Вирус открывает стартовую страницу в Google Chrome

@ZalferiZ · Регистрация: 06.03.2016

Студворк — интернет-сервис помощи студентам

Проблема состоит в том, что вирус открывает свою стартовую страницу(их несколько) и прописывает в ярлыке C:\ProgramData\FFSXtkeG\rOOAsxOj0.bat. Удаление файлов и изменении ни к чему не приводит, он сам изменяет путь на свой. Вот логи

@thyrex · 07.03.2016, 12:52

Advanced SystemCare 9
Surfing Protection

удалите через Установку программ

Выполните скрипт в AVZ

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\ProgramData\xmvTSkv\hKGCMMKw5.bat','');
 QuarantineFile('C:\ProgramData\FFSXtkeG\rOOAsxOj0.bat','');
 DeleteFile('C:\ProgramData\FFSXtkeG\rOOAsxOj0.bat','32');
 DeleteFile('C:\ProgramData\xmvTSkv\hKGCMMKw5.bat','32');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Code
1
2
3
begin
CreateQurantineArchive('c:\quarantine.zip');
end.

Отправьте c:\quarantine.zip при помощи формы над первым сообщением темы или (если размер архива превышает 16 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Карантин прикреплять к сообщениям на данном форуме ЗАПРЕЩЕНО!!!

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
1. Распакуйте архив с утилитой в отдельную папку.
2. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
http://dragokas.com/tools/move.gif
3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
4. Прикрепите этот отчет к своему следующему сообщению.

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

@ZalferiZ · 07.03.2016, 13:21 **[ТС]**

Повторно пишу, после проделанной работы.

@thyrex · 07.03.2016, 14:43

Скачайте Farbar Recovery Scan Tool [img]http://i.**********/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
[img]http://i.**********/3munStB.png[/img]
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.

@ZalferiZ · 07.03.2016, 17:33 **[ТС]**

Сделал

@thyrex · 07.03.2016, 18:08

C:\Users\ZalferiZ\Desktop\chrome.lnk
C:\Users\ZalferiZ\Desktop\firefox.lnk
C:\Users\ZalferiZ\AppData\Roaming\Micros oft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk
C:\Users\ZalferiZ\AppData\Roaming\Micros oft\Windows\Start Menu\Programs\Internet Explorer.lnk
C:\Users\ZalferiZ\AppData\Roaming\Micros oft\Internet Explorer\Quick Launch\Google Chrome.lnk
C:\Users\ZalferiZ\AppData\Roaming\Micros oft\Internet Explorer\Quick Launch\User Pinned\TaskBar\chrome.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk

перетащите в окно программы ClearLNK. Пришлите получившийся лог

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
CHR Extension: (Tampermonkey) - C:\Users\ZalferiZ\AppData\Local\Google\Chrome\User Data\Default\Extensions\dhdgffkkebhmkfjojejmpbldmpobfkfo [2016-03-06]
CHR HKLM\...\Chrome\Extension: [aaaadbhonifkcheeddllhmpapnhcpgia] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-1429170195-918579871-594158160-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-1429170195-918579871-594158160-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [aaaadbhonifkcheeddllhmpapnhcpgia] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx
2016-03-07 17:13 - 2016-03-07 17:13 - 00000000 ____D C:\Users\Все пользователи\YdCUrKjxaU
2016-03-07 17:13 - 2016-03-07 17:13 - 00000000 ____D C:\Users\Все пользователи\iFejxMAkTI
2016-03-07 17:13 - 2016-03-07 17:13 - 00000000 ____D C:\Users\ZalferiZ\AppData\Local\qJojrsL
2016-03-07 17:13 - 2016-03-07 17:13 - 00000000 ____D C:\ProgramData\YdCUrKjxaU
2016-03-07 17:13 - 2016-03-07 17:13 - 00000000 ____D C:\ProgramData\iFejxMAkTI
2016-03-07 09:04 - 2016-03-07 09:04 - 00000000 ____D C:\Users\Все пользователи\okQOVcKkHr
2016-03-07 09:04 - 2016-03-07 09:04 - 00000000 ____D C:\ProgramData\okQOVcKkHr
2016-03-06 15:36 - 2016-03-06 15:36 - 00000097 _____ C:\prefs.js
2016-03-06 13:09 - 2016-03-06 13:09 - 00000000 ____D C:\Users\Все пользователи\mLyFhVK
2016-03-06 13:09 - 2016-03-06 13:09 - 00000000 ____D C:\ProgramData\mLyFhVK
2016-03-05 18:33 - 2016-03-07 13:01 - 00000000 ____D C:\Users\Все пользователи\xmvTSkv
2016-03-05 18:33 - 2016-03-07 13:01 - 00000000 ____D C:\ProgramData\xmvTSkv
2016-03-05 18:33 - 2016-03-05 18:33 - 00000000 ____D C:\Users\Все пользователи\CuHjRvrf
2016-03-05 18:33 - 2016-03-05 18:33 - 00000000 ____D C:\Users\ZalferiZ\AppData\Local\MvZFmrlbiP
2016-03-05 18:33 - 2016-03-05 18:33 - 00000000 ____D C:\ProgramData\CuHjRvrf
2016-03-05 18:33 - 2016-03-05 18:33 - 00000000 ____D C:\Program Files (x86)\HpDef
2015-10-03 11:07 - 2015-10-03 11:07 - 0000016 _____ () C:\ProgramData\mntemp
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Обратите внимание, что компьютер будет перезагружен.

@ZalferiZ · 08.03.2016, 11:24 **[ТС]**

123

@thyrex · 08.03.2016, 12:37

Что с проблемой?

@ZalferiZ · 08.03.2016, 13:32 **[ТС]**

Решена. Спасибо.

@thyrex · 08.03.2016, 17:09

Загрузите SecurityCheck by glax24 и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Скопируйте содержимое файла в свое следующее сообщение.

@ZalferiZ · 08.03.2016, 17:16 **[ТС]**

Сейчас проверил проблема опять та же, странно. Вот текст
SecurityCheck by glax24 & Severnyj v.1.4.0.37 [05.03.16]
WebSite: www.safezone.cc
DateLog: 08.03.2016 17:13:46
Path starting: C:\Users\ZalferiZ\AppData\Local\Temp\Sec urityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: ZalferiZ
VersionXML: 2.58is-05.03.2016
________________________________________ ___________________________________

Windows 7(6.1.7601) Service Pack 1 (x64) Ultimate Lang: Russian(0419)
Дата установки ОС: 30.09.2015 13:19:50
Статус лицензии: Windows(R) 7, Ultimate edition Постоянная активация прошла успешно.
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files (x86)\Google\Chrome\Application\chrome.e xe
Системный диск: C: ФС: [NTFS] Емкость: [48.8 Гб] Занято: [29.9 Гб] Свободно: [18.9 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя отключен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено (-1)
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба остановлена
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
---------------------------- [ Antivirus_WMI ] ----------------------------
AVG AntiVirus Free Edition (включен и обновлен)
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - Служба работает
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Windows Defender (выключен и устарел)
AVG AntiVirus Free Edition (включен и обновлен)
IObit Malware Fighter (включен)
--------------------------- [ OtherUtilities ] ----------------------------
WinRAR 5.21 (64-разрядная) v.5.21.0 Внимание! Скачать обновления
--------------------------------- [ IM ] ----------------------------------
Skype™ 7.18 v.7.18.112
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.4.5.41865 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 19 NPAPI v.19.0.0.185 Внимание! Скачать обновления
Adobe Flash Player 20 PPAPI v.20.0.0.306
------------------------------- [ Browser ] -------------------------------
Google Chrome v.49.0.2623.75
--------------------------- [ RunningProcess ] ----------------------------
C:\Program Files (x86)\Google\Chrome\Application\chrome.e xe v.49.0.2623.75
C:\PROGRA~2\AVG\Av\avgrsa.exe v.16.41.0.7442
C:\Program Files (x86)\AVG\Av\avgcsrva.exe v.16.41.0.7442
C:\Program Files (x86)\AVG\Av\avgidsagent.exe v.16.41.0.7442
C:\Program Files (x86)\AVG\Av\avgnsa.exe v.16.41.0.7442
C:\Program Files (x86)\AVG\Av\avgemca.exe v.16.41.0.7442
C:\Program Files (x86)\AVG\Av\avgui.exe v.16.41.0.7442
---------------------------- [ UnwantedApps ] -----------------------------
Driver Booster 3.2 v.3.2 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
IObit Malware Fighter 3 v.3.4 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
IObit Uninstaller v.5.2.1.126 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
----------------------------- [ End of Log ] ------------------------------

@thyrex · 11.03.2016, 21:24

Выполните рекомендованное + Рекомендации после удаления вредоносного ПО

Новые блоги и статьи Все статьи Все блоги /
Access VikBal 11.12.2025 Помогите пожалуйста !! Как объединить 2 одинаковые БД Access с разными данными.	Новый ноутбук volvo 07.12.2025 Всем привет. По скидке в "черную пятницу" взял себе новый ноутбук Lenovo ThinkBook 16 G7 на Амазоне: Ryzen 5 7533HS 64 Gb DDR5 1Tb NVMe 16" Full HD Display Win11 Pro	Музыка, написанная Искусственным Интеллектом volvo 04.12.2025 Всем привет. Некоторое время назад меня заинтересовало, что уже умеет ИИ в плане написания музыки для песен, и, собственно, исполнения этих самых песен. Стихов у нас много, уже вышли 4 книги, еще 3. . .	От async/await к виртуальным потокам в Python IndentationError 23.11.2025 Армин Ронахер поставил под сомнение async/ await. Создатель Flask заявляет: цветные функции - провал, виртуальные потоки - решение. Не threading-динозавры, а новое поколение лёгких потоков. Откат?. . .	Поиск "дружественных имён" СОМ портов Argus19 22.11.2025 Поиск "дружественных имён" СОМ портов На странице: https:/ / norseev. ru/ 2018/ 01/ 04/ comportlist_windows/ нашёл схожую тему. Там приведён код на С++, который показывает только имена СОМ портов, типа,. . .
Сколько Государство потратило денег на меня, обеспечивая инсулином. Programma_Boinc 20.11.2025 Сколько Государство потратило денег на меня, обеспечивая инсулином. Вот решила сделать интересный приблизительный подсчет, сколько государство потратило на меня денег на покупку инсулинов. . . .	Ломающие изменения в C#.NStar Alpha Etyuhibosecyu 20.11.2025 Уже можно не только тестировать, но и пользоваться C#. NStar - писать оконные приложения, содержащие надписи, кнопки, текстовые поля и даже изображения, например, моя игра "Три в ряд" написана на этом. . .	Мысли в слух kumehtar 18.11.2025 Кстати, совсем недавно имел разговор на тему медитаций с людьми. И обнаружил, что они вообще не понимают что такое медитация и зачем она нужна. Самые базовые вещи. Для них это - когда просто люди. . .	Создание Single Page Application на фреймах krapotkin 16.11.2025 Статья исключительно для начинающих. Подходы оригинальностью не блещут. В век Веб все очень привыкли к дизайну Single-Page-Application . Быстренько разберем подход "на фреймах". Мы делаем одну. . .	Фото: Daniel Greenwood kumehtar 13.11.2025

@thyrex 14432 / 7474 / 1579 Регистрация: 06.09.2009 Сообщений: 27,111
	07.03.2016, 14:43
	Скачайте Farbar Recovery Scan Tool [img]http://i.********/NAAC5Ba.png[/img] и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan** отмечены List BCD, Driver MD5 и 90 Days Files. [img]http://i.********/3munStB.png[/img] 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив**) и прикрепите к сообщению. 0

@thyrex 14432 / 7474 / 1579 Регистрация: 06.09.2009 Сообщений: 27,111
	08.03.2016, 12:37
	Что с проблемой? 0

@ZalferiZ 0 / 0 / 0 Регистрация: 06.03.2016 Сообщений: 18
	08.03.2016, 13:32 [ТС]
	Решена. Спасибо. 0

@thyrex 14432 / 7474 / 1579 Регистрация: 06.09.2009 Сообщений: 27,111
	08.03.2016, 17:09
	Загрузите SecurityCheck by glax24 и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Скопируйте содержимое файла в свое следующее сообщение. 0

@ZalferiZ 0 / 0 / 0 Регистрация: 06.03.2016 Сообщений: 18
	08.03.2016, 17:16 [ТС]
	Сейчас проверил проблема опять та же, странно. Вот текст SecurityCheck by glax24 & Severnyj v.1.4.0.37 [05.03.16] WebSite: www.safezone.cc DateLog: 08.03.2016 17:13:46 Path starting: C:\Users\ZalferiZ\AppData\Local\Temp\Sec urityCheck\SecurityCheck.exe Log directory: C:\SecurityCheck\ IsAdmin: True User: ZalferiZ VersionXML: 2.58is-05.03.2016 ________________________________________ ___________________________________ Windows 7(6.1.7601) Service Pack 1 (x64) Ultimate Lang: Russian(0419) Дата установки ОС: 30.09.2015 13:19:50 Статус лицензии: Windows(R) 7, Ultimate edition Постоянная активация прошла успешно. Режим загрузки: Normal Браузер по умолчанию: C:\Program Files (x86)\Google\Chrome\Application\chrome.e xe Системный диск: C: ФС: [NTFS] Емкость: [48.8 Гб] Занято: [29.9 Гб] Свободно: [18.9 Гб] ------------------------------- [ Windows ] ------------------------------- Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления ^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^ Контроль учётных записей пользователя отключен Запрос на повышение прав для администраторов отключен ^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^ Автоматическое обновление отключено (-1) Центр обновления Windows (wuauserv) - Служба работает Центр обеспечения безопасности (wscsvc) - Служба работает Удаленный реестр (RemoteRegistry) - Служба остановлена Обнаружение SSDP (SSDPSRV) - Служба работает Службы удаленных рабочих столов (TermService) - Служба остановлена Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена ---------------------------- [ Antivirus_WMI ] ---------------------------- AVG AntiVirus Free Edition (включен и обновлен) --------------------------- [ FirewallWindows ] --------------------------- Брандмауэр Windows (MpsSvc) - Служба работает --------------------------- [ AntiSpyware_WMI ] --------------------------- Windows Defender (выключен и устарел) AVG AntiVirus Free Edition (включен и обновлен) IObit Malware Fighter (включен) --------------------------- [ OtherUtilities ] ---------------------------- WinRAR 5.21 (64-разрядная) v.5.21.0 Внимание! Скачать обновления --------------------------------- [ IM ] ---------------------------------- Skype™ 7.18 v.7.18.112 --------------------------------- [ P2P ] --------------------------------- µTorrent v.3.4.5.41865 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента. --------------------------- [ AdobeProduction ] --------------------------- Adobe Flash Player 19 NPAPI v.19.0.0.185 Внимание! Скачать обновления Adobe Flash Player 20 PPAPI v.20.0.0.306 ------------------------------- [ Browser ] ------------------------------- Google Chrome v.49.0.2623.75 --------------------------- [ RunningProcess ] ---------------------------- C:\Program Files (x86)\Google\Chrome\Application\chrome.e xe v.49.0.2623.75 C:\PROGRA~2\AVG\Av\avgrsa.exe v.16.41.0.7442 C:\Program Files (x86)\AVG\Av\avgcsrva.exe v.16.41.0.7442 C:\Program Files (x86)\AVG\Av\avgidsagent.exe v.16.41.0.7442 C:\Program Files (x86)\AVG\Av\avgnsa.exe v.16.41.0.7442 C:\Program Files (x86)\AVG\Av\avgemca.exe v.16.41.0.7442 C:\Program Files (x86)\AVG\Av\avgui.exe v.16.41.0.7442 ---------------------------- [ UnwantedApps ] ----------------------------- Driver Booster 3.2 v.3.2 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. IObit Malware Fighter 3 v.3.4 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. IObit Uninstaller v.5.2.1.126 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. ----------------------------- [ End of Log ] ------------------------------ 0

@thyrex 14432 / 7474 / 1579 Регистрация: 06.09.2009 Сообщений: 27,111
	11.03.2016, 21:24
	Выполните рекомендованное + Рекомендации после удаления вредоносного ПО 0