Перейти к содержанию

Требуется лечение


Рекомендуемые сообщения

У друга уже какое-то время при запуске любого браузера открывается начальной страница

Сообщение от модератора Elly
ссылка удалена

Попытка в свойствах браузеров изменить начальную страницы загрузки не удается, точнее там все как должно, н грузит именно "зайцев.нет"

При серфе в браузерах всплывает реклама всякая.

Просканил Dr.Web CureIt!- ничего не нашел.
Сделал логи AVZ и RSIT, прилагаю, прошу проверить и помочь победить эту гадость, чтобы в Новый год с чистым компом друг вошел :)

Ссылка на сообщение
Поделиться на другие сайты
Здравствуйте!
 
Закройте все программы
 
Отключите
- Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:
 
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 QuarantineFile('C:\Program Files (x86)\Opera\opera.url','');
 QuarantineFile('C:\Program Files (x86)\Internet Explorer\iexplore.url','');
 QuarantineFile('C:\Program Files (x86)\Google\Chrome\Application\chrome.url','');
 QuarantineFileF('C:\Users\zyatOK\AppData\Local\Schedule', '*', true, ' ', 0, 0);     
 DeleteFile('C:\Program Files (x86)\Google\Chrome\Application\chrome.url','32');
 DeleteFile('C:\Program Files (x86)\Internet Explorer\iexplore.url','32');
 DeleteFile('C:\Program Files (x86)\Opera\opera.url','32');
 DeleteFile('C:\Windows\system32\Tasks\AmiUpdXp','64');
 DeleteFile('C:\Windows\Tasks\AmiUpdXp.job','64');
 DeleteFile('C:\Users\zyatOK\AppData\Local\Schedule\Schedule.exe','32');
 DeleteFile('C:\Program Files\Zaxar\ZaxarLoader.exe','32');     
 RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupfolder\C:^Users^zyatOK^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Schedule.lnk');
 RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupfolder\C:^Users^zyatOK^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Zaxar Games Browser.lnk');     
 DeleteFileMask('C:\Users\zyatOK\AppData\Local\Schedule', '*', true, ' ');
 DeleteFileMask('C:\Program Files\Zaxar', '*', true, ' ');
 DeleteDirectory('C:\Users\zyatOK\AppData\Local\Schedule');     
 DeleteDirectory('C:\Program Files\Zaxar');     
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
 
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
 
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
 

quarantine.zip из папки AVZ отправьте через данную форму.
1. Выберите тип запроса "Запрос на исследование вредоносного файла".
2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина
4. Введите изображенное на картинке число и нажмите "Далее".
5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
 Полученный ответ сообщите здесь (с указанием номера KLAN)
 

  •  
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.
 
Подробнее читайте в этом руководстве.
 
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!
Если лог не открылся, то найти его можно в следующей папке:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве
 
Ссылка на сообщение
Поделиться на другие сайты

AVZ скрипты сделал,карантин послал, скачал остальные 2 проги - счас буду делать далее

Изменено пользователем Xenon
Ссылка на сообщение
Поделиться на другие сайты

1. Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).

 
Подробнее читайте в руководстве
 
Обнаруженные ключи в реестре:  6
HKCR\CLSID\{67BD9EEB-AA06-4329-A940-D250019300C9} (PUP.Software.Updater) -> Действие не было предпринято.
HKCR\TypeLib\{A0EE0278-2986-4E5A-884E-A3BF0357E476} (PUP.Software.Updater) -> Действие не было предпринято.
HKCR\Interface\{9EDC0C90-2B5B-4512-953E-35767BAD5C67} (PUP.Software.Updater) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{99C91FC5-DB5B-4AA0-BB70-5D89C5A4DF96} (PUP.Software.Updater) -> Действие не было предпринято.
HKCR\Updater.AmiUpd.1 (PUP.Software.Updater) -> Действие не было предпринято.
HKCR\Updater.AmiUpd (PUP.Software.Updater) -> Действие не было предпринято.
 
Обнаруженные файлы:
C:\Users\zyatOK\AppData\Local\SwvUpdater\Updater.exe (PUP.Software.Updater) -> Действие не было предпринято.
 
После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.
 

2.

  • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора),  нажмите кнопку "Scan".

     

     
  • По окончанию сканирования снимите галочки со следующих строк:
    Folder Found C:\Program Files (x86)\Mail.Ru
    Folder Found C:\Users\zyatOK\AppData\Local\Mail.Ru
    Folder Found C:\Users\zyatOK\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mail.Ru
    Key Found : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7}
    Key Found : [x64] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7}
     
  • Нажмите кнопку "Clean" и дождитесь окончания удаления.
     
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
     
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!.
 
Подробнее читайте в этом руководстве.
 
3. Сделайте новые логи AVZ, RSIT. 
 
Ссылка на сообщение
Поделиться на другие сайты

@mike 1, ОК

@mike 1, еще не закрывал МВАМ. Там нижний был уже (C:\Windows\Loader.exe) выделен для удаления, его оставить или тоже удалить? см.скрин

Изменено пользователем Xenon
Ссылка на сообщение
Поделиться на другие сайты

Самый нижний C:\Windows\Loader.exe это кряк его лучше не трогать так как после его удаления может активация на Windows слететь.

 

https://www.virustotal.com/ru/file/27c81c938edf0a2a06d8d80de7e852a61d8ff89ff17ab69b7818858edaa3c446/analysis/

Изменено пользователем mike 1
Ссылка на сообщение
Поделиться на другие сайты

@mike 1, ясно. Сканировать МВАМ завтра уже буду - поздно.

Высылаю новые логи (кроме МВАМ)

Изменено пользователем Xenon
Ссылка на сообщение
Поделиться на другие сайты

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantine;
QuarantineFile('C:\Users\zyatOK\AppData\Local\ScheduleCD\ScheduleCD.exe','');
DeleteFile('C:\Windows\system32\Tasks\Daily Trigger ScheduleCD','64');
DeleteFile('C:\Users\zyatOK\AppData\Local\ScheduleCD\ScheduleCD.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Для создания архива с карантином выполните скрипт:
begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.
Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).
Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.
В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).
В строке "Электронный адрес:" укажите адрес своей электронной почты.
Полученный ответ сообщите в этой теме.

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)

Сделайте новые логи по правилам.
+

лог MBAM

Ссылка на сообщение
Поделиться на другие сайты

Что с проблемой?

Да вроде бы все нормально теперь.

Только иногда сообщения в рамках всплывали еще, типа "Вы выиграли..." кажется от ВКонтакте, реклама вроде.

Посмотрят.

Я на сутки-двое уеду, если будут проблемы, то отпишусь.

Изменено пользователем Xenon
Ссылка на сообщение
Поделиться на другие сайты

 

 

Только иногда сообщения в рамках всплывали еще, типа "Вы выиграли..." кажется от ВКонтакте, реклама вроде.

Расширений незнакомых в браузере случайно нет? 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...