После копирования номера, вставляется другой из буферки.

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

После копирования номера, вставляется другой из буферки.

Доброго времени суток, уважаемые доктора)) случилась проблема, словил где то нежелетальный вирус, где оказался спуф.. После того как копирую какой либо номер для оплаты, при вставке происходит подмена номера на другой. Благо всегда проверяю при оплате, заметил это только недавно, т.к. до этого ничего не копировал. Прикладываю к этой теме свои логи. Буду весьма благодарен за вашу помощь! Файл 167335

Здравствуйте!

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Цитата:

promo-provinces
Кнопка "Яндекс" на панели задач

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ из папки Автологера (Файл - Выполнить скрипт):

Код:

begin

 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

 ClearQuarantineEx(true);

 QuarantineFile('C:\ProgramData\PostClear\PostClear.bat', '');

 QuarantineFile('C:\ProgramData\propose-progress\bin.exe', '');

 QuarantineFile('C:\Users\486B~1\AppData\Local\Temp\4zr.exe', '');

 QuarantineFile('C:\Users\Данил\AppData\Local\Programs\AdLock\054ac7a0ae.msi', '');

 QuarantineFile('C:\Users\Данил\AppData\Local\Temp\hiZJGlEfBdSlFJAuc\BGzGjGsvOtenFWD\aDJJinN.exe', '');

 DeleteSchedulerTask('AdLock Update Task-S-1-5-21-2526475123-1100838001-1066468635-1001');

 DeleteSchedulerTask('bmgBVpqOflHGOSqbhq');

 DeleteSchedulerTask('C:\Windows\Task\bmgBVpqOflHGOSqbhq.job');

 DeleteSchedulerTask('C:\Windows\Task\wow64.job');

 DeleteSchedulerTask('promo-provinces');

 DeleteSchedulerTask('wow64');

 DeleteFile('C:\ProgramData\PostClear\PostClear.bat', '32');

 DeleteFile('C:\ProgramData\PostClear\PostClear.bat', '64');

 DeleteFile('C:\ProgramData\propose-progress\bin.exe', '64');

 DeleteFile('C:\Users\486B~1\AppData\Local\Temp\4zr.exe', '32');

 DeleteFile('C:\Users\486B~1\AppData\Local\Temp\4zr.exe', '64');

 DeleteFile('C:\Users\Данил\AppData\Local\Programs\AdLock\054ac7a0ae.msi', '64');

 DeleteFile('C:\Users\Данил\AppData\Local\Temp\hiZJGlEfBdSlFJAuc\BGzGjGsvOtenFWD\aDJJinN.exe', '32');

 DeleteFile('C:\Users\Данил\AppData\Local\Temp\hiZJGlEfBdSlFJAuc\BGzGjGsvOtenFWD\aDJJinN.exe', '64');

 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'OneDriveSetup', '32');

 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'OneDriveSetup', '64');

ExecuteSysClean;

 ExecuteWizard('SCU', 2, 3, true);

RebootWindows(true);

end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:

begin

 DeleteFile(GetAVZDirectory+'quarantine.7z');

 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);

end.

Полученный архив quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Файл CheckBrowserLnk.log
из папки

Цитата:

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
Прикрепите свежий CollectionLog.

Ещё раз добрый день, отсуствовал пк, все действия проделаны, promo province неудалялось через unins, удалил с самого пк нашел его папку. Прикрепляю ClearLNK лог.
clearlnk : Файл 167375

Вы всё "правильно перепутали" :)

Цитата:

Цитата Sandor

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению »

А вы прикрепили CheckBrowserLnk.log

Карантин нужно отправить по форме или на почту, а не прикреплять к сообщению.
Если ещё возможно, удалите его из сообщения.

Цитата:

Цитата Sandor

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
Прикрепите свежий CollectionLog. »

Этого тоже нет.

Ну, такая моя внимательность xD. Приношу извинения что сделал все наоборот. Отправил папку карантина по форме. Прикладываю логи ClearLNK и CollectionLog Файл 167377 Файл 167378

Хорошо, продолжаем.

"Пофиксите" в HijackThis только следующее:

Код:

O17 - HKLM\System\CCS\Services\Tcpip\..\{d2f85437-c640-458e-bb57-14411b7fa024}: [NameServer] = 193.37.68.40

O17 - HKLM\System\CCS\Services\Tcpip\..\{d2f85437-c640-458e-bb57-14411b7fa024}: [NameServer] = 45.95.11.175

O22 - Task (.job): wow64.job - C:\Users\Данил\AppData\Local\Temp\4zr.exe (file missing)

O22 - Tasks: \S-7-6-95-1015281129-1166877725-1195279204-5143\{BICYZTIH-Z4QE-NDZ3-PIO3-5U13FW32ROW6} - C:\Users\Данил\AppData\Roaming\amd64_microsoft-windows-s..llercommandlinetool_31bf3856ad364e35_10.0.19041.1_none_2a5f489c740a390b\mfxplugin32_hw.exe

O23 - Service S2: 3proxy tiny proxy server - (3proxy) - C:\Users\Данил\Desktop\3proxy-0.9.3-x64\bin64\3proxy.exe "C:\Users\Данил\Desktop\3proxy-0.9.3-x64\bin64\3proxy.cfg" --service (file missing)

Перезагрузите компьютер.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.