> Обнаружена маскировка процесса 5280 c:\users\pathfinder\appdata\local\yandex\yandexbrowser\application\browser.exe
>>>> Обнаружена маскировка процесса 5232 c:\users\pathfinder\appdata\local\yandex\yandexbrowser\application\browser.exe
>>>> Обнаружена маскировка процесса 4460 c:\users\pathfinder\appdata\local\yandex\yandexbrowser\application\browser.exe
>>>> Обнаружена маскировка процесса 284 c:\program files (x86)\common files\java\java update\jucheck.exe
>>>> Обнаружена маскировка процесса 8052 c:\users\pathfinder\desktop\avz4\avz.exe

vvvyg 21-10-2015 22:41 2566762
На предупреждения AVZ не обращайте внимания.

Установите какой-нибудь файл-менеджер, Far или TotalCommander? из него перенесите из папки загрузок нужные файлы, остальные удалите.

Cool_bee 22-10-2015 23:01 2567172
вообщем ничего не помогло, спасибо за помощь.


Время: 09:28.

Время: 09:28.
© OSzone.net 2001-