0 / 0 / 0
Регистрация: 08.10.2016
Сообщений: 9
1

Pfhttpcontentfilter и другие вирусы

08.10.2016, 16:44. Показов 1312. Ответов 15
Метки нет (Все метки)

Author24 — интернет-сервис помощи студентам
Здравствуйте.
После скачивание одной программы, занеслась на ноут всякая нечисть. Меняет поисковую систему самопроизвольно, постоянная реклама в любых ее проявлениях на всех браузерах. Попытки были со всем этим разобраться, ранее уже избавлялась от всплывающей рекламы в браузерах, майла,амиго и прочего. Но в этот раз возникли неудаляемые папки (например filter2 на диске С) с самовозобновляемыми процессами (pfhttpcontentfilter). Еще скрытые папки от майла и т.п.,которые обнаружила и удалила. Прогоняла ноут через Malwarebytes Anti-Malware, выявил кучу вредоносного и удалил. Но реклама с браузеров не ушла никуда. Перестал запускаться Battle.net. Выдает ошибку входа в учетную запись,думаю,что тоже из-за этих вирусов. Остальные проги подтормаживают тоже. На данный момент оставила только Microsoft edge из браузеров.
Вложения
Тип файла: zip CollectionLog-2016.10.08-18.11.zip (120.2 Кб, 1 просмотров)
0
Лучшие ответы (1)
Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
08.10.2016, 16:44
Ответы с готовыми решениями:

PFHttpContentFilter и прочие вирусы
Ребят, нужна помощь с удалением PFHttpContentFilter и прочих вирусов. Касперский не справляется.

Tencet и другие вирусы
Добрый день. Серфил по интернету с отключенным касперским. В результате на ноутбуке установилось...

Вулкан и другие вирусы
Выскакивает рекламный вирус, компьютер тормозит. Оперативка полностью нагружается. Не могу поменять...

Букет от mail.ru и другие вирусы
Доброго времени суток. Нужна помощь. Машина 2 месяца эксплуатировалась с просроченным Касперским,...

15
Вирусоборец
13095 / 7247 / 1533
Регистрация: 06.09.2009
Сообщений: 26,472
08.10.2016, 17:14 2
Лучший ответ Сообщение было отмечено Ermine как решение

Решение

Выполните скрипт в AVZ
Код
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\program files (x86)\filter2\2\pfhttpcontentfilter.exe');
 TerminateProcessByName('c:\program files (x86)\filter2\2\cppwindowsservice.exe');
 SetServiceStart('CppWindowsService', 4);
 QuarantineFile('C:\Users\Евгения\AppData\Local\ComDev\ComDev.exe','');
 QuarantineFile('C:\Users\Евгения\AppData\LocalLow\SearchGo\searchgo.dll','');
 QuarantineFile('C:\Users\Евгения\AppData\Local\ZetaGamesNews\zeta.exe','');
 QuarantineFile('C:\Program Files (x86)\filter2\2\ProtocolFilters.dll','');
 QuarantineFile('C:\Program Files (x86)\filter2\2\nfapi.dll','');
 QuarantineFile('c:\program files (x86)\filter2\2\pfhttpcontentfilter.exe','');
 QuarantineFile('c:\program files (x86)\filter2\2\cppwindowsservice.exe','');
 DeleteFile('c:\program files (x86)\filter2\2\cppwindowsservice.exe','32');
 DeleteFile('c:\program files (x86)\filter2\2\pfhttpcontentfilter.exe','32');
 DeleteFile('C:\Program Files (x86)\filter2\2\nfapi.dll','32');
 DeleteFile('C:\Program Files (x86)\filter2\2\ProtocolFilters.dll','32');
 DeleteFile('C:\WINDOWS\System32\drivers\cucoyj.sys','32');
 DeleteFile('C:\Users\Евгения\AppData\Local\ZetaGamesNews\zeta.exe','32');
 DeleteFile('C:\Users\Евгения\AppData\LocalLow\SearchGo\searchgo.dll','32');
 DeleteFile('C:\Users\Евгения\AppData\Local\ComDev\ComDev.exe','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\ComDev','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\MailRuUpdater','64');
 DeleteService('CppWindowsService');
 DelBHO('{2BC46CFA-4B00-4193-A7BD-6AD1D0BCB5BC}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ
Код
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
Отправьте c:\quarantine.zip при помощи формы над первым сообщением темы или (если размер архива превышает 16 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Карантин прикреплять к сообщениям на данном форуме ЗАПРЕЩЕНО!!!


Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи
1
0 / 0 / 0
Регистрация: 08.10.2016
Сообщений: 9
08.10.2016, 18:11  [ТС] 3
Скрипт выполнила. Карантин отправила. Новые логи:
Вложения
Тип файла: zip CollectionLog-2016.10.08-20.10.zip (117.6 Кб, 0 просмотров)
0
0 / 0 / 0
Регистрация: 08.10.2016
Сообщений: 9
08.10.2016, 19:22  [ТС] 4
Скрипт выполнила. Карантин отправила. Новые логи:
Вложения
Тип файла: zip CollectionLog-2016.10.08-20.10.zip (117.6 Кб, 3 просмотров)
0
Вирусоборец
13095 / 7247 / 1533
Регистрация: 06.09.2009
Сообщений: 26,472
09.10.2016, 09:31 5
Скачайте Farbar Recovery Scan Tool [img]http://i.**********/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
[img]http://i.**********/3munStB.png[/img]
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.
0
0 / 0 / 0
Регистрация: 08.10.2016
Сообщений: 9
09.10.2016, 11:52  [ТС] 6
Сделала:
Вложения
Тип файла: rar Desktop.rar (90.9 Кб, 2 просмотров)
0
Вирусоборец
13095 / 7247 / 1533
Регистрация: 06.09.2009
Сообщений: 26,472
09.10.2016, 12:46 7
1. Откройте Блокнот и скопируйте в него приведенный ниже текст
Код
CreateRestorePoint:
HKU\S-1-5-21-1381509496-2130626355-3841624302-1001\...\RunOnce: [Uninstall C:\Users\**235=8O\AppData\Local\Microsoft\OneDrive\17.3.6390.0509_1\amd64<*>] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\Евгения\AppData\Local\Microsoft\OneDrive\17.3.6390.0509_1\amd64" <===== ATTENTION (Value Name with invalid characters)
HKU\S-1-5-21-1381509496-2130626355-3841624302-1001\...\RunOnce: [Uninstall C:\Users\**235=8O\AppData\Local\Microsoft\OneDrive\17.3.6390.0509_2\amd64<*>] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\Евгения\AppData\Local\Microsoft\OneDrive\17.3.6390.0509_2\amd64" <===== ATTENTION (Value Name with invalid characters)
GroupPolicy: Restriction - Chrome <======= ATTENTION
HKU\S-1-5-21-1381509496-2130626355-3841624302-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://granena.ru/?utm_content=31b5cebd524a9af6c7a772dca81815e9&utm_source=startpm&utm_term=42511DD9F7BB01D046E5C11D9A9F641B&utm_d=20161005
CHR Extension: (Chrome Media Router) - C:\Users\Евгения\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2016-10-09]
CHR HKLM-x32\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
2016-10-05 20:27 - 2016-10-08 19:02 - 00000000 ____D C:\WINDOWS\filter
2016-10-05 20:27 - 2016-01-12 18:04 - 00059896 _____ (Windows (R) Win 7 DDK provider) C:\WINDOWS\system32\Drivers\netfilter2.sys
2016-10-05 20:26 - 2016-10-08 19:56 - 00000000 ____D C:\Users\Евгения\AppData\Local\ComDev
2016-10-05 20:26 - 2016-10-05 20:26 - 00000000 ____D C:\Program Files (x86)\filter2
C:\Users\Евгения\AppData\Local\Temp\8bOVl0b9GOUc.exe
C:\Users\Евгения\AppData\Local\Temp\MailRuUpdater.exe
C:\Users\Евгения\AppData\Local\Temp\nswBF41.tmp.exe
HKU\S-1-5-21-1381509496-2130626355-3841624302-1001\...\StartupApproved\Run: => "MailRuUpdater"
HKU\S-1-5-21-1381509496-2130626355-3841624302-1001\...\StartupApproved\Run: => "mailruhomesearch"
HKU\S-1-5-21-1381509496-2130626355-3841624302-1001\...\StartupApproved\Run: => "ZetaGamesNews"
Task: {F00F5270-3178-46F0-B0EB-F72782F44969} - \MailRuUpdater -> No File <==== ATTENTION
Task: {C4A482B6-F611-4E4D-95D3-0639BFD48936} - \ComDev -> No File <==== ATTENTION
Task: {78A3E2C4-E624-4B22-8EBC-9B2DA1591BA4} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> No File <==== ATTENTION
Task: {9B3864EF-5EBA-4FCF-9E45-A2C9FEDDA4FA} - \fupdate -> No File <==== ATTENTION
Task: {331FC6E8-F39B-4021-BF01-139FDE81795D} - \KMSAutoNet -> No File <==== ATTENTION
Reboot:
2. Нажмите ФайлСохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файлаВсе файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
  • Обратите внимание, что будет выполнена перезагрузка компьютера.
1
0 / 0 / 0
Регистрация: 08.10.2016
Сообщений: 9
09.10.2016, 13:20  [ТС] 8
Вот:
Вложения
Тип файла: txt Fixlog.txt (7.8 Кб, 1 просмотров)
0
Вирусоборец
13095 / 7247 / 1533
Регистрация: 06.09.2009
Сообщений: 26,472
09.10.2016, 14:41 9
Проблема решена?
0
0 / 0 / 0
Регистрация: 08.10.2016
Сообщений: 9
09.10.2016, 14:46  [ТС] 10
Да)
Рекламы нет. Приложения, которые ранее не запускались, стали работать стабильно
Спасибо вам огромное! Очень полезный сайт
0
Вирусоборец
13095 / 7247 / 1533
Регистрация: 06.09.2009
Сообщений: 26,472
09.10.2016, 14:55 11
  • Загрузите SecurityCheck by glax24 и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Скопируйте содержимое файла в свое следующее сообщение.
1
0 / 0 / 0
Регистрация: 08.10.2016
Сообщений: 9
09.10.2016, 18:58  [ТС] 12
SecurityCheck by glax24 & Severnyj v.1.4.0.46 [22.09.16]
WebSite: www.safezone.cc
DateLog: 09.10.2016 20:56:24
Path starting: C:\Users\Евгения\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: Евгения
VersionXML: 3.41is-08.10.2016
___________________________________________________________________________

Windows 10(6.3.14393) (x64) Professional Lang: Russian(0419)
Дата установки ОС: 28.08.2016 13:32:31
Статус лицензии: Windows(R), Professional edition Срок истечения многопользовательской активации: 201059 мин.
Статус лицензии: Office 16, Office16ProPlusR_Grace edition Windows находится в режиме уведомления
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
Системный диск: C: ФС: [NTFS] Емкость: [195.4 Гб] Занято: [101.6 Гб] Свободно: [93.8 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.187.14393.0
Контроль учётных записей пользователя включен

Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба остановлена
Служба веб-публикаций (W3SVC) - Служба работает
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
------------------------------ [ MS Office ] ------------------------------
Microsoft Office 2010 x86 v.14.0.7015.1000
---------------------------- [ Antivirus_WMI ] ----------------------------
Windows Defender (включен и обновлен)
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - Служба работает
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Windows Defender (включен и обновлен)
-------------------------- [ SecurityUtilities ] --------------------------
Malwarebytes Anti-Malware, версия 2.2.1.1043 v.2.2.1.1043
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Silverlight v.5.1.40728.0 Внимание! Скачать обновления
WinRAR 5.30 (32-разрядная) v.5.30.0 Внимание! Скачать обновления
--------------------------------- [ IM ] ----------------------------------
Viber v.5.9.1.1
Skype™ 7.18 v.7.18.112 Внимание! Скачать обновления
^Необязательное обновление.^
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.4.8.42576 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
Zona Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
------------------------------- [ Browser ] -------------------------------
Google Chrome v.53.0.2785.143
--------------------------- [ RunningProcess ] ----------------------------
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe v.53.0.2785.143
C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\MicrosoftEdge.exe v.11.0.14393.206
------------------ [ AntivirusFirewallProcessServices ] -------------------
C:\Program Files\Windows Defender\MsMpEng.exe v.4.10.14393.0
C:\Program Files\Windows Defender\NisSrv.exe v.4.10.14393.0
Служба Защитника Windows (WinDefend) - Служба работает
Служба проверки сети Защитника Windows (WdNisSvc) - Служба работает
---------------------------- [ UnwantedApps ] -----------------------------
My Web Shield v.3.0 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и AdwCleaner (by ToolsLib) Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
Служба автоматического обновления программ Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
НОВОСТИ - ZetaGames v.3.2.3 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и AdwCleaner (by ToolsLib) Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
----------------------------- [ End of Log ] ------------------------------
0
Вирусоборец
13095 / 7247 / 1533
Регистрация: 06.09.2009
Сообщений: 26,472
09.10.2016, 19:02 13
Выполните рекомендованное + Рекомендации после удаления вредоносного ПО
0
0 / 0 / 0
Регистрация: 08.10.2016
Сообщений: 9
09.10.2016, 19:04  [ТС] 14
Хорошо, выполняю)

Добавлено через 29 секунд
на этом все?
0
Вирусоборец
13095 / 7247 / 1533
Регистрация: 06.09.2009
Сообщений: 26,472
09.10.2016, 19:23 15
На этом все
0
0 / 0 / 0
Регистрация: 08.10.2016
Сообщений: 9
09.10.2016, 19:26  [ТС] 16
Спасибо большое) За оперативность главным образом!
0
09.10.2016, 19:26
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
09.10.2016, 19:26
Помогаю со студенческими работами здесь

SmartWeb, GamesDesktop, реклама и другие вирусы
Всем доброго времени суток. Скачал программу FRAPS из инета для снимка экрана, а вместе с ним...

Unstopp.me и другие вирусы, которые не удаляет eset
Здравствуйте! Постоянно выскакивает уведомление антивируса о блокировке адреса unstopp.me/..........

Вирус устанавливает на компьютер другие вирусы и прочее вредоносное ПО
Весьма банальная ситуация: скачал установщик, но вместо программы он установил мне кучу...

Как удалить search protect и другие вирусы на компе
удалить search protect и другие вирусы. комп грузится сильно вот еще один отчет


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
16
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin
Copyright ©2000 - 2024, CyberForum.ru