А86 0 Опубликовано 16 августа, 2013 Share Опубликовано 16 августа, 2013 Здравствуйте. Непонятно откуда появился такой вирус. Я пользуюсь Оперой, при открытии её стартовой страницей стал сайт gomailru1.ru. Все антивирусные сайты вроде касперского или форумов помощи в избавлении от вирусов заблокированы, хотя остальные сайты открываются нормально. В ИЕ и Мозилле тоже самое. Только там сайты не блокируются, а просто перекидывает на рекламные сайты. Обходными путями смог попасть в эту тему Затем через HijackThis пофиксил, подозрительные строчки: O17 - HKLM\System\CCS\Services\Tcpip\..\{5BDA3EE0-1A53-43A6-87BF-88382C4E1923}: NameServer = 5.104.108.204 O17 - HKLM\System\CCS\Services\Tcpip\..\{892E12E4-B1EC-42A9-B73F-033D071723CA}: NameServer = 5.104.108.204 O17 - HKLM\System\CCS\Services\Tcpip\..\{e29ac6c2-7037-11de-816d-806e6f6e6963}: NameServer = 5.104.108.204 O17 - HKLM\System\CS1\Services\Tcpip\..\{5BDA3EE0-1A53-43A6-87BF-88382C4E1923}: NameServer = 5.104.108.204 И ещё одну строчку (забыл её записать) видимо прописавший тот самый gomailru1.ru стартовой страницей. Наконец-то после этого смог попасть на ваш сайт. Сейчас всё работает, блокировок и пере направлений не наблюдается, но хочу проконсультироваться со знающими людьми, возможно какие-то следы вируса остаются в системе. Хочется уже точно эту заразу вычистить. прошлому товарищу смотрю дальнейшее лечение предлагали. virusinfo_syscure.zip virusinfo_syscheck.zip info.txt log.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Tiare 183 Опубликовано 17 августа, 2013 Share Опубликовано 17 августа, 2013 А86, добрый день. Переделайте логи актуальной утилитой AVZ, актуальная версия 4.41 См. правила Покажите отчеты C:\AdwCleaner[s1].txtC:\AdwCleaner[R1].txt + Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту. Самостоятельно ничего не удаляйте! Если лог не открылся, то найти его можно в следующей папке: %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Подробнее читайте в руководстве + Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Скопируйте содержимое файла в свое следующее сообщение. Подробнее читайте в этом разделе форума поддержки утилиты. + покажите содержимое файлов (откройте их с помощью блокнота) C:\Windows\winstart.batC:\Windows\tmpdelis.bat C:\Windows\tmpcpyis.bat Цитата Ссылка на сообщение Поделиться на другие сайты
А86 0 Опубликовано 17 августа, 2013 Автор Share Опубликовано 17 августа, 2013 (изменено) Tiare, спасибо за ответ. AdwCleaner[s1]AdwCleaner v2.306 - Logfile created 08/16/2013 at 20:25:23 # Updated 19/07/2013 by Xplode # Operating system : Windows 7 Ultimate Service Pack 1 (32 bits) # User : Алексей - WWW # Boot Mode : Normal # Running from : C:\Users\Алексей\Desktop\adwcleaner.exe # Option [Delete] ***** [services] ***** ***** [Files / Folders] ***** Folder Deleted : C:\Users\Алексей\AppData\Local\PackageAware ***** [Registry] ***** Key Deleted : HKCU\Software\APN PIP Key Deleted : HKCU\Software\PIP Key Deleted : HKLM\SOFTWARE\Classes\Interface\{813A22E0-3E2B-4188-9BDA-ECA9878B8D48} Key Deleted : HKLM\SOFTWARE\Classes\Interface\{BCFF5F55-6F44-11D2-86F8-00104B265ED5} Key Deleted : HKLM\Software\PIP Key Deleted : HKLM\SOFTWARE\Software ***** [internet Browsers] ***** -\\ Internet Explorer v8.0.7601.17514 [OK] Registry is clean. -\\ Opera v12.15.1748.0 File : C:\Users\Алексей\AppData\Roaming\Opera\Opera\operaprefs.ini [OK] File is clean. ************************* AdwCleaner[R1].txt - [1119 octets] - [16/08/2013 20:23:56] AdwCleaner[s1].txt - [1065 octets] - [16/08/2013 20:25:23] ########## EOF - C:\AdwCleaner[s1].txt - [1125 octets] ########## 'AdwCleaner[R1: AdwCleaner v2.306 - Logfile created 08/16/2013 at 20:23:56 # Updated 19/07/2013 by Xplode # Operating system : Windows 7 Ultimate Service Pack 1 (32 bits) # User : Алексей - WWW # Boot Mode : Normal # Running from : C:\Users\Алексей\Desktop\adwcleaner.exe # Option [search] ***** [services] ***** ***** [Files / Folders] ***** Folder Found : C:\Users\Алексей\AppData\Local\PackageAware ***** [Registry] ***** Key Found : HKCU\Software\APN PIP Key Found : HKCU\Software\PIP Key Found : HKLM\SOFTWARE\Classes\Interface\{813A22E0-3E2B-4188-9BDA-ECA9878B8D48} Key Found : HKLM\SOFTWARE\Classes\Interface\{BCFF5F55-6F44-11D2-86F8-00104B265ED5} Key Found : HKLM\Software\PIP Key Found : HKLM\SOFTWARE\Software ***** [internet Browsers] ***** -\\ Internet Explorer v8.0.7601.17514 [OK] Registry is clean. -\\ Opera v12.15.1748.0 File : C:\Users\Алексей\AppData\Roaming\Opera\Opera\operaprefs.ini [OK] File is clean. ************************* AdwCleaner[R1].txt - [991 octets] - [16/08/2013 20:23:56] ########## EOF - C:\AdwCleaner[R1].txt - [1050 octets] ########## 'Лог Malwarebytes' Anti-Malware:[spoiler: Malwarebytes Anti-Malware 1.75.0.1300 www.malwarebytes.org Версия базы данных: v2013.08.16.07 Windows 7 Service Pack 1 x86 NTFS Internet Explorer 8.0.7601.17514 Алексей :: WWW [администратор] 17.08.2013 16:03:51 MBAM-log-2013-08-17 (17-22-48).txt Тип сканирования: Полное сканирование (C:\|D:\|E:\|) Опции сканирования включены: Память | Запуск | Реестр | Файловая система | Эвристика/Дополнительно | Эвристика/Шурикен | PUP | PUM Опции сканирования отключены: P2P Просканированные объекты: 439934 Времени прошло: 51 минут , 47 секунд Обнаруженные процессы в памяти: 0 (Вредоносных программ не обнаружено) Обнаруженные модули в памяти: 0 (Вредоносных программ не обнаружено) Обнаруженные ключи в реестре: 0 (Вредоносных программ не обнаружено) Обнаруженные параметры в реестре: 0 (Вредоносных программ не обнаружено) Объекты реестра обнаружены: 0 (Вредоносных программ не обнаружено) Обнаруженные папки: 0 (Вредоносных программ не обнаружено) Обнаруженные файлы: 5 C:\Users\Алексей\Desktop\Документы 2\DAEMONToolsUltra110-0101.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято. C:\Users\Алексей\Desktop\Документы 2\Игры\silent-hill-pc-[torrentino].exe (PUP.Optional.ZvuZona) -> Действие не было предпринято. C:\Users\Алексей\Documents\проги\DTLite4454-0316.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято. C:\Users\Алексей\Downloads\Программы\DAEMONToolsPro510-0333.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято. E:\torr Files\The_Typing_of_the_Dead_[torrents.ru]\Таблетка\Патч_No-CD\The Typing of the Dead ALL VERSIONS NoCD.exe (RiskWare.Tool.CK) -> Действие не было предпринято. (конец) лог SecurityCheck: Security Check by glax24 version 0.1.6.55 rc2 WebSite: www.safezone.cc DataLog 17.08.2013 17:24:27 Program directory: C:\Users\Алексей\AppData\Local\Temp\SecurityCheck\ Log directory: C:\SecurityCheck\ IsAdmin: True XML File - VersionInet=5.3 Диск C:\ ФС: NTFS Емкость: (175.7 Гб) Занято: (174.8 Гб) Свободно: (0.9 Гб) __________________________________________________ WIN_7(6.1) Build 7601 (x86) Ultimate Lang: Russian(0419) Дата установки ОС: 09.08.2012 09:07:42 Статус лицензии: Windows® 7, Ultimate edition Постоянная активация прошла успешно. Service Pack 1 Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления -------------Windows------------------------------ Контроль учётных записей пользователя отключен ^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^ Запрос на повышение прав для администраторов отключен Автоматическое обновление отключено Центр обновления Windows (wuauserv) - Служба работает Центр обеспечения безопасности (wscsvc) - Служба работает -------------Antivirus_WMI------------------------ avast! Antivirus Антивирус обновлен -------------Firewall_WMI------------------------- avast! Internet Security -------------AntiSpyware_WMI---------------------- avast! Antivirus Windows Defender -------------AntiVirusFirewallInstall------------- avast! Free Antivirus v.8.0.1489.0 -------------OtherUtilities----------------------- CCleaner v.3.13 Malwarebytes Anti-Malware, версия 1.75.0.1300 v.1.75.0.1300 Wise Disk Cleaner 7.79 -------------Java--------------------------------- Java 6 Update 39 v.6.0.390 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-7u25-windows-i586.exe)^ -------------AdobeProduction---------------------- Adobe Flash Player 11 ActiveX v.11.7.700.224 Внимание! Скачать обновления Adobe Flash Player 11 Plugin v.11.8.800.94 Adobe Reader X (10.1.7) - Russian v.10.1.7 Внимание! Скачать обновления -------------Browser------------------------------ Mozilla Firefox 23.0 (x86 ru) v.23.0 Opera 12.15 v.12.15.1748 Внимание! Скачать обновления ^Будет скачена последняя версия 12.16 (Для скачивания Opera на движке Chromium перейдите на www.opera.com)^ -------------RunningProcess----------------------- C:\Program Files\Opera\opera.exe v.12.15.1748.0 -------------EndLog------------------------------- В папке Windows есть только tmpdelis. На winstart нажал чтобы открыть, он почему-то исчез при этом. Это нормально? tmpcpyis вообще нету. Cодержимое tmpdelis: @if exist C:\Windows\tmpcpyis.bat del C:\Windows\tmpcpyis.bat@if exist C:\Windows\winstart.bat C:\Windows\winstart.bat И логи AVZ переделал virusinfo_syscheck.zip virusinfo_syscure.zip Изменено 17 августа, 2013 пользователем Tiare убрала большие цитаты в спойлер Цитата Ссылка на сообщение Поделиться на другие сайты
Tiare 183 Опубликовано 17 августа, 2013 Share Опубликовано 17 августа, 2013 Не вижу ничего подозрительного. Обратите внимание на рекомендации, выделенные красным. Уязвимое ПО обновите. Деинсталлируйте Malwarebytes' Anti-Malware штатным образом. У вас в системе хвосты от Avira Security Suite и Doctor Web, удалите остатки (ссылка в подписи) Смените важные пароли. Рекомендации после лечения Цитата Ссылка на сообщение Поделиться на другие сайты
А86 0 Опубликовано 17 августа, 2013 Автор Share Опубликовано 17 августа, 2013 Tiare, хорошо. Спасибо большое за помощь Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.