95 ответов в этой теме

[Dmitry Shutov]

 

 

Ещё такой момент - увидел в диспетчере задач задачу под названием "поиск" и иконкой поиска (см. вложение) - вроде никогда её (задачи) раньше не было.

В расположении файла задачи открывается папка с названием, в котором фигурирует "Cortana", но в конце папки тоже приписка с непонятным набором символов. Соседние папки тоже имеют эту же приписку.

 

 

Это норма.

 

http://bfy.tw/11ba

 

Что с проблемой? ...

 

Я знаю, что есть Кортана - просто смутил набор символов в части названия папок.

​Как определить, что с проблемой - наблюдалась она только в хроме. Мне после всех удалений, проверок антивирусом и прочего что лучше сделать: преустановить хром (можно ли оставить пользовательские данные при этом, пароли очень накладно все терять из автозаполнений?), ребутнуться, ребутнуться в безопасном и просканировать Кюрейтом ещё раз или ещё что-то?

 

 

А сейчас в Хроме наблюдается? те проблемы что были?....сделайте еще сейчас лог Хайджек.

[Kaztur]

 

 

 

Ещё такой момент - увидел в диспетчере задач задачу под названием "поиск" и иконкой поиска (см. вложение) - вроде никогда её (задачи) раньше не было.

В расположении файла задачи открывается папка с названием, в котором фигурирует "Cortana", но в конце папки тоже приписка с непонятным набором символов. Соседние папки тоже имеют эту же приписку.

 

 

Это норма.

 

http://bfy.tw/11ba

 

Что с проблемой? ...

 

Я знаю, что есть Кортана - просто смутил набор символов в части названия папок.

​Как определить, что с проблемой - наблюдалась она только в хроме. Мне после всех удалений, проверок антивирусом и прочего что лучше сделать: преустановить хром (можно ли оставить пользовательские данные при этом, пароли очень накладно все терять из автозаполнений?), ребутнуться, ребутнуться в безопасном и просканировать Кюрейтом ещё раз или ещё что-то?

 

 

А сейчас в Хроме наблюдается? те проблемы что были?....сделайте еще сейчас лог Хайджек.

 

Да, в хроме всё также открываются левые окна с рекламой. На сайтах левые iframe, которых ранее не было.

Прикрепленные файлы:

•  hijackthis5.log   11,54К   3 Скачано раз

[IMAX_3D]

Kaztur, прозвучит банально, но откройте расширения браузера и отключите все без исключения. Странные или которые не ставили можно удалить.

Так же, было бы неплохо изучить все приложения находящиеся в автозапуске Windows, возможно там найдётся что-то интересное.

Сообщение было изменено IMAX_3D: 24 Август 2017 - 21:15

[Kaztur]

Kaztur, прозвучит банально, но откройте расширения браузера и отключите все без исключения. Странные или которые не ставили можно удалить.

Так же, было бы неплохо изучить все приложения находящиеся в автозапуске Windows, возможно там найдётся что-то интересное.

Шутка ли...)))  ​Решило проблему.

Но среди расширений были те, что я не помню, ставил или нет - все гуглодокументы. Остальные расширения стояли изначально.
​Сейчас буду пробовать по одному включать их?

[IMAX_3D]

Kaztur, да. Данный метод покажет какие расширения "плохие". Было бы неплохо увидеть нам список расширений.

 

P.S. остальные стояли изначально звучит, как миниум, подозрительно. Т.к. лично у меня в гугле максимум гуглодокументы стоят при установке.

Сообщение было изменено IMAX_3D: 24 Август 2017 - 21:23

[Kaztur]

Kaztur, да. Данный метод покажет какие расширения "плохие". Было бы неплохо увидеть нам список расширений.

Дико извиняюсь за "красоту" на скрине - сам стилями подправил, чтобы уместились все расширения в одно окно без прокрутки.
​Нашёл проблемное - The great suspender (https://chrome.google.com/webstore/detail/the-great-suspender/klbibkeccnjlkjkiokjodocebajanakg?utm_source=chrome-app-launcher-info-dialog)
​У меня это расширение стоит уже года 2 как - получается, вирус его как-то заразил? Попытаюсь удалить и снова скачать его, но вопрос меня волнующий - раз оно работало, а тут начало спамить, значит, где-то что-то на компе ещё заражено?

 

ЗЫ Забыл прикрепить скрин

Прикрепленные файлы:

•  2017-08-24_212510.jpg   67,76К   0 Скачано раз

Сообщение было изменено Kaztur: 24 Август 2017 - 21:32

[Kaztur]

Kaztur, прозвучит банально, но откройте расширения браузера и отключите все без исключения. Странные или которые не ставили можно удалить.

Так же, было бы неплохо изучить все приложения находящиеся в автозапуске Windows, возможно там найдётся что-то интересное.

В автозагрузке стояло много чего сегодня днём, когда только началось: по классике жанра Амиго и подобное от мейлру, но после того, как удалил сами эти программы, там лишнего ничего.

[IMAX_3D]

Kaztur, временами бывают проблемы с расширениями на стороне разработчиков. Тем более, недавно появлялись новости по поводу взлома нескольких разработчиков расширений для Chrome. Если интересно одна статейка тут.

[Kaztur]

Kaztur, временами бывают проблемы с расширениями на стороне разработчиков. Тем более, недавно появлялись новости по поводу взлома нескольких разработчиков расширений для Chrome. Если интересно одна статейка тут.

Спасибо за резюмирующий результат!)

Удалил и заново установил расширение, полёт вроде нормальный. Всё же меня терзают сомнения о независимости и просто совпадении появления вирусов на компе и рекламой в хроме - думаю, вирусы повлияли на это как-то...

[Kaztur]

 

 

 

Ещё такой момент - увидел в диспетчере задач задачу под названием "поиск" и иконкой поиска (см. вложение) - вроде никогда её (задачи) раньше не было.

В расположении файла задачи открывается папка с названием, в котором фигурирует "Cortana", но в конце папки тоже приписка с непонятным набором символов. Соседние папки тоже имеют эту же приписку.

 

 

Это норма.

 

http://bfy.tw/11ba

 

Что с проблемой? ...

 

Я знаю, что есть Кортана - просто смутил набор символов в части названия папок.

​Как определить, что с проблемой - наблюдалась она только в хроме. Мне после всех удалений, проверок антивирусом и прочего что лучше сделать: преустановить хром (можно ли оставить пользовательские данные при этом, пароли очень накладно все терять из автозаполнений?), ребутнуться, ребутнуться в безопасном и просканировать Кюрейтом ещё раз или ещё что-то?

 

 

А сейчас в Хроме наблюдается? те проблемы что были?....сделайте еще сейчас лог Хайджек.

 

 

Сейчас всё работает вроде в норме.

Вам отдельное спасибо за потраченное время и оказанную помощь. Вроде бы всё вычистили, благодаря Вам и другим участникам темы.

От меня что-то ещё нужно - логи, файлы, отчёты и ещё что-то полезное?

[Dmitry Shutov]

 

 

 

 

Ещё такой момент - увидел в диспетчере задач задачу под названием "поиск" и иконкой поиска (см. вложение) - вроде никогда её (задачи) раньше не было.

В расположении файла задачи открывается папка с названием, в котором фигурирует "Cortana", но в конце папки тоже приписка с непонятным набором символов. Соседние папки тоже имеют эту же приписку.

 

 

Это норма.

 

http://bfy.tw/11ba

 

Что с проблемой? ...

 

Я знаю, что есть Кортана - просто смутил набор символов в части названия папок.

​Как определить, что с проблемой - наблюдалась она только в хроме. Мне после всех удалений, проверок антивирусом и прочего что лучше сделать: преустановить хром (можно ли оставить пользовательские данные при этом, пароли очень накладно все терять из автозаполнений?), ребутнуться, ребутнуться в безопасном и просканировать Кюрейтом ещё раз или ещё что-то?

 

 

А сейчас в Хроме наблюдается? те проблемы что были?....сделайте еще сейчас лог Хайджек.

 

 

Сейчас всё работает вроде в норме.

Вам отдельное спасибо за потраченное время и оказанную помощь. Вроде бы всё вычистили, благодаря Вам и другим участникам темы.

От меня что-то ещё нужно - логи, файлы, отчёты и ещё что-то полезное?

 

 

Еще раз можно новый лог HJ, так как в прошлом был yc.exe и если можно лог программы AutoRuns

https://technet.microsoft.com/ru-ru/sysinternals/bb963902.aspx

 

Сообщение было изменено Dmitry Shutov: 24 Август 2017 - 21:46

[Kaztur]

Не очень понятно, как сделать лог Авторанса - у меня сохраняет файл в формате .arn (я жму Save после сканирования), а сюда не даёт форум загрузить этот формат. Может в облако скинуть?

 

Когда встал вопрос о том, что yc.exe нет в папке, я сделал Fix в hijackthis, после этого прога его не отображает.

Прикрепленные файлы:

•  hijackthis6.log   11,23К   2 Скачано раз

[Dmitry Shutov]

Не очень понятно, как сделать лог Авторанса - у меня сохраняет файл в формате .arn (я жму Save после сканирования), а сюда не даёт форум загрузить этот формат. Может в облако скинуть?

 

Когда встал вопрос о том, что yc.exe нет в папке, я сделал Fix в hijackthis, после этого прога его не отображает.

 

 

.arn и нужен, либо запакуйте или в облако. 

[Kaztur]

 

Не очень понятно, как сделать лог Авторанса - у меня сохраняет файл в формате .arn (я жму Save после сканирования), а сюда не даёт форум загрузить этот формат. Может в облако скинуть?

 

Когда встал вопрос о том, что yc.exe нет в папке, я сделал Fix в hijackthis, после этого прога его не отображает.

 

 

.arn и нужен, либо запакуйте или в облако. 

 

Точно! Про архивацию не подумал.

Прикрепленные файлы:

•  ROOT.zip   258,84К   1 Скачано раз

[Dmitry Shutov]

 

 

Не очень понятно, как сделать лог Авторанса - у меня сохраняет файл в формате .arn (я жму Save после сканирования), а сюда не даёт форум загрузить этот формат. Может в облако скинуть?

 

Когда встал вопрос о том, что yc.exe нет в папке, я сделал Fix в hijackthis, после этого прога его не отображает.

 

 

.arn и нужен, либо запакуйте или в облако. 

 

Точно! Про архивацию не подумал.

 

 

Удалите их...они не нужны.

 

c:\users\Айдар\appdata\roaming\setupsk_upd\python\pythonw.exe

c:\users\Айдар\appdata\roaming\setupsk\python\pythonw.exe

 

И еще у нас странные ip

 

O17 - HKLM\System\CCS\Services\Tcpip\..\{dd7cf2cd-eead-41d8-b206-c68830ef5d29}: NameServer = 52.56.51.39,178.132.6.57,46.101.28.31,82.202.226.203,193.238.153.54

 

Netherlands ,  United Kingdom

 

http://computerinfo.ru/kak-ochistit-kesh-dns/

[Kaztur]

 

 

 

Не очень понятно, как сделать лог Авторанса - у меня сохраняет файл в формате .arn (я жму Save после сканирования), а сюда не даёт форум загрузить этот формат. Может в облако скинуть?

 

Когда встал вопрос о том, что yc.exe нет в папке, я сделал Fix в hijackthis, после этого прога его не отображает.

 

 

.arn и нужен, либо запакуйте или в облако. 

 

Точно! Про архивацию не подумал.

 

 

Удалите их...они не нужны.

 

c:\users\Айдар\appdata\roaming\setupsk_upd\python\pythonw.exe

c:\users\Айдар\appdata\roaming\setupsk\python\pythonw.exe

 

И еще у нас странные ip

 

O17 - HKLM\System\CCS\Services\Tcpip\..\{dd7cf2cd-eead-41d8-b206-c68830ef5d29}: NameServer = 52.56.51.39,178.132.6.57,46.101.28.31,82.202.226.203,193.238.153.54

 

Netherlands ,  United Kingdom

 

http://computerinfo.ru/kak-ochistit-kesh-dns/

 

Про странные IP не понял - это мой IP? Вроде у меня российский. В датацентре в Нидерландах у меня сайты, с которыми я работаю, но как это может быть связано?

 

Подскажите по программе Autoruns, пожалуйста, я там проверил все автораны на VirusTotal:
1. как правильно удалять файлы, которые не найдены - т.е. удалять не файлы, как я понимаю, а записи об автозагрузке - просто delete в контекстном меню в самой проге Autoruns?

2. На втором скрине есть определённо вирус, но файл MSI.exe - это файл вируса или системный файл заражён? Если я его удалю, я удалю вирус или нечто большее?

3. И в целом можно ли спокойно удалять всякие AdobeUpdater, ChromeUpdater и подобные?

Прикрепленные файлы:

•  2017-08-24_221628.jpg   78,71К   0 Скачано раз
•  2017-08-24_221637.jpg   61,27К   0 Скачано раз
•  2017-08-24_222009.jpg   27,59К   0 Скачано раз

Сообщение было изменено Kaztur: 24 Август 2017 - 22:21

[Kaztur]

По файлу MSI.exe, Cureit пишет, что угроз не обнаружено.(

[Dmitry Shutov]

 

 

 

 

Не очень понятно, как сделать лог Авторанса - у меня сохраняет файл в формате .arn (я жму Save после сканирования), а сюда не даёт форум загрузить этот формат. Может в облако скинуть?

 

Когда встал вопрос о том, что yc.exe нет в папке, я сделал Fix в hijackthis, после этого прога его не отображает.

 

 

.arn и нужен, либо запакуйте или в облако. 

 

Точно! Про архивацию не подумал.

 

 

Удалите их...они не нужны.

 

c:\users\Айдар\appdata\roaming\setupsk_upd\python\pythonw.exe

c:\users\Айдар\appdata\roaming\setupsk\python\pythonw.exe

 

И еще у нас странные ip

 

O17 - HKLM\System\CCS\Services\Tcpip\..\{dd7cf2cd-eead-41d8-b206-c68830ef5d29}: NameServer = 52.56.51.39,178.132.6.57,46.101.28.31,82.202.226.203,193.238.153.54

 

Netherlands ,  United Kingdom

 

http://computerinfo.ru/kak-ochistit-kesh-dns/

 

Про странные IP не понял - это мой IP? Вроде у меня российский. В датацентре в Нидерландах у меня сайты, с которыми я работаю, но как это может быть связано?

 

Подскажите по программе Autoruns, пожалуйста, я там проверил все автораны на VirusTotal:
1. как правильно удалять файлы, которые не найдены - т.е. удалять не файлы, как я понимаю, а записи об автозагрузке - просто delete в контекстном меню в самой проге Autoruns?

2. На втором скрине есть определённо вирус, но файл MSI.exe - это файл вируса или системный файл заражён? Если я его удалю, я удалю вирус или нечто большее?

3. И в целом можно ли спокойно удалять всякие AdobeUpdater, ChromeUpdater и подобные?

 

 

Про IP я тогда не скажу..может они и верные.

 

1. Да

2. \MSI c:\users\Айдар\appdata\roaming\microsoft\msi.exe - cnt=3 fts="Downloads\kmsauto-net_49a-18c___.exe" - это ломалка Винды или офиса ))

3. не нужно удалять, чем мешают...

Сообщение было изменено Dmitry Shutov: 24 Август 2017 - 22:29

[Kaztur]

Тем временем, приключения продолжаются.(

 

С утра браузер оказался закрыт. При запуске та же история.

 

В диспетчере были запущены:

1. тот самый msi.exe

2. некое ПО Moonsoft

3. svchost.exe.exe, раположение файла открыть не удалось, отказано в доступе.

 

msi.exe удалить не могу, т.к. недостаточно прав - всегда пишет "обратитесь к root/айдар", в безопасном режиме тоже. Как его удалить?

[Kaztur]

Лог - там снова питон и ещё пара бяк.

Прикрепленные файлы:

•  hijackthis7.log   11,62К   3 Скачано раз