Периодически открывается страница казино Вулкан

@kruper · Регистрация: 02.12.2016

Студворк — интернет-сервис помощи студентам

Добрый день!

Словил mail.ru После удаления и чисток, продолжают открываться страницы казино вулкан, сайт 12kotov.ru и прочие. Лог прикладываю. Помогите устранить пожалуйста.
CollectionLog-2016.12.03-00.19.zip

@thyrex · 02.12.2016, 23:34

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\users\sedyuko\appdata\roaming\battle.net\codexi\steam');
 QuarantineFile('C:\Users\Sedyuko\appdata\local\svshost\svshost.exe','');
 QuarantineFile('C:\Program Files (x86)\ScreenUp\future_helper.exe','');
 QuarantineFile('C:\Users\Sedyuko\AppData\Roaming\PBot\python\pythonw.exe','');
 QuarantineFile('C:\Users\Sedyuko\AppData\Local\FilterStart\FilterStart.exe','');
 QuarantineFile('c:\users\sedyuko\appdata\roaming\battle.net\codexi\steam','');
 DeleteFile('c:\users\sedyuko\appdata\roaming\battle.net\codexi\steam','32');
 DeleteFile('C:\Users\Sedyuko\AppData\Local\FilterStart\FilterStart.exe','32');
 DeleteFile('C:\Users\Sedyuko\AppData\Roaming\PBot\python\pythonw.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Root Language Helper','64');
 DeleteFile('C:\Windows\system32\Tasks\PBot','64');
 DeleteFile('C:\Windows\system32\Tasks\Custom Language Manager','64');
 DeleteFile('C:\Windows\system32\Tasks\Steam_x64-S-2-106-91','64');
 DeleteFile('C:\Program Files (x86)\ScreenUp\future_helper.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Trusted Base Helper','64');
 DeleteFile('C:\Users\Sedyuko\appdata\local\svshost\svshost.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','wdphaaydro');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Code
1
2
3
begin
CreateQurantineArchive('c:\quarantine.zip');
end.

Отправьте c:\quarantine.zip при помощи формы над первым сообщением темы или (если размер архива превышает 16 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Карантин прикреплять к сообщениям на данном форуме ЗАПРЕЩЕНО!!!

Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи

@kruper · 03.12.2016, 09:51 **[ТС]**

Добрый день!
Письмо отправлено. В теме письма указана ссылка на тему.

@kruper · 03.12.2016, 09:58 **[ТС]**

Добавил новый лог.

@thyrex · 03.12.2016, 11:24

Скачайте Farbar Recovery Scan Tool [img]http://i.**********/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
[img]http://i.**********/3munStB.png[/img]
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

@kruper · 03.12.2016, 11:32 **[ТС]**

Добрый день!

Готово.

@thyrex · 03.12.2016, 11:46

ScreenUp удалите через Установку программ

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
CreateRestorePoint:
GroupPolicy: Restriction - Chrome <======= ATTENTION
HKU\S-1-5-21-575804305-2588526881-739444758-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://granena.ru/?utm_content=31b5cebd524a9af6c7a772dca81815e9&utm_source=startpm&utm_term=DCEAA5126524F2BF07A9E7B0BD849496&utm_d=20161201
SearchScopes: HKU\S-1-5-21-575804305-2588526881-739444758-1000 -> {A06ED961-D98F-4CF9-A89B-80AB11DB149C} URL = hxxp://go-search.ru/search?q={searchTerms}
FF Homepage: Mozilla\Firefox\Profiles\xafq7alb.default -> hxxp://granena.ru/?utm_content=31b5cebd524a9af6c7a772dca81815e9&utm_source=startpm&utm_term=DCEAA5126524F2BF07A9E7B0BD849496&utm_d=20161201
FF Extension: (No Name) - C:\Users\Sedyuko\AppData\Roaming\Mozilla\Firefox\Profiles\xafq7alb.default\extensions\yasearch@yandex.ru [not found]
FF Extension: (No Name) - C:\Users\Sedyuko\AppData\Roaming\Mozilla\Firefox\Profiles\xafq7alb.default\extensions\ascsurfingprotection@iobit.com [not found]
FF Extension: (No Name) - C:\Program Files (x86)\IObit Apps Toolbar\FF [not found]
CHR HKLM-x32\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pfmopbbadnfoelckkcmjjeaaegjpjjbk] - C:\Program Files (x86)\Gophoto.it\gophotoit14.crx <not found>
CHR HKLM-x32\...\Chrome\Extension: [pmlghpafmmnmmkjdhacccolfgnkiboco] - C:\Program Files (x86)\1ClickDownload\oneclickdownloader11.crx <not found>
OPR Extension: (No Name) - C:\Users\Sedyuko\AppData\Roaming\Opera Software\Opera Stable\Extensions\khmiehpkiedpkpifcpeplghoibfhhigo [2016-12-02]
2016-12-02 00:10 - 2016-12-02 00:10 - 00000000 ____D C:\Users\Sedyuko\AppData\Local\Вoйти в Интeрнет
2016-12-02 00:09 - 2016-12-02 00:14 - 00000000 ____D C:\Users\Sedyuko\AppData\Roaming\PBot
2016-12-02 00:08 - 2016-12-03 13:42 - 00000000 ____D C:\Users\Sedyuko\AppData\Local\FilterStart
2016-12-02 00:08 - 2016-12-02 00:08 - 00057072 _____ (Windows (R) Win 7 DDK provider) C:\Windows\ServiceMgr.sys
2016-12-02 00:08 - 2016-12-02 00:08 - 00013312 _____ ( ) C:\Users\Sedyuko\AppData\Local\Root Language Helper.exe
2016-12-02 00:08 - 2016-12-02 00:08 - 00000320 _____ C:\Users\Sedyuko\AppData\Local\expand.ini
2016-12-02 00:06 - 2016-12-03 13:41 - 00000000 ____D C:\Users\Sedyuko\AppData\Local\svshost
2016-12-02 00:05 - 2016-12-02 00:05 - 00000000 ____D C:\Users\Sedyuko\AppData\Local\Поиcк в Интeрнете
C:\Users\Sedyuko\AppData\Local\Temp\ANtCWgLNRQhk.exe
C:\Users\Sedyuko\AppData\Local\Temp\bYUAMgbpegwx.exe
C:\Users\Sedyuko\AppData\Local\Temp\ciEyBz2Ohf0I.exe
C:\Users\Sedyuko\AppData\Local\Temp\coi1634.exe
C:\Users\Sedyuko\AppData\Local\Temp\F6CA0MbpUeMW.exe
C:\Users\Sedyuko\AppData\Local\Temp\libeay32.dll
C:\Users\Sedyuko\AppData\Local\Temp\mgFXn9zatHg7.exe
C:\Users\Sedyuko\AppData\Local\Temp\msvcr120.dll
C:\Users\Sedyuko\AppData\Local\Temp\sqlite3.dll
C:\Users\Sedyuko\AppData\Local\Temp\UdGq5ppxr1mJ.exe
C:\Users\Sedyuko\AppData\Local\Temp\Y1Qvh6HlfGrs.exe
Task: {5123F300-AE29-44F0-B18C-BB26B17B7676} - \Custom Language Manager -> No File <==== ATTENTION
Task: {660E7BA0-FDF6-4ED2-9D66-B9F7DA96D1E6} - \Trusted Base Helper -> No File <==== ATTENTION
Task: {8F10576D-A3E0-4872-9348-9254D1A11DEC} - \Root Language Helper -> No File <==== ATTENTION
Task: {915991E4-E96B-4FD6-9E2F-1D3A612EBDBD} - \PBot -> No File <==== ATTENTION
Task: {E646B021-9C5A-4E3F-8576-1654EAC353C9} - \Steam_x64-S-2-106-91 -> No File <==== ATTENTION
AlternateDataStreams: C:\ProgramData\TEMP:C0E4282C [117]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:C0E4282C [117]
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание, что будет выполнена перезагрузка компьютера.

@kruper · 03.12.2016, 13:12 **[ТС]**

Готово.

@thyrex · 03.12.2016, 13:15

Проблема решена?

@kruper · 03.12.2016, 13:17 **[ТС]**

Насколько я понял - да. Огромное спасибо!

@thyrex · 03.12.2016, 14:25

Загрузите SecurityCheck by glax24 и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Скопируйте содержимое файла в свое следующее сообщение.

@kruper · 03.12.2016, 16:49 **[ТС]**

Готово.

@thyrex · 03.12.2016, 19:32

------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.16476 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
--------------------------- [ OtherUtilities ] ----------------------------
WinRAR 5.21 (64-разрядная) v.5.21.0 Внимание! Скачать обновления
Microsoft Silverlight v.5.1.30514.0 Внимание! Скачать обновления
--------------------------------- [ IM ] ----------------------------------
Skype™ 7.24 v.7.24.104 Внимание! Скачать обновления
^Необязательное обновление.^
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.4.9.42973 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
-------------------------------- [ Java ] ---------------------------------
Java 7 Update 75 (64-bit) v.7.0.750 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u112-windows-x64.exe).
Java 8 Update 31 v.8.0.310 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u112-windows-i586.exe)^
--------------------------- [ AppleProduction ] ---------------------------
iTunes v.12.5.1.21 Внимание! Скачать обновления
^Для проверки новой версии используйте приложение Apple Software Update^
QuickTime v.7.69.80.9 Данная программа больше не поддерживается разработчиком и имеет известные проблемы безопасности! Рекомендуется деинсталлировать данное ПО.
--------------------------- [ AdobeProduction ] ---------------------------
Adobe AIR v.1.1.0.5790 Внимание! Скачать обновления
Adobe Reader X (10.1.8) - Russian v.10.1.8 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Reader XI или Adobe Acrobat Reader DC.
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 12.0 (x86 ru) v.12.0 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^

Исправляйте указанное + Рекомендации после удаления вредоносного ПО

@kruper · 04.12.2016, 09:51 **[ТС]**

Огромное спасибо!

Новые блоги и статьи Все статьи Все блоги /
Символьное дифференцирование igorrr37 13.02.2026 / * Логарифм записывается как: (x-2)log(x^2+2) - означает логарифм (x^2+2) по основанию (x-2). Унарный минус обозначается как ! */ #include <iostream> #include <stack> #include <cctype>. . .	Камера Toupcam IUA500KMA Eddy_Em 12.02.2026 Т. к. у всяких "хикроботов" слишком уж мелкий пиксель, для подсмотра в ESPriF они вообще плохо годятся: уже 14 величину можно рассмотреть еле-еле лишь на экспозициях под 3 секунды (а то и больше),. . .	И ясному Солнцу zbw 12.02.2026 И ясному Солнцу, и светлой Луне. В мире покоя нет и люди не могут жить в тишине. А жить им немного лет.	«Знание-Сила» zbw 12.02.2026 «Знание-Сила» «Время-Деньги» «Деньги -Пуля»
SDL3 для Web (WebAssembly): Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 12.02.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами и вызывать обработчики событий столкновения. . . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 11.02.2026 Содержание блога Библиотека SDL3 содержит встроенные инструменты для базовой работы с изображениями - без использования библиотеки SDL3_image. Пошагово создадим проект для загрузки изображения. . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL3_image 8Observer8 10.02.2026 Содержание блога Библиотека SDL3_image содержит инструменты для расширенной работы с изображениями. Пошагово создадим проект для загрузки изображения формата PNG с альфа-каналом (с прозрачным. . .	Установка Qt-версии Lazarus IDE в Debian Trixie Xfce volvo 10.02.2026 В общем, достали меня глюки IDE Лазаруса, собранной с использованием набора виджетов Gtk2 (конкретно: если набирать текст в редакторе и вызвать подсказку через Ctrl+Space, то после закрытия окошка. . .

@kruper 0 / 0 / 0 Регистрация: 02.12.2016 Сообщений: 8

	Периодически открывается страница казино Вулкан 02.12.2016, 20:24. Показов 2298. Ответов 13 Метки нет (Все метки) Добрый день! Словил mail.ru После удаления и чисток, продолжают открываться страницы казино вулкан, сайт 12kotov.ru и прочие. Лог прикладываю. Помогите устранить пожалуйста. CollectionLog-2016.12.03-00.19.zip 0

@kruper 0 / 0 / 0 Регистрация: 02.12.2016 Сообщений: 8
	03.12.2016, 09:51 [ТС]
	Добрый день! Письмо отправлено. В теме письма указана ссылка на тему. 0

@thyrex 14445 / 7486 / 1580 Регистрация: 06.09.2009 Сообщений: 27,129
	03.12.2016, 11:24
	Скачайте Farbar Recovery Scan Tool [img]http://i.********/NAAC5Ba.png[/img] и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan** отмечены List BCD, Driver MD5 и 90 Days Files. [img]http://i.********/3munStB.png[/img] 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив**) и прикрепите к сообщению. 0

@thyrex 14445 / 7486 / 1580 Регистрация: 06.09.2009 Сообщений: 27,129
	03.12.2016, 13:15
	Проблема решена? 0

@kruper 0 / 0 / 0 Регистрация: 02.12.2016 Сообщений: 8
	03.12.2016, 13:17 [ТС]
	Насколько я понял - да. Огромное спасибо! 0

@thyrex 14445 / 7486 / 1580 Регистрация: 06.09.2009 Сообщений: 27,129
	03.12.2016, 14:25
	Загрузите SecurityCheck by glax24 и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Скопируйте содержимое файла в свое следующее сообщение. 0

@kruper 0 / 0 / 0 Регистрация: 02.12.2016 Сообщений: 8
	04.12.2016, 09:51 [ТС]
	Огромное спасибо! 0