Браузерный вирус

@Александр Ш · Регистрация: 30.12.2015

Студворк — интернет-сервис помощи студентам

Здравствуйте,нужна ваша помощь, Жена пыталась без меня скачать Photoshop ,тем самым установила вирус, все страницы в Opera стали блокироваться Dr.Web (SplDer Gate) , самопроизвольно открывается Explorer , запросы в поисковике перенаправляет на go.mail.ru.
появились папки C:\netfilter2 и C:\Program Files (x86)\filter. За ранее спасибо!

@shestale · 31.12.2015, 09:13

Внимание! Рекомендации написаны специально для Александр Ш. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
________________________________________ ______________

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Windows Batch file
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFileF('C:\Users\User\AppData\Local\SystemDir', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0 ,0);
 QuarantineFile('C:\Windows\system32\drivers\netfilter2.sys', '');
 QuarantineFile('C:\Users\User\AppData\Local\SystemDir\nethost.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "MS" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "nethost task" /F', 0, 15000, true);
 DeleteFile('C:\Windows\system32\drivers\netfilter2.sys', '32');
 DeleteFile('C:\Users\User\AppData\Local\SystemDir\nethost.exe', '32');
 DeleteFileMask('C:\Users\User\AppData\Local\SystemDir', '*', true);
 DeleteDirectory('C:\Users\User\AppData\Local\SystemDir');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CMD','command');
 DeleteService('netfilter2');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:
Windows Batch file
1 2 3
begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы, расположенной вверху темы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Карантин прикреплять к сообщению ЗАПРЕЩЕНО!!!
Удалите параметры запуска ярлыков.
Подготовьте лог AdwCleaner.

@Александр Ш · 31.12.2015, 11:51 **[ТС]**

4й пункт выполнил.

@Александр Ш · 31.12.2015, 12:00 **[ТС]**

5й пункт выполнил.

@shestale · 31.12.2015, 12:01

Удалите в AdwCleaner все найденные объекты, кроме папок от Mail.Ru, если пользуетесь его сервисами, а если не пользуетесь, тогда тоже удалите.
+
Подготовьте логи Farbar Recovery Scan Tool

@Александр Ш · 31.12.2015, 12:16 **[ТС]**

Сделано.))

@shestale · 31.12.2015, 12:20

Выполните скрипт в Farbar Recovery Scan Tool

Windows Batch file
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
start
CreateRestorePoint:
AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A
AlternateDataStreams: C:\ProgramData\TEMP:A064CECC
AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A
AlternateDataStreams: C:\Users\Все пользователи\TEMP:A064CECC
GroupPolicy: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
ProxyServer: [S-1-5-21-455213084-237498477-2416742271-1001] => socks=127.0.0.1:9050
CHR HKLM-x32\...\Chrome\Extension: [eioddfaepdoeifbhjphfefgipcjcdieo] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [iflppbjnpneiigcbdfjpnkebidmkjmoi] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ppoilmfkbpckodoifdlkmkepcajfjmhl] - hxxps://clients2.google.com/service/update2/crx
2015-12-17 13:42 - 2015-12-31 13:40 - 00000000 ____D C:\netfilter2
EmptyTemp:
Reboot:
end

+
Почистите кэш и куки в браузерах.

Проблема решена?

@Александр Ш · 31.12.2015, 12:39 **[ТС]**

Огромное Вам спасибо. Да, проблема ушла.
С наступающим Вас,больших успехов Вам и вашему сайту в 2016 году.)))

@shestale · 31.12.2015, 12:40

Спасибо.
Еще немного усилий...

Для закрытия уязвимостей вашей системы, сделайте лог SecurityCheck by glax24.
Лог, который откроется, скопируйте и выложите, сам файл выкладывать не обязательно, затем скачайте и установите все обновления по ссылкам.

@Александр Ш · 31.12.2015, 12:50 **[ТС]**

Сделано.))

SecurityCheck by glax24 v.1.4.0.32 [01.11.15]
WebSite: www.safezone.cc
DateLog: 31.12.2015 14:44:26
Path starting: C:\Users\User\AppData\Local\Temp\Securit yCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: User
VersionXML: 2.22is-29.12.2015
________________________________________ ___________________________________

Windows 7(6.1.7601) Service Pack 1 (x64) Ultimate Lang: Russian(0419)
Дата установки ОС: 07.05.2011 03:31:18
Статус лицензии: Windows(R) 7, Ultimate edition Постоянная активация прошла успешно.
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files (x86)\Opera\Launcher.exe
Системный диск: C: ФС: [NTFS] Емкость: [80 Гб] Занято: [48.7 Гб] Свободно: [31.3 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя отключен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
---------------------------- [ Antivirus_WMI ] ----------------------------
Dr.Web Security Space (включен)
---------------------------- [ Firewall_WMI ] -----------------------------
Dr.Web Firewall (включен)
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Windows Defender (выключен и устарел)
Dr.Web Security Space (включен)
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Dr.Web Security Space v.10.0.1.02040
--------------------------- [ OtherUtilities ] ----------------------------
WinRAR 4.00 (64-разрядная) v.4.00.0 Внимание! Скачать обновления
Microsoft Silverlight v.3.0.40624.0 Внимание! Скачать обновления
--------------------------------- [ IM ] ----------------------------------
Skype™ 5.3 v.5.3.111 Внимание! Скачать обновления
^Необязательное обновление.^
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.2.2.0 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 11 ActiveX v.11.9.900.117 Внимание! Скачать обновления
Adobe Flash Player 20 NPAPI v.20.0.0.235 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Opera Stable 34.0.2036.25 v.34.0.2036.25
----------------------------- [ EmailClient ] -----------------------------
Почта Windows Live v.16.4.3508.0205
Windows Live Mail v.16.4.3508.0205
--------------------------- [ RunningProcess ] ----------------------------
C:\Program Files (x86)\Opera\34.0.2036.25\opera.exe v.34.0.2036.25
C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwengine.exe v.11.0.1.10200
C:\Program Files\DrWeb\dwservice.exe v.11.0.3.12094
C:\Program Files\DrWeb\dwnetfilter.exe v.11.0.2.12040
C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwarkdaemon.exe v.11.0.1.10200
C:\Program Files\DrWeb\spideragent.exe v.11.0.3.12010
----------------------------- [ End of Log ] ------------------------------

@shestale · 31.12.2015, 12:52

Обновляйтесь
+
Выполните рекомендации после удаления вредоносного ПО

Удачи и с наступающим НГ!

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Desktop (MinGW): Создаём пустое окно с нуля для 2D-графики на SDL3, Си и C++ 8Observer8 10.03.2026 Содержание блога Финальные проекты на Си и на C++: hello-sdl3-c. zip hello-sdl3-cpp. zip Результат:	Установка CMake и MinGW 13.1 для сборки С и C++ приложений из консоли и из Qt Creator в EXE 8Observer8 10.03.2026 Содержание блога MinGW - это коллекция инструментов для сборки приложений в EXE. CMake - это система сборки приложений. Здесь описаны базовые шаги для старта программирования с помощью CMake и. . .	Как дизайн сайта влияет на конверсию: 7 решений, которые реально повышают заявки Neotwalker 08.03.2026 Многие до сих пор воспринимают дизайн сайта как “красивую оболочку”. На практике всё иначе: дизайн напрямую влияет на то, оставит человек заявку или уйдёт через несколько секунд. Даже если у вас. . .	Модульная разработка через nuget packages DevAlt 07.03.2026 Сложившийся в . Net-среде способ разработки чаще всего предполагает монорепозиторий в котором находятся все исходники. При создании нового решения, мы просто добавляем нужные проекты и имеем. . .
Модульный подход на примере F# DevAlt 06.03.2026 В блоге дяди Боба наткнулся на такое определение: В этой книге («Подход, основанный на вариантах использования») Ивар утверждает, что архитектура программного обеспечения — это структуры,. . .	Управление камерой с помощью скрипта OrbitControls.js на Three.js: Вращение, зум и панорамирование 8Observer8 05.03.2026 Содержание блога Финальная демка в браузере работает на Desktop и мобильных браузерах. Итоговый код: orbit-controls-threejs-js. zip. Сканируйте QR-код на мобильном. Вращайте камеру одним пальцем,. . .	SDL3 для Web (WebAssembly): Синхронизация спрайтов SDL3 и тел Box2D 8Observer8 04.03.2026 Содержание блога Финальная демка в браузере. Итоговый код: finish-sync-physics-sprites-sdl3-c. zip На первой гифке отладочные линии отключены, а на второй включены:. . .	SDL3 для Web (WebAssembly): Идентификация объектов на Box2D v3 - использование userData и событий коллизий 8Observer8 02.03.2026 Содержание блога Финальная демка в браузере. Итоговый код: finish-collision-events-sdl3-c. zip Сканируйте QR-код на мобильном и вы увидите, что появится джойстик для управления главным героем. . . .

Браузерный вирус

Решение

Решение

Решение

@shestale 8618 / 4187 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	31.12.2015, 12:01
	Сообщение было отмечено Александр Ш как решение Решение Удалите в AdwCleaner все найденные объекты, кроме папок от Mail.Ru, если пользуетесь его сервисами, а если не пользуетесь, тогда тоже удалите. + Подготовьте логи Farbar Recovery Scan Tool 1

@shestale 8618 / 4187 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	31.12.2015, 12:40
	Спасибо. Еще немного усилий... Для закрытия уязвимостей вашей системы, сделайте лог SecurityCheck by glax24. Лог, который откроется, скопируйте и выложите, сам файл выкладывать не обязательно, затем скачайте и установите все обновления по ссылкам. 1

@shestale 8618 / 4187 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	31.12.2015, 12:52
	Обновляйтесь + Выполните рекомендации после удаления вредоносного ПО Удачи и с наступающим НГ! 1