Требуется лечение

[Xenon]

У друга уже какое-то время при запуске любого браузера открывается начальной страница

Сообщение от модератора Elly

ссылка удалена

Попытка в свойствах браузеров изменить начальную страницы загрузки не удается, точнее там все как должно, н грузит именно "зайцев.нет"

При серфе в браузерах всплывает реклама всякая.

Просканил Dr.Web CureIt!- ничего не нашел.
Сделал логи AVZ и RSIT, прилагаю, прошу проверить и помочь победить эту гадость, чтобы в Новый год с чистым компом друг вошел

[mike 1]

Здравствуйте!

 

Закройте все программы

 

Отключите

- Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 QuarantineFile('C:\Program Files (x86)\Opera\opera.url','');
 QuarantineFile('C:\Program Files (x86)\Internet Explorer\iexplore.url','');
 QuarantineFile('C:\Program Files (x86)\Google\Chrome\Application\chrome.url','');
 QuarantineFileF('C:\Users\zyatOK\AppData\Local\Schedule', '*', true, ' ', 0, 0);     
 DeleteFile('C:\Program Files (x86)\Google\Chrome\Application\chrome.url','32');
 DeleteFile('C:\Program Files (x86)\Internet Explorer\iexplore.url','32');
 DeleteFile('C:\Program Files (x86)\Opera\opera.url','32');
 DeleteFile('C:\Windows\system32\Tasks\AmiUpdXp','64');
 DeleteFile('C:\Windows\Tasks\AmiUpdXp.job','64');
 DeleteFile('C:\Users\zyatOK\AppData\Local\Schedule\Schedule.exe','32');
 DeleteFile('C:\Program Files\Zaxar\ZaxarLoader.exe','32');     
 RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupfolder\C:^Users^zyatOK^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Schedule.lnk');
 RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupfolder\C:^Users^zyatOK^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Zaxar Games Browser.lnk');     
 DeleteFileMask('C:\Users\zyatOK\AppData\Local\Schedule', '*', true, ' ');
 DeleteFileMask('C:\Program Files\Zaxar', '*', true, ' ');
 DeleteDirectory('C:\Users\zyatOK\AppData\Local\Schedule');     
 DeleteDirectory('C:\Program Files\Zaxar');     
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

•  

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.

• Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

 

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.

Самостоятельно ничего не удаляйте!

Если лог не открылся, то найти его можно в следующей папке:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Подробнее читайте в руководстве

 

[Xenon]

^{AVZ скрипты сделал,карантин послал, скачал остальные 2 проги - счас буду делать далее}

Изменено 30 декабря, 2013 пользователем Xenon

[mike 1]

Хорошо ждем

[Xenon]

выкладываю логи

[mike 1]

1. Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).

 

Подробнее читайте в руководстве

 

Обнаруженные ключи в реестре:  6
HKCR\CLSID\{67BD9EEB-AA06-4329-A940-D250019300C9} (PUP.Software.Updater) -> Действие не было предпринято.
HKCR\TypeLib\{A0EE0278-2986-4E5A-884E-A3BF0357E476} (PUP.Software.Updater) -> Действие не было предпринято.
HKCR\Interface\{9EDC0C90-2B5B-4512-953E-35767BAD5C67} (PUP.Software.Updater) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{99C91FC5-DB5B-4AA0-BB70-5D89C5A4DF96} (PUP.Software.Updater) -> Действие не было предпринято.
HKCR\Updater.AmiUpd.1 (PUP.Software.Updater) -> Действие не было предпринято.
HKCR\Updater.AmiUpd (PUP.Software.Updater) -> Действие не было предпринято.
 
Обнаруженные файлы:
C:\Users\zyatOK\AppData\Local\SwvUpdater\Updater.exe (PUP.Software.Updater) -> Действие не было предпринято.

 

После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

 

2.

• Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора),  нажмите кнопку "Scan".

   

   
• По окончанию сканирования снимите галочки со следующих строк:

  Folder Found C:\Program Files (x86)\Mail.Ru
  Folder Found C:\Users\zyatOK\AppData\Local\Mail.Ru
  Folder Found C:\Users\zyatOK\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mail.Ru
  Key Found : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7}
  Key Found : [x64] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7}

   
• Нажмите кнопку "Clean" и дождитесь окончания удаления.
   
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
   
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!.

 

Подробнее читайте в этом руководстве.

 

3. Сделайте новые логи AVZ, RSIT. 

 

[Xenon]

@mike 1, ОК

@mike 1, еще не закрывал МВАМ. Там нижний был уже (C:\Windows\Loader.exe) выделен для удаления, его оставить или тоже удалить? см.скрин

Изменено 30 декабря, 2013 пользователем Xenon

[mike 1]

Самый нижний C:\Windows\Loader.exe это кряк его лучше не трогать так как после его удаления может активация на Windows слететь.

 

https://www.virustotal.com/ru/file/27c81c938edf0a2a06d8d80de7e852a61d8ff89ff17ab69b7818858edaa3c446/analysis/

Изменено 30 декабря, 2013 пользователем mike 1

[Xenon]

@mike 1, ясно. Сканировать МВАМ завтра уже буду - поздно.

Высылаю новые логи (кроме МВАМ)

Изменено 30 декабря, 2013 пользователем Xenon

[Roman_Five]

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantine;
QuarantineFile('C:\Users\zyatOK\AppData\Local\ScheduleCD\ScheduleCD.exe','');
DeleteFile('C:\Windows\system32\Tasks\Daily Trigger ScheduleCD','64');
DeleteFile('C:\Users\zyatOK\AppData\Local\ScheduleCD\ScheduleCD.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).
Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.
В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).
В строке "Электронный адрес:" укажите адрес своей электронной почты.
Полученный ответ сообщите в этой теме.

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)

Сделайте новые логи по правилам.
+

лог MBAM

[Xenon]

Только состыковался с другом...

Сделал что требовалось, прикладываю логи

[thyrex]

Что с проблемой?

[Xenon]

Что с проблемой?

Да вроде бы все нормально теперь.

Только иногда сообщения в рамках всплывали еще, типа "Вы выиграли..." кажется от ВКонтакте, реклама вроде.

Посмотрят.

Я на сутки-двое уеду, если будут проблемы, то отпишусь.

Изменено 4 января, 2014 пользователем Xenon

[Xenon]

Вроде бы проблем не наблюдается

[mike 1]

 

 

Только иногда сообщения в рамках всплывали еще, типа "Вы выиграли..." кажется от ВКонтакте, реклама вроде.

Расширений незнакомых в браузере случайно нет?