- This topic has 9 ответов, 2 участника, and was last updated 8 years, 2 months назад by
.
-
Сообщения
-
Здравствуйте, примерно две недели назад при включении компьютера начал сразу же запускаться и браузер, с рекламой, сначала открывается kb-ribaki.org, а затем с него отправляют на zodiac-game.info, также начал мигать какой-то батник. В реестре есть адрес kb-ribaki.org, когда его удаляешь вроде нормально, но после перезагрузки он опять вылезает.
Здравствуйте, добро пожаловать на Spyware-ru форум.
Запустите программу Блокнот и вставьте в открытое окно следующий текст
CreateRestorePoint: HKU\S-1-5-21-3393602307-834767406-793115787-1000\...\Run: [Microsoft Visual C++ 2010] => C:\Users\Пользователь\AppData\Roaming\cppredistx86.exe HKU\S-1-5-21-3393602307-834767406-793115787-1000\...\Run: [**>;L7>20B5;L<*>] => explorer.exe hxxp://kb-ribaki.org <===== ATTENTION (Value Name with invalid characters) CHR HKLM\...\Chrome\Extension: [lpeeaghdjmhlakojjcgfdhgcejdaefmi] - hxxps://chrome.google.com/webstore/detail/lpeeaghdjmhlakojjcgfdhgcejdaefmi CHR HKLM-x32\...\Chrome\Extension: [lpeeaghdjmhlakojjcgfdhgcejdaefmi] - hxxps://chrome.google.com/webstore/detail/lpeeaghdjmhlakojjcgfdhgcejdaefmi OPR Extension: (Антимат) - C:\Users\Пользователь\AppData\Roaming\Opera Software\Opera Stable\Extensions\dojgfgknadakhfnaogaipdbdamepeffe [2016-08-13] S3 Origin Client Service; "C:\Program Files (x86)\Origin\OriginClientService.exe" [X] S2 PnkBstrA; C:\Windows\system32\PnkBstrA.exe [X] U3 aqsv0hqj; C:\Windows\System32\Drivers\aqsv0hqj.sys [0 ] (Intel Corporation) <==== ATTENTION (zero byte File/Folder) S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] U4 klkbdflt2; system32\DRIVERS\klkbdflt2.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] Task: {7A85808C-D3A3-4370-AA01-0C6C510AE44B} - System32\Tasks\Пользователь => /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Пользователь /t REG_SZ /d "explorer.exe hxxp://kb-ribaki.org" <==== ATTENTION Folder: C:\Users\Пользователь\AppData\Roaming\extensions\extensions_chrome EmptyTemp: Reboot:Сохраните полученный файл в папку где находится программа FRST/FRST64 под именем fixlist
Запустите программу FRST и нажмите кнопку Fix.
Когда программа закончит работу появиться сообщение "Fix completed". Нажмите OK.
Откроется блокнот с содержимым файла fixlog.txt. Вставьте содержимое этого файла в ваш ответ.После этого выполните новую проверку программой FRST (перед нажатием клавиши Scan поставьте галочку в пункте Addition.txt) и оба её лога прикрепите к вашему ответу.
Проверьте все ярлыки Google Chrome на вашем Рабочем столе. Кликните правой клавишей по ярлыку, выберите Свойства. В поле Объект удалите все правее chrome.exe.
Продолжим лечение.
Запустите программу Блокнот и вставьте в открытое окно следующий текст
CreateRestorePoint: HKU\S-1-5-21-3393602307-834767406-793115787-1000\...\Run: [**>;L7>20B5;L<*>] => explorer.exe hxxp://kb-ribaki.org <===== ATTENTION (Value Name with invalid characters) CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION CHR Extension: (Chrome Media Router) - C:\Users\Пользователь\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2016-08-20] U3 a4q873u0; C:\Windows\System32\Drivers\a4q873u0.sys [0 ] (Advanced Micro Devices) <==== ATTENTION (zero byte File/Folder) U4 klkbdflt2; system32\DRIVERS\klkbdflt2.sys [X] EmptyTemp: Reboot:
Сохраните полученный файл в папку где находится программа FRST/FRST64 под именем fixlist
Запустите программу FRST и нажмите кнопку Fix.
Когда программа закончит работу появиться сообщение "Fix completed". Нажмите OK.
Откроется блокнот с содержимым файла fixlog.txt. Вставьте содержимое этого файла в ваш ответ.Кроме этого выполните новую проверку программой FRST, но перед тем как нажать кнопку Scan, поставьте галочку в пункте Addition.txt. Оба получившихся лога прикрепите к вашему ответу.
Скачайте программу HijackThis и запустите.
Перед вами будет показано главное меню.
Кликните по кнопке Do a system scan and save a log.
Запустится процедура сканирования компьютера, когда она завершится, то откроется блокнот с результатами сканирования, так называемый HijackThis лог.
Выделите весь текст и скопируйте в ваше сообщение.
Или просто прикрепите этот лог к вашему следующему сообщению.Запустите HijackThis и выполните сканирование, нажав кнопку Do a system scan only.
Поставьте галочки напротив следующих строк:O4 - HKCU\..\Run: [������������] explorer.exe http://kb-ribaki.org
Кликните по кнопке Fix checked и подтвердите свои действия, кликнув по кнопке YES
Закройте программу и перезапустите компьютер.Жду от вас свежий HijackThis лог.
Нормально. Как сейчас работает компьютер ? Приложите к вашему ответу свежие FRST логи.
CHR dev: Chrome dev build detected! <======= ATTENTION
FRST показывает что вы используете браузер Хром версию для разработчиков. Это ваш выбор ? Просто есть не мало случаев, когда вредоносные программы интегрирую свои модули в подобную версию и распространяют её. Это дает им возможность следить за пользователями и вставлять рекламу.
Если вы сами не устанавливали такой Хром, то просто удалите его через панель Удаления программ, скачайте последнюю версию и установите.В остальном проблем нет.
Удалите папку C:\FRST.
Не забывайте обновлять Windows, ваши программы и особенно ваш антивирус.
Не посещайте незнакомые сайты, очень внимательно относитесь к файлам скаченным с Интернета.
Расскажите как вы защищаете свой компьютер, ответив на эти вопросы Как вы защищаете свой компьютер ?
Всего доброго!
- Для ответа в этой теме необходимо авторизоваться.
