Вот и на мой комп напала зараза

[Павлуха]

Добрый день, Уважаемые!

Заразился мой компьютер. Проблеммы следующие: антивирусник (Касперский) не обновляется, выскакивают различные банеры (слева в верху, слева в низу и по центру выскакивает игровой автомат (однорукий бандит). На странице Яндекса бывают не пристойные картинки, и различная реклама которой я бумаю быть там не должно. Приходило сообщение от Однокласников, что профиль заблокирован. Так же не пускал на сайт Касперского, сюда каким то чудом попал. Вот такие дела. ((

Полученные Логи ниже.

 

Сам я с компами на ВЫ, так что сильно не ругайте если, что не так.

Сейчас прогнал еще RSITом.

 

Извиняюсь за ошибки, но кнопки редактирования сообщений не нашел!

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

info.txt

log.txt

[Roman_Five]

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
ClearHostsFile;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://gomailru1.ru
O1 - Hosts: 37.10.117.104 m.vk.com www.odnoklassniki.ru odnoklassniki.ru vk.com wap.odnoklassniki.ru my.mail.ru m.odnoklassniki.ru
O17 - HKLM\System\CCS\Services\Tcpip\..\{9E4B576A-BD98-49F0-B4C3-B4C14661BEF6}: NameServer = 193.111.137.200

 

Исправьте через AVZ -> Файл -> Мастер поиска и устранения проблем -> Все проблемы -> отметить указанное -> Исправить

>>  Таймаут завершения процессов находится за пределами допустимых значений
>>  Заблокирован пункт меню Справка и техподдержка
>>  Разрешен автозапуск со сменных носителей
>>  Обнаружены опасные расширения в списке типов файлов, не представляющих угрозы

 

Сделайте новые логи по правилам.

 

+ сделайте лог проверки AdwCleaner

http://safezone.cc/forum/showthread.php?t=19726

[Павлуха]

Спасибо за ответ!

Все сделал как Вы сказали.

Открылся Яндекс, вроде бы без ненужных картинок.

Полученные логи:

info.txt

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

AdwCleanerR1.txt

[Roman_Five]

запустите ещё раз AdwCleaner и нажмите Delete

новый лог приложите.

 

не выполнили:

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://gomailru1.ru

 

Исправьте через AVZ -> Файл -> Мастер поиска и устранения проблем -> Все проблемы -> отметить указанное -> Исправить

 >>  Таймаут завершения процессов находится за пределами допустимых значений >>  Заблокирован пункт меню Справка и техподдержка >>  Разрешен автозапуск со сменных носителей >>  Обнаружены опасные расширения в списке типов файлов, не представляющих угрозы

[Павлуха]

Извиняюсь за долгое молчание, в пятницу пришлось уехать на дачу.

Выше сказанное сделал.

AdwCleanerS1.txt

[Roman_Five]

если выполнили всё остальное - то чисто.

[Павлуха]

Роман, спасибо за помощь!

Сейчас еще разок прогоню и выложу логи. Посмотрите для полной уверенности.

 

прогнал еще раз. Вот что получилось:

AdwCleanerR3.txt

AdwCleanerS3.txt

info.txt

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

[Roman_Five]

Подчистим следы удалённого AdWare

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
SetServiceStart('dealplylivem', 4);
SetServiceStart('dealplylive', 4);
DeleteFileMask('C:\Program Files\DealPlyLive\','*',true);
DeleteFile('C:\WINDOWS\Tasks\At2.job');
DeleteFile('C:\WINDOWS\Tasks\DealPlyLiveUpdateTaskMachineCore.job');
DeleteFile('C:\WINDOWS\Tasks\DealPlyLiveUpdateTaskMachineUA.job');
DeleteFileMask('C:\DOCUME~1\Admin\APPLIC~1\Dealply\','*',true);
DeleteDirectory('C:\Program Files\DealPlyLive\ ',' ');
DeleteDirectory('C:\DOCUME~1\Admin\APPLIC~1\Dealply\ ',' ');
DeleteService('dealplylivem');
DeleteService('dealplylive');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

покажите содержимое

C:\WINDOWS\tasks\At1.job

[Павлуха]

Здравствуйте!

Скрипт выполнил.

А как показать содержимое этого файла? (нуб я ))

[thyrex]

Открыть его в Блокноте и процитировать содержимое

[Павлуха]

Открыть в блокноте так и не смог

Препеписал что там:

 

Выполнить; cmd.exe"/с attrib -H C:\WINDOWS\system32\drivers\et - может что то дальше, но видно только это

Рабочая папка: пусто

Комертарий: Составлено NetScheduleJobAdd

От имени: NT AUTHORITY\SYSTEM

 

Рассписание: В 16:54, каждую неделю по ВСЕМ дням начиная с 13.06.2013г.

 

Параметры: Стоят 2 галочки только в завершении задания и время 72 часа 00 мин. дальше без галочек

 

Как мог так и описал.

[thyrex]

Удалите этот файл

[Павлуха]

Удалить это: C:\WINDOWS\tasks\At1.job

 

?

[thyrex]

Именно его

[Павлуха]

Спасибо, за вашу работу!

Дай Бог вам терпения, для общения с неочень продвинутыми юзерами как я.

 

Еше раз спасибо, удачи!

 

Вечером может быть еще дочкин комп прогоню, создать новую тему или можно сюда же?