Avast WEBforum
Other => Viruses and worms => Topic started by: REDACTED on October 17, 2014, 09:08:20 PM
-
При каждом входе в систему и открытие браузера выкидывает на сайт hxxp://mnr3.biz/win.vbs 3 раза после чего Аваст блокирует их и так каждый раз. сделал всё по инструкции как написано в статьях до этого файлы прикрепил снизу. Жду ответа чем раньше тем лучше.
-
Вроде бы вся нужная информация, если что то забыл напишите пожалуйста.
-
Posting in english would help us, or use Русский https://forum.avast.com/index.php?board=28.0
-
CAUTION : This fix is only valid for this specific machine, using it on another may break your computer
Open notepad and copy/paste the text in the quotebox below into it:
HKLM-x32\...\Run: [wscript.exe] => wscript.exe //B C:\Windows\win.vbs
FF HKLM-x32\...\Firefox\Extensions: [SpecialSavings@SpecialSavings.com] - C:\Users\Gandhi\AppData\Roaming\Mozilla\Extensions\SpecialSavings@SpecialSavings.com
FF Extension: SpecialSavings - C:\Users\Gandhi\AppData\Roaming\Mozilla\Extensions\SpecialSavings@SpecialSavings.com [2013-04-29]
CHR HKLM-x32\...\Chrome\Extension: [bfcpnihmbfoaeoakalclfalkdepgiaje] - C:\Users\Gandhi\AppData\Roaming\SpecialSavings\SpecialSavings.crx [2013-02-26]
CHR HKCU\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
2014-10-13 14:40 - 2014-06-28 12:40 - 00000547 _____ () C:\Windows\win.vbs
2014-10-13 14:40 - 2014-02-16 13:01 - 00490496 _____ (cURL, http://curl.haxx.se/) C:\Windows\curl.exe
2014-10-13 14:40 - 2010-03-15 11:26 - 00246272 _____ () C:\Windows\unrar.exe
2014-10-18 00:07 - 2013-12-22 22:24 - 00000000 ____D () C:\ProgramData\Conduit
EmptyTemp:
CMD: bitsadmin /reset /allusers
Save this as fixlist.txt, in the same location as FRST.exe
Run FRST and press Fix
On completion a log will be generated please post that
THEN
Please download AdwCleaner (http://www.bleepingcomputer.com/download/adwcleaner/) by Xplode onto your desktop.
- Close all open programs and internet browsers.
- Double click on AdwCleaner.exe to run the tool.
- Click on Scan.
- After the scan is complete click on "Clean"
- Confirm each time with Ok.
- Your computer will be rebooted automatically. A text file will open after the restart.
- Please post the content of that logfile with your next answer.
- You can find the logfile at C:\AdwCleaner[S1].txt as well.
NEXT
Download MCShield (http://www.mcshield.net/) to your desktop and install
It will initially run a scan and show the result as a toaster by the system clock
Then in the control centre select scanner and tick unhide items on flash drives
(https://dl.dropbox.com/u/73555776/mcshield%20unhide.JPG)
Plug in the drive and McShield will start a scan
Then get the log which will be located under the logs tab on the main page
And post that
-
Всё выше прочитанное сделал. К сожалению после всех выполненных процедур также 3 раза вылазит предупреждение о вирусе(
креплю Logs.
жду с надеждой вашего ответа.
угораздило же так меня
-
Вот ещё один файн может быть я его неправильно скопировал с браузера т.к у меня переводит с английского Goodle несильно корректно?!
-
OK я буду попробовать специализированные программы, дайте мне знать, если это работает
Download
Anti VBS/VBE (http://www.mcshield.net/download/tools/Anti-VBSVBE/) to your desktop
- download the appropriate version (32 bit or 64 bit) and double click the file to run it.
- After a couple of seconds (might also take a whole minute if the machine is heavily infected and/or slow) a report will open in Notepad.
- Post that report
Be aware this is a very new programme and as such is not recognised by any Antivirus or Windows, it is safe so allow it to run
Скачать анти VBS/VBE (http://www.mcshield.net/download/tools/Anti-VBSVBE/) на Ваш рабочий стол
[list
- скачать соответствующую версию (32 бит или 64 бит) и дважды щелкните файл, чтобы запустить его.
- После пару секунд (также может занять всего минуту, если машина сильно зараженных и/или медленный) отчет будет открыт в блокноте.
- Этот отчет
Знать это очень новая программа и как таковой является не признанных любой антивирус или Windows, это безопасно так разрешить его запуск
-
Fixlog забыл
-
вот отсчёт1
-
Может теперь у меня свежий сканирования ФРСТ пожалуйста
Could I now have a fresh FRST scan please
- Right click to run as administrator (XP users click run after receipt of Windows Security Warning - Open File). When the tool opens click Yes to disclaimer.
- Select additions at the bottom
- Press Scan button.
(https://dl.dropboxusercontent.com/u/73555776/frst.JPG)
- It will produce a log called FRST.txt in the same directory the tool is run from.
- Please attach both logs generated.
-
вот.
-
How is the computer behaving now, any more alerts
Как это компьютер теперь, себя больше оповещения
CAUTION : This fix is only valid for this specific machine, using it on another may break your computer
Open notepad and copy/paste the text in the quotebox below into it:
CHR HKCU\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
2014-10-13 14:40 - 2014-06-28 12:40 - 00000547 _____ () C:\Windows\win.vbs
2014-10-13 14:40 - 2014-02-16 13:01 - 00490496 _____ (cURL, http://curl.haxx.se/) C:\Windows\curl.exe
2014-10-13 14:40 - 2010-03-15 11:26 - 00246272 _____ () C:\Windows\unrar.exe
EmptyTemp:
CMD: bitsadmin /reset /allusers
Save this as fixlist.txt, in the same location as FRST.exe
Run FRST and press Fix
On completion a log will be generated please post that
-
essexboy,
user created another topic in Russian-speaking zone, I'll assist him if you're agreed ;)
-
Certainly, all that remains to go as far as I can see is the C:\Windows\win.vbs file, the run entry has been deleted
-
As I can see there are a lot of adware extensions like SuperMegaBest.com and Desktopy in Firefox and some unknown extionsions if Chrome, I'll remove them too :)
-
Yep AdwCleaner will clear those, the main priority initially was to kill the vbs.. Enjoy :)
-
Большое спасибо друг, ты спас моё железо, Mozilla Firefox я недавно установил, сейчас там все расширения нашёл где отключать. При много благодарен! Аваст вы лучшие! :)
-
вот последний Fixlog