Вирус gomailru1.ru

[А86]

Здравствуйте.

Непонятно откуда появился такой вирус. Я пользуюсь Оперой, при открытии её стартовой страницей стал сайт gomailru1.ru. Все антивирусные сайты вроде касперского или форумов помощи в избавлении от вирусов заблокированы, хотя остальные сайты открываются нормально.

В ИЕ и Мозилле тоже самое. Только там сайты не блокируются, а просто перекидывает на рекламные сайты.

 

Обходными путями смог попасть в эту тему

 

Затем через HijackThis пофиксил, подозрительные строчки:

O17 - HKLM\System\CCS\Services\Tcpip\..\{5BDA3EE0-1A53-43A6-87BF-88382C4E1923}: NameServer = 5.104.108.204

O17 - HKLM\System\CCS\Services\Tcpip\..\{892E12E4-B1EC-42A9-B73F-033D071723CA}: NameServer = 5.104.108.204

O17 - HKLM\System\CCS\Services\Tcpip\..\{e29ac6c2-7037-11de-816d-806e6f6e6963}: NameServer = 5.104.108.204

O17 - HKLM\System\CS1\Services\Tcpip\..\{5BDA3EE0-1A53-43A6-87BF-88382C4E1923}: NameServer = 5.104.108.204

 

И ещё одну строчку (забыл её записать) видимо прописавший тот самый gomailru1.ru стартовой страницей.

Наконец-то после этого смог попасть на ваш сайт.

 

Сейчас всё работает, блокировок и пере направлений не наблюдается, но хочу проконсультироваться со знающими людьми, возможно какие-то следы вируса остаются в системе.

Хочется уже точно эту заразу вычистить.

прошлому товарищу смотрю дальнейшее лечение предлагали.

virusinfo_syscure.zip

virusinfo_syscheck.zip

info.txt

log.txt

[Tiare]

А86, добрый день.

 

Переделайте логи актуальной утилитой AVZ, актуальная версия 4.41 См. правила

 

 

Покажите отчеты

C:\AdwCleaner[s1].txt

C:\AdwCleaner[R1].txt

 

+

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.

Самостоятельно ничего не удаляйте!

Если лог не открылся, то найти его можно в следующей папке:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Подробнее читайте в руководстве

 

+

• Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Скопируйте содержимое файла в свое следующее сообщение.

Подробнее читайте в этом разделе форума поддержки утилиты.

 

+ покажите содержимое файлов (откройте их с помощью блокнота)

C:\Windows\winstart.bat

C:\Windows\tmpdelis.bat

C:\Windows\tmpcpyis.bat

[А86]

Tiare, спасибо за ответ.

 

 

 

AdwCleaner[s1]AdwCleaner v2.306 - Logfile created 08/16/2013 at 20:25:23

# Updated 19/07/2013 by Xplode

# Operating system : Windows 7 Ultimate Service Pack 1 (32 bits)

# User : Алексей - WWW

# Boot Mode : Normal

# Running from : C:\Users\Алексей\Desktop\adwcleaner.exe

# Option [Delete]

 

***** [services] *****

 

***** [Files / Folders] *****

 

Folder Deleted : C:\Users\Алексей\AppData\Local\PackageAware

 

***** [Registry] *****

 

Key Deleted : HKCU\Software\APN PIP

Key Deleted : HKCU\Software\PIP

Key Deleted : HKLM\SOFTWARE\Classes\Interface\{813A22E0-3E2B-4188-9BDA-ECA9878B8D48}

Key Deleted : HKLM\SOFTWARE\Classes\Interface\{BCFF5F55-6F44-11D2-86F8-00104B265ED5}

Key Deleted : HKLM\Software\PIP

Key Deleted : HKLM\SOFTWARE\Software

 

***** [internet Browsers] *****

 

-\\ Internet Explorer v8.0.7601.17514

 

[OK] Registry is clean.

 

-\\ Opera v12.15.1748.0

 

File : C:\Users\Алексей\AppData\Roaming\Opera\Opera\operaprefs.ini

 

[OK] File is clean.

 

*************************

 

AdwCleaner[R1].txt - [1119 octets] - [16/08/2013 20:23:56]

AdwCleaner[s1].txt - [1065 octets] - [16/08/2013 20:25:23]

 

########## EOF - C:\AdwCleaner[s1].txt - [1125 octets] ##########

 

 

 

'AdwCleaner[R1:

AdwCleaner v2.306 - Logfile created 08/16/2013 at 20:23:56

# Updated 19/07/2013 by Xplode

# Operating system : Windows 7 Ultimate Service Pack 1 (32 bits)

# User : Алексей - WWW

# Boot Mode : Normal

# Running from : C:\Users\Алексей\Desktop\adwcleaner.exe

# Option [search]

 

***** [services] *****

 

***** [Files / Folders] *****

 

Folder Found : C:\Users\Алексей\AppData\Local\PackageAware

 

***** [Registry] *****

 

Key Found : HKCU\Software\APN PIP

Key Found : HKCU\Software\PIP

Key Found : HKLM\SOFTWARE\Classes\Interface\{813A22E0-3E2B-4188-9BDA-ECA9878B8D48}

Key Found : HKLM\SOFTWARE\Classes\Interface\{BCFF5F55-6F44-11D2-86F8-00104B265ED5}

Key Found : HKLM\Software\PIP

Key Found : HKLM\SOFTWARE\Software

 

***** [internet Browsers] *****

 

-\\ Internet Explorer v8.0.7601.17514

 

[OK] Registry is clean.

 

-\\ Opera v12.15.1748.0

 

File : C:\Users\Алексей\AppData\Roaming\Opera\Opera\operaprefs.ini

 

[OK] File is clean.

 

*************************

 

AdwCleaner[R1].txt - [991 octets] - [16/08/2013 20:23:56]

 

########## EOF - C:\AdwCleaner[R1].txt - [1050 octets] ##########

 

 

 

 

 

'Лог Malwarebytes' Anti-Malware:[spoiler:

Malwarebytes Anti-Malware 1.75.0.1300

www.malwarebytes.org

 

Версия базы данных: v2013.08.16.07

 

Windows 7 Service Pack 1 x86 NTFS

Internet Explorer 8.0.7601.17514

Алексей :: WWW [администратор]

 

17.08.2013 16:03:51

MBAM-log-2013-08-17 (17-22-48).txt

 

Тип сканирования: Полное сканирование (C:\|D:\|E:\|)

Опции сканирования включены: Память | Запуск | Реестр | Файловая система | Эвристика/Дополнительно | Эвристика/Шурикен | PUP | PUM

Опции сканирования отключены: P2P

Просканированные объекты: 439934

Времени прошло: 51 минут , 47 секунд

 

Обнаруженные процессы в памяти: 0

(Вредоносных программ не обнаружено)

 

Обнаруженные модули в памяти: 0

(Вредоносных программ не обнаружено)

 

Обнаруженные ключи в реестре: 0

(Вредоносных программ не обнаружено)

 

Обнаруженные параметры в реестре: 0

(Вредоносных программ не обнаружено)

 

Объекты реестра обнаружены: 0

(Вредоносных программ не обнаружено)

 

Обнаруженные папки: 0

(Вредоносных программ не обнаружено)

 

Обнаруженные файлы: 5

C:\Users\Алексей\Desktop\Документы 2\DAEMONToolsUltra110-0101.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.

C:\Users\Алексей\Desktop\Документы 2\Игры\silent-hill-pc-[torrentino].exe (PUP.Optional.ZvuZona) -> Действие не было предпринято.

C:\Users\Алексей\Documents\проги\DTLite4454-0316.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.

C:\Users\Алексей\Downloads\Программы\DAEMONToolsPro510-0333.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.

E:\torr Files\The_Typing_of_the_Dead_[torrents.ru]\Таблетка\Патч_No-CD\The Typing of the Dead ALL VERSIONS NoCD.exe (RiskWare.Tool.CK) -> Действие не было предпринято.

 

(конец)

 

 

 

лог SecurityCheck:

Security Check by glax24 version 0.1.6.55 rc2

WebSite: www.safezone.cc

DataLog 17.08.2013 17:24:27

Program directory: C:\Users\Алексей\AppData\Local\Temp\SecurityCheck\

Log directory: C:\SecurityCheck\

IsAdmin: True

XML File - VersionInet=5.3

Диск C:\ ФС: NTFS Емкость: (175.7 Гб) Занято: (174.8 Гб) Свободно: (0.9 Гб)

__________________________________________________

 

WIN_7(6.1) Build 7601 (x86) Ultimate Lang: Russian(0419)

Дата установки ОС: 09.08.2012 09:07:42

Статус лицензии: Windows® 7, Ultimate edition Постоянная активация прошла успешно.

Service Pack 1

Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления

-------------Windows------------------------------

Контроль учётных записей пользователя отключен

^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^

Запрос на повышение прав для администраторов отключен

Автоматическое обновление отключено

Центр обновления Windows (wuauserv) - Служба работает

Центр обеспечения безопасности (wscsvc) - Служба работает

-------------Antivirus_WMI------------------------

avast! Antivirus

Антивирус обновлен

-------------Firewall_WMI-------------------------

avast! Internet Security

-------------AntiSpyware_WMI----------------------

avast! Antivirus

Windows Defender

-------------AntiVirusFirewallInstall-------------

avast! Free Antivirus v.8.0.1489.0

-------------OtherUtilities-----------------------

CCleaner v.3.13

Malwarebytes Anti-Malware, версия 1.75.0.1300 v.1.75.0.1300

Wise Disk Cleaner 7.79

-------------Java---------------------------------

Java 6 Update 39 v.6.0.390 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-7u25-windows-i586.exe)^

-------------AdobeProduction----------------------

Adobe Flash Player 11 ActiveX v.11.7.700.224 Внимание! Скачать обновления

Adobe Flash Player 11 Plugin v.11.8.800.94

Adobe Reader X (10.1.7) - Russian v.10.1.7 Внимание! Скачать обновления

-------------Browser------------------------------

Mozilla Firefox 23.0 (x86 ru) v.23.0

Opera 12.15 v.12.15.1748 Внимание! Скачать обновления

^Будет скачена последняя версия 12.16 (Для скачивания Opera на движке Chromium перейдите на www.opera.com)^

-------------RunningProcess-----------------------

C:\Program Files\Opera\opera.exe v.12.15.1748.0

-------------EndLog-------------------------------

 

 

 

В папке Windows есть только tmpdelis. На winstart нажал чтобы открыть, он почему-то исчез при этом. Это нормально? tmpcpyis вообще нету.

Cодержимое tmpdelis:

@if exist C:\Windows\tmpcpyis.bat del C:\Windows\tmpcpyis.bat

@if exist C:\Windows\winstart.bat C:\Windows\winstart.bat

 

И логи AVZ переделал

virusinfo_syscheck.zip

virusinfo_syscure.zip

Изменено 17 августа, 2013 пользователем Tiare
убрала большие цитаты в спойлер

[Tiare]

Не вижу ничего подозрительного.

 

 

Обратите внимание на рекомендации, выделенные красным. Уязвимое ПО обновите.

 

 

Деинсталлируйте Malwarebytes' Anti-Malware штатным образом.

 

У вас в системе хвосты от Avira Security Suite и Doctor Web, удалите остатки (ссылка в подписи)

 

 

 

Смените важные пароли.

 

 

Рекомендации после лечения

[А86]

Tiare, хорошо.

Спасибо большое за помощь