Xenon 920 Опубликовано 30 декабря, 2013 Share Опубликовано 30 декабря, 2013 У друга уже какое-то время при запуске любого браузера открывается начальной страница Сообщение от модератора Elly ссылка удалена Попытка в свойствах браузеров изменить начальную страницы загрузки не удается, точнее там все как должно, н грузит именно "зайцев.нет" При серфе в браузерах всплывает реклама всякая. Просканил Dr.Web CureIt!- ничего не нашел.Сделал логи AVZ и RSIT, прилагаю, прошу проверить и помочь победить эту гадость, чтобы в Новый год с чистым компом друг вошел 1 Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 30 декабря, 2013 Share Опубликовано 30 декабря, 2013 Здравствуйте! Закройте все программы Отключите - Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828) Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ: begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(true); end; ClearQuarantine; QuarantineFile('C:\Program Files (x86)\Opera\opera.url',''); QuarantineFile('C:\Program Files (x86)\Internet Explorer\iexplore.url',''); QuarantineFile('C:\Program Files (x86)\Google\Chrome\Application\chrome.url',''); QuarantineFileF('C:\Users\zyatOK\AppData\Local\Schedule', '*', true, ' ', 0, 0); DeleteFile('C:\Program Files (x86)\Google\Chrome\Application\chrome.url','32'); DeleteFile('C:\Program Files (x86)\Internet Explorer\iexplore.url','32'); DeleteFile('C:\Program Files (x86)\Opera\opera.url','32'); DeleteFile('C:\Windows\system32\Tasks\AmiUpdXp','64'); DeleteFile('C:\Windows\Tasks\AmiUpdXp.job','64'); DeleteFile('C:\Users\zyatOK\AppData\Local\Schedule\Schedule.exe','32'); DeleteFile('C:\Program Files\Zaxar\ZaxarLoader.exe','32'); RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupfolder\C:^Users^zyatOK^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Schedule.lnk'); RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupfolder\C:^Users^zyatOK^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Zaxar Games Browser.lnk'); DeleteFileMask('C:\Users\zyatOK\AppData\Local\Schedule', '*', true, ' '); DeleteFileMask('C:\Program Files\Zaxar', '*', true, ' '); DeleteDirectory('C:\Users\zyatOK\AppData\Local\Schedule'); DeleteDirectory('C:\Program Files\Zaxar'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); BC_Activate; RebootWindows(true); end. Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте через данную форму. 1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе. Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту. Самостоятельно ничего не удаляйте! Если лог не открылся, то найти его можно в следующей папке: %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\LogsФайл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Подробнее читайте в руководстве 1 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Xenon 920 Опубликовано 30 декабря, 2013 Автор Share Опубликовано 30 декабря, 2013 (изменено) AVZ скрипты сделал,карантин послал, скачал остальные 2 проги - счас буду делать далее Изменено 30 декабря, 2013 пользователем Xenon Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 30 декабря, 2013 Share Опубликовано 30 декабря, 2013 Хорошо ждем Цитата Ссылка на сообщение Поделиться на другие сайты
Xenon 920 Опубликовано 30 декабря, 2013 Автор Share Опубликовано 30 декабря, 2013 выкладываю логи Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 30 декабря, 2013 Share Опубликовано 30 декабря, 2013 1. Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете). Подробнее читайте в руководстве Обнаруженные ключи в реестре: 6 HKCR\CLSID\{67BD9EEB-AA06-4329-A940-D250019300C9} (PUP.Software.Updater) -> Действие не было предпринято. HKCR\TypeLib\{A0EE0278-2986-4E5A-884E-A3BF0357E476} (PUP.Software.Updater) -> Действие не было предпринято. HKCR\Interface\{9EDC0C90-2B5B-4512-953E-35767BAD5C67} (PUP.Software.Updater) -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{99C91FC5-DB5B-4AA0-BB70-5D89C5A4DF96} (PUP.Software.Updater) -> Действие не было предпринято. HKCR\Updater.AmiUpd.1 (PUP.Software.Updater) -> Действие не было предпринято. HKCR\Updater.AmiUpd (PUP.Software.Updater) -> Действие не было предпринято. Обнаруженные файлы: C:\Users\zyatOK\AppData\Local\SwvUpdater\Updater.exe (PUP.Software.Updater) -> Действие не было предпринято. После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог. 2. Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan". По окончанию сканирования снимите галочки со следующих строк: Folder Found C:\Program Files (x86)\Mail.Ru Folder Found C:\Users\zyatOK\AppData\Local\Mail.Ru Folder Found C:\Users\zyatOK\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mail.Ru Key Found : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7} Key Found : [x64] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7} Нажмите кнопку "Clean" и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!. Подробнее читайте в этом руководстве. 3. Сделайте новые логи AVZ, RSIT. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Xenon 920 Опубликовано 30 декабря, 2013 Автор Share Опубликовано 30 декабря, 2013 (изменено) @mike 1, ОК @mike 1, еще не закрывал МВАМ. Там нижний был уже (C:\Windows\Loader.exe) выделен для удаления, его оставить или тоже удалить? см.скрин Изменено 30 декабря, 2013 пользователем Xenon Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 30 декабря, 2013 Share Опубликовано 30 декабря, 2013 (изменено) Самый нижний C:\Windows\Loader.exe это кряк его лучше не трогать так как после его удаления может активация на Windows слететь. https://www.virustotal.com/ru/file/27c81c938edf0a2a06d8d80de7e852a61d8ff89ff17ab69b7818858edaa3c446/analysis/ Изменено 30 декабря, 2013 пользователем mike 1 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Xenon 920 Опубликовано 30 декабря, 2013 Автор Share Опубликовано 30 декабря, 2013 (изменено) @mike 1, ясно. Сканировать МВАМ завтра уже буду - поздно. Высылаю новые логи (кроме МВАМ) Изменено 30 декабря, 2013 пользователем Xenon Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 31 декабря, 2013 Share Опубликовано 31 декабря, 2013 Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantine; QuarantineFile('C:\Users\zyatOK\AppData\Local\ScheduleCD\ScheduleCD.exe',''); DeleteFile('C:\Windows\system32\Tasks\Daily Trigger ScheduleCD','64'); DeleteFile('C:\Users\zyatOK\AppData\Local\ScheduleCD\ScheduleCD.exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.После выполнения скрипта компьютер перезагрузится.Для создания архива с карантином выполните скрипт:begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end.Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).В строке "Электронный адрес:" укажите адрес своей электронной почты.Полученный ответ сообщите в этой теме.Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file) O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file) Сделайте новые логи по правилам.+лог MBAM Цитата Ссылка на сообщение Поделиться на другие сайты
Xenon 920 Опубликовано 4 января, 2014 Автор Share Опубликовано 4 января, 2014 Только состыковался с другом... Сделал что требовалось, прикладываю логи Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 4 января, 2014 Share Опубликовано 4 января, 2014 Что с проблемой? Цитата Ссылка на сообщение Поделиться на другие сайты
Xenon 920 Опубликовано 4 января, 2014 Автор Share Опубликовано 4 января, 2014 (изменено) Что с проблемой? Да вроде бы все нормально теперь. Только иногда сообщения в рамках всплывали еще, типа "Вы выиграли..." кажется от ВКонтакте, реклама вроде. Посмотрят. Я на сутки-двое уеду, если будут проблемы, то отпишусь. Изменено 4 января, 2014 пользователем Xenon Цитата Ссылка на сообщение Поделиться на другие сайты
Xenon 920 Опубликовано 8 января, 2014 Автор Share Опубликовано 8 января, 2014 Вроде бы проблем не наблюдается Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 8 января, 2014 Share Опубликовано 8 января, 2014 Только иногда сообщения в рамках всплывали еще, типа "Вы выиграли..." кажется от ВКонтакте, реклама вроде. Расширений незнакомых в браузере случайно нет? Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.