Перейти к содержанию
Правила раздела

автозапуск Opera с переходом на сайт weballta.com и stabgames.com

gaibatov05

Автор gaibatov05
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

gaibatov05

gaibatov05

Опубликовано
Опубликовано

!

Сообщение от модератора Mark D. Pearlstone
Файл virusinfo_autoquarantine.zip удалён.

avz_log.txt

virusinfo_syscheck.htm

virusinfo_syscheck.xml

virusinfo_syscheck.zip

virusinfo_syscure.htm

virusinfo_syscure.xml

virusinfo_syscure.zip

info.txt

log.txt

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five

Roman_Five

Опубликовано
Опубликовано

деисталлируйте RelevantKnowledge через пуск - панель управления - программы

 

в свойствах ярлыков на запуск Opera удалите лишнее.

должно остаться -  "C:\Program Files (x86)\Opera\opera.exe"


Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
RegKeyParamDel('HKLM','Software\Microsoft\Windows\CurrentVersion\Run','Babakan');
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Сделайте новые логи по правилам.

+

 

Скачайте Malwarebytes' Anti-Malware здесь или здесь.
Установите mbam-setup-<current number>.exe
Откажитесь от использования пробной версии Malwarebytes' Anti-Malware PRO (снимите галочку с пункта "Включить бесплатный тестовый период Malwarebytes Anti-Malware PRO "подробнее...").
Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".
Полученный лог прикрепите к сообщению.

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
Roman_Five

Roman_Five

Опубликовано
Опубликовано

не сделали:

 

 


Сделайте новые логи по правилам.

 

 

Удалите в MBAM только следующие объекты:

Обнаруженные ключи в реестре: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} (Trojan.BHO) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} (Trojan.BHO) -> Действие не было предпринято.


Объекты реестра обнаружены: 9
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Search Page (Hijack.SearchPage) -> Плохо: (http://search.certified-toolbar.com?si=39053&tid=411&bs=true&q=) Хорошо: (http://www.google.com) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Search_URL (Hijack.SearchPage) -> Плохо: (http://search.certified-toolbar.com?si=39053&tid=411&bs=true&q=) Хорошо: (http://www.google.com) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Search Bar (Hijack.SearchPage) -> Плохо: (http://search.certified-toolbar.com?si=39053&tid=411&bs=true&q=) Хорошо: (http://www.google.com) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Search|Default_Search_URL (Hijack.SearchPage) -> Плохо: (http://search.certified-toolbar.com?si=39053&tid=411&bs=true&q=) Хорошо: (http://www.google.com/) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Search_URL (Hijack.SearchPage) -> Плохо: (http://search.certified-toolbar.com?si=39053&tid=411&bs=true&q=) Хорошо: (http://www.google.com) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Start Page (Hijack.StartPage) -> Плохо: (http://search.certified-toolbar.com?si=39053&home=true&tid=411) Хорошо: (http://www.google.com) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Search Page (Hijack.SearchPage) -> Плохо: (http://search.certified-toolbar.com?si=39053&tid=411&bs=true&q=) Хорошо: (http://www.google.com) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Search Bar (Hijack.SearchPage) -> Плохо: (http://search.certified-toolbar.com?si=39053&tid=411&bs=true&q=) Хорошо: (http://www.google.com) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Search|Default_Search_URL (Hijack.SearchPage) -> Плохо: (http://search.certified-toolbar.com?si=39053&tid=411&bs=true&q=) Хорошо: (http://www.google.com/) -> Действие не было предпринято.

Обнаруженные папки: 1
C:\Users\Work\AppData\Roaming\WebaltaService (Adware.Webalta) -> Действие не было предпринято.

Обнаруженные файлы: 19
C:\System Volume Information\SystemRestore\FRStaging\Program Files (x86)\RelevantKnowledge\rlls.dll (PUP.Adware.RelevantKnowledge) -> Действие не было предпринято.
C:\System Volume Information\SystemRestore\FRStaging\Program Files (x86)\RelevantKnowledge\rlls64.dll (PUP.Adware.RelevantKnowledge) -> Действие не было предпринято.
C:\System Volume Information\SystemRestore\FRStaging\Program Files (x86)\RelevantKnowledge\rlph.dll (PUP.Adware.RelevantKnowledge) -> Действие не было предпринято.
C:\System Volume Information\SystemRestore\FRStaging\Program Files (x86)\RelevantKnowledge\rlservice.exe (PUP.Adware.RelevantKnowledge) -> Действие не было предпринято.
C:\System Volume Information\SystemRestore\FRStaging\Program Files (x86)\RelevantKnowledge\rlvknlg.exe (PUP.Adware.RelevantKnowledge) -> Действие не было предпринято.
C:\System Volume Information\SystemRestore\FRStaging\Program Files (x86)\RelevantKnowledge\rlvknlg32.exe (PUP.Adware.RelevantKnowledge) -> Действие не было предпринято.
C:\System Volume Information\SystemRestore\FRStaging\Program Files (x86)\RelevantKnowledge\rlvknlg64.exe (PUP.Adware.RelevantKnowledge) -> Действие не было предпринято.
C:\System Volume Information\SystemRestore\FRStaging\Program Files (x86)\RelevantKnowledge\rlxf.dll (PUP.Adware.RelevantKnowledge) -> Действие не было предпринято.
C:\System Volume Information\SystemRestore\FRStaging\Program Files (x86)\RelevantKnowledge\components\rlxg.dll (PUP.Adware.RelevantKnowledge) -> Действие не было предпринято.
C:\System Volume Information\SystemRestore\FRStaging\Program Files (x86)\RelevantKnowledge\firefox\rlnx.dll (PUP.Adware.RelevantKnowledge) -> Действие не было предпринято.
C:\System Volume Information\SystemRestore\FRStaging\Program Files (x86)\Subway Surfers\KBHook.dll (Trojan.Downloader) -> Действие не было предпринято.
C:\System Volume Information\SystemRestore\FRStaging\Users\Work\AppData\Local\Google\Chrome\User Data\Default\Extensions\mkndcbhcgphcfkkddanakjiepeknbgle\1.3.332.2_0\plugins\rlcm.dll (PUP.Adware.RelevantKnowledge) -> Действие не было предпринято.
C:\System Volume Information\SystemRestore\FRStaging\Windows\SysWOW64\rlls.dll (PUP.Adware.RelevantKnowledge) -> Действие не было предпринято.
C:\System Volume Information\SystemRestore\FRStaging\Гайбат\программы\DAEMON Tools Pro\uninst.exe (Malware.Gen) -> Действие не было предпринято.
C:\Users\Work\AppData\Local\Google\Chrome\User Data\Default\Extensions\mkndcbhcgphcfkkddanakjiepeknbgle\1.3.332.2_0\plugins\rlcm.dll (PUP.Adware.RelevantKnowledge) -> Действие не было предпринято.
C:\Users\Work\AppData\Roaming\WebaltaService\WebaltaService.cfg (Adware.Webalta) -> Действие не было предпринято.
 
После удаления откройте лог и прикрепите его к сообщению.

 

проверьте 2 файла на virustotal.com

C:\Program Files (x86)\Subway Surfers\KBHook.dll (Trojan.Downloader) -> Действие не было предпринято.
C:\Users\Work\Downloads\Программы\Subway_Klaviatura.rar (Trojan.Downloader) -> Действие не было предпринято.

2 ссылки на результат проверки приложите

 

 

Сделайте лог AdwCleaner
http://safezone.cc/threads/kratkaja-instrukcija-po-rabote-s-utilitoj-adwcleaner.22250/#post-160195

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five

Roman_Five

Опубликовано
Опубликовано

зачем выполнять всё ТАК избирательно?

 

 

 


Сделайте новые логи по правилам.

 

 


2 ссылки на результат проверки приложите

 

 


После удаления откройте лог и прикрепите его к сообщению.
Ссылка на комментарий
Поделиться на другие сайты
Xenon

Xenon

Опубликовано
Опубликовано (изменено)

@gaibatov05, не зря вам хелпер советует что-то сделать. Могут оставаться хвосты от заразы!

P.S. сорри за оффтоп

Изменено пользователем Xenon
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
gaibatov05

gaibatov05

Опубликовано
  • Автор
Опубликовано

Спасибо большое конечно)) просто кое-что я так и не понял до конца что как делать)) а переспрашивать нехочется чтоб лишний раз не напрягать))

 

Сообщение от модератора Roman_Five
Прописными не пишем!
Ссылка на комментарий
Поделиться на другие сайты
Roman_Five

Roman_Five

Опубликовано
Опубликовано

чисто.

 

логов AVZ и 2-х ссылок (по правде сказать, уже не актуальных) так и не дождались. 

 

для профилактики - http://virusinfo.info/showthread.php?t=73352

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five

Roman_Five

Опубликовано
Опубликовано

надо было всё это обновить:

 

 

Установите новый Internet Explorer
http://windows.microsoft.com/ru-ru/internet-explorer/download-ie

Накопительное обновление системы безопасности для битов аннулирования ActiveX
http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=dd7cc36b-bb4e-4548-8d9c-43c6dd6cb78e

Уязвимости драйверов режима ядра Windows делают возможным удаленное выполнение кода
http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=d0d8e289-2c71-4b40-9a1f-de2501c8d40e

Уязвимость общих элементов управления Windows делает возможным удаленное выполнение кода
http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=b1c185e9-5328-4bf7-b175-fd9d7fc64097
Для установки этого обновления требуется установить SP3 для Office 2007
http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=0E40BBE7-1422-40EA-912D-2A29D709F93F

Firefox 7.0.1 устарел. Удалите его или установите новый
http://www.mozilla.com/

Множественные уязвимости в Java JDK и JRE (32-разрядная версия). Деинсталлируйте старую версию и установите новую:
http://www.java.com/ru/download/manual_v6.jsp

Opera 11.64 устарела. Удалите её или установите новую
http://www.opera.com/browser/download

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five

Roman_Five

Опубликовано
Опубликовано

ещё не всё.

 

 

Установите новый Internet Explorer
http://windows.microsoft.com/ru-ru/internet-explorer/download-ie

Уязвимости драйверов режима ядра Windows делают возможным удаленное выполнение кода
http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=d0d8e289-2c71-4b40-9a1f-de2501c8d40e

Уязвимость общих элементов управления Windows делает возможным удаленное выполнение кода
http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=b1c185e9-5328-4bf7-b175-fd9d7fc64097

Множественные уязвимости в Java JDK и JRE (32-разрядная версия). Деинсталлируйте старую версию и установите новую:
http://www.java.com/ru/download/manual_v6.jsp

Opera 11.64 устарела. Удалите её или установите новую
http://www.opera.com/browser/download

  • Улыбнуло 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Хасан Абдурахман
      Касперский тормозит открытие сайтов.
      Автор Хасан Абдурахман
      Открываеш гугл. Кликаеш по ссылке на какой нибудь сайт . И ждешь, пока касперский решит его открыть. Иногда 3-5 минут ждешь. Аж вся душа выматывается.  
    • Михаил Ш.
      Подозрительный сайт tonzz3.ru
      Автор Михаил Ш.
      Обнаружил у себя в кэше на сервере подозрительные записи.
      KES стоит, подозрительной активности не наблюдаю, так что вроде бы сервер в порядке.
      Но данных по сайту в интернете нет.
      Главная страница это явно инжектор скриптов, что в таком виде как сейчас явно намекает на нелегитимное использование.
      Возможно из KSN можно получить больше полезной информации? и в случае подтверждения опасений внести в базу.
       
      Имена:
      tonzz3.ru
      hit.tonzz3.ru
      hitcrypt.tonzz3.ru
       
      P.S. не нашёл подходящей темы и выбрал текущую. Помощь с сервером не нужна.
      Сообщение от модератора kmscom тема перемещена из раздела Помощь в удалении вирусов
    • .gaudi
      Автозапуск терминала
      Автор .gaudi
      Добрый день!
       
      Возникла проблема. Каждый раз, когда включаю компьютер после завершения работы, режима сна или любого другого выключения, автоматически открывается окно терминала. В нем всего две строки. Обе гласят "Команда выполнена". Какая конкретно команда, не пишет. Товарищ предположил, что это может быть майнер. Пользуюсь подпиской Kaspersky Plus. Неоднократно проводил полную проверку, но антивирус проблемы не видит.
       
      Может ли это быть вирус, и, если да, как с ним бороться? 

      также выполнил полную проверку при помощи сервисов Dr. Web и ESET Online Scanner, они также не выявили проблемы

      Заранее спасибо.
    • setwolk
      Блокировка сайтов
      Автор setwolk
      Доброго времени суток.
      Поискал тут, тем много у всех свои проблемы, но такой темы не нашел...
      Подскажите как заблокировать конкретный сайт побывал уже здесь https://support.kaspersky.ru/kes-for-windows/12.9/128056 попробовал все, всё равно сайты открываются.
      Как правильно написать чтобы сайт точно залочился.
      Взял на примере ya.ru и dzen.ru
      Правило в самом верху, замки закрыты...
    • KL FC Bot
      Троян Efimer крадет криптовалюту через торренты и сайты на WordPress | Блог Касперского
      Автор KL FC Bot
      Если вы активно пользуетесь криптовалютой, но все еще качаете торренты и не представляете, как безопасно хранить сид-фразы, то у нас для вас плохие новости. Мы обнаружили новый троян Efimer, который подменяет адреса криптокошельков прямо в буфере обмена. Один клик — и деньги оказываются в кошельке злоумышленников.
      Рассказываем, что нужно сделать, чтобы ваша крипта оставалась в безопасности.
      Как распространяется Efimer
      Один из каналов распространения Efimer — сайты в системе WordPress. Ко всеобщему несчастью, WordPress — бесплатная и самая популярная система для управления веб-сайтами. Ею пользуются все: небольшие блогеры и бизнесы, крупные СМИ и корпорации. Злоумышленники взламывают плохо защищенные сайты и публикуют на них посты с зараженными торрентами.
      Как выглядит взломанный сайт на WordPress с Efimer
       
      View the full article
×
×
  • Создать...