EvgenyRU102 0 Опубликовано 14 мая, 2014 Share Опубликовано 14 мая, 2014 Здравствуйте, помогите пожалуйста избавиться вирусов. Реклама в браузерах, медленно работает компьютер и интернет соединение. Проверял утилитой CureIt - нашел несколько угроз, вылечил/удалил. Но проблема осталась, проверил еще раз через пару дней после обновления утилиты - угроз не обнаружено. Буду весьма благодарен за любую помощь. virusinfo_syscheck.zip virusinfo_syscure.zip info.txt log.txt Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 14 мая, 2014 Share Опубликовано 14 мая, 2014 Здравствуйте! Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть. R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1396340069&from=amt&uid=ST1000DM003-9YN162_S1D01L46XXXXS1D01L46 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1396340069&from=amt&uid=ST1000DM003-9YN162_S1D01L46XXXXS1D01L46 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1396340069&from=amt&uid=ST1000DM003-9YN162_S1D01L46XXXXS1D01L46 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:9880 O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file) O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file) Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteAVUpdate; ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(true); end; ClearQuarantine; TerminateProcessByName('c:\users\Компьютория\appdata\local\pirritsuggestor\pirritservice.exe'); TerminateProcessByName('c:\users\Компьютория\appdata\local\pirritsuggestor\pirritdesktop.exe'); SetServiceStart('PirritDesktop', 4); StopService('PirritDesktop'); QuarantineFile('C:\Users\Компьютория\AppData\Local\PirritSuggestor\RegFltrX64.sys',''); QuarantineFile('c:\users\Компьютория\appdata\local\pirritsuggestor\pirritservice.exe',''); QuarantineFile('c:\users\Компьютория\appdata\local\pirritsuggestor\pirritdesktop.exe',''); DeleteFile('c:\users\Компьютория\appdata\local\pirritsuggestor\pirritdesktop.exe','32'); DeleteFile('C:\Users\Компьютория\AppData\Local\PirritSuggestor\RegFltrX64.sys','32'); DeleteFile('C:\Users\Компьютория\AppData\Local\PirritSuggestor\PirritService.exe','32'); DeleteService('PirritDesktop'); DeleteFileMask('c:\users\Компьютория\appdata\local\pirritsuggestor', '*', true, ' '); DeleteDirectory('c:\users\Компьютория\appdata\local\pirritsuggestor'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(false); end. Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте через данную форму. 1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе. Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. 1 Ссылка на сообщение Поделиться на другие сайты
EvgenyRU102 0 Опубликовано 14 мая, 2014 Автор Share Опубликовано 14 мая, 2014 Hello,This message is generated by automatic letter reception system. The report contains information on what the verdicts on the files (if any in the letter) makes antivirus with latest updates. Letter will be passed to the virus analyst. If you are a licensed Kaspersky Lab customer, we recommend that you send the files to be scanned to the Virus Lab, using your profile: https://my.kaspersky.com/en/support/viruslab. This option is available for the Licensed Kaspersky Lab customers only. All files received from users who don't have a license will be processed automatically in the common queue order. No reply from virus analysts will be provided.pirritdesktop.exe - not-a-virus:AdWare.Win32.Tirrip.apirritservice.exe - not-a-virus:AdWare.Win32.Tirrip.bThese files are Advertizing Tools, theirs detection will be included in the next update of extended databases set. See more info about extended databases here: http://www.kaspersky.com/extraavupdatesRegFltrX64.sysNo malicious code was found in this file.Best Regards, Kaspersky Lab"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com"--------------------------------------------------------------------------------From: umtius@gmail.comSent: 14.05.2014 14:35:27To: newvirus@kaspersky.comSubject: [VirLabSRF][Malicious file analysis][M:1][LN:RU][L:0]LANG: ruemail: umtius@gmail.comdescription:Выполняется запрос хэлпераЗагруженные файлы:quarantine.zip AdwCleanerR0.txt Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 14 мая, 2014 Share Опубликовано 14 мая, 2014 запустите повторную проверку в AdwCleaner и по её окончании снимите отметки с элементов Mail.ru и Yandex (если они Вам нужны). нажмите Clean полученный лог после перезагрузки приложите. сделайте новые логи по правилам. Ссылка на сообщение Поделиться на другие сайты
EvgenyRU102 0 Опубликовано 14 мая, 2014 Автор Share Опубликовано 14 мая, 2014 Новые логи AdwCleanerR3.txt Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 14 мая, 2014 Share Опубликовано 14 мая, 2014 сделайте новые логи по правилам. ? повторите удаление при выгруженном Хроме: Найдено [Search Provider] : hxxp://istart.webssearches.com/web/?type=ds&ts=1396340069&from=amt&uid=ST1000DM003-9YN162_S1D01L46XXXXS1D01L46&q={searchTerms} Найдено [Search Provider] : hxxp://search.qip.ru/search/?query={searchTerms}&from=os Найдено [Search Provider] : hxxp://istart.webssearches.com/web/?type=ds&ts=1396340069&from=amt&uid=ST1000DM003-9YN162_S1D01L46XXXXS1D01L46&q={searchTerms} Найдено [Startup_urls] : hxxp://istart.webssearches.com/?type=hp&ts=1396340069&from=amt&uid=ST1000DM003-9YN162_S1D01L46XXXXS1D01L46 Ссылка на сообщение Поделиться на другие сайты
EvgenyRU102 0 Опубликовано 14 мая, 2014 Автор Share Опубликовано 14 мая, 2014 Лог очистки, забыл прилепить сразу AdwCleanerS0.txt Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 14 мая, 2014 Share Опубликовано 14 мая, 2014 читайте мой предыдущий пост и выполняйте. Ссылка на сообщение Поделиться на другие сайты
EvgenyRU102 0 Опубликовано 14 мая, 2014 Автор Share Опубликовано 14 мая, 2014 # AdwCleaner v3.208 - Отчёт создан 14/05/2014 at 21:40:00 # Обновлено 11/05/2014 by Xplode # Операционная система : Windows 7 Home Basic Service Pack 1 (64 bits) # Имя пользователя : Компьютория - КОМПЬЮТОРИЯ-ПК # Запущено из : C:\Users\Компьютория\Desktop\adwcleaner.exe # Настройки : Очистить ***** [ Службы ] ***** ***** [ Файлы / Папки ] ***** Папка Удалена : C:\Users\Компьютория\AppData\Local\Yandex Папка Удалена : C:\Users\Компьютория\AppData\LocalLow\Yandex Папка Удалена : C:\Users\Компьютория\AppData\Roaming\Yandex Папка Удалена : C:\Users\Компьютория\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex ***** [ Ярлыки ] ***** ***** [ Реестр ] ***** ***** [ Браузеры ] ***** -\\ Internet Explorer v11.0.9600.17041 -\\ Mozilla Firefox v -\\ Google Chrome v34.0.1847.131 [ Файл : C:\Users\Компьютория\AppData\Local\Google\Chrome\User Data\Default\preferences ] Удалён [Search Provider] : hxxp://istart.webssearches.com/web/?type=ds&ts=1396340069&from=amt&uid=ST1000DM003-9YN162_S1D01L46XXXXS1D01L46&q={searchTerms} Удалён [Search Provider] : hxxp://search.qip.ru/search/?query={searchTerms}&from=os Удалён [Search Provider] : hxxp://istart.webssearches.com/web/?type=ds&ts=1396340069&from=amt&uid=ST1000DM003-9YN162_S1D01L46XXXXS1D01L46&q={searchTerms} Удалён [Startup_urls] : hxxp://istart.webssearches.com/?type=hp&ts=1396340069&from=amt&uid=ST1000DM003-9YN162_S1D01L46XXXXS1D01L46 ************************* AdwCleaner[R4].txt - [1634 octets] - [14/05/2014 21:39:39] Это то что открылось после перезагрузки. А это то что открылось после создания новых логов (яндекс установил заново перед проверкой, потому как другими браузерами не пользуюсь, только им. А постить в тему же нужно с чего-то (= ): # AdwCleaner v3.208 - Отчёт создан 14/05/2014 at 21:47:19 # Обновлено 11/05/2014 by Xplode # Операционная система : Windows 7 Home Basic Service Pack 1 (64 bits) # Имя пользователя : Компьютория - КОМПЬЮТОРИЯ-ПК # Запущено из : C:\Users\Компьютория\Desktop\adwcleaner.exe # Настройки : Сканировать ***** [ Службы ] ***** ***** [ Файлы / Папки ] ***** Папка Найдено : C:\Users\Компьютория\AppData\Local\Yandex Папка Найдено : C:\Users\Компьютория\AppData\LocalLow\Yandex Папка Найдено : C:\Users\Компьютория\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex Папка Найдено : C:\Users\Компьютория\AppData\Roaming\Yandex ***** [ Ярлыки ] ***** ***** [ Реестр ] ***** ***** [ Браузеры ] ***** -\\ Internet Explorer v11.0.9600.17041 -\\ Mozilla Firefox v -\\ Google Chrome v34.0.1847.131 [ Файл : C:\Users\Компьютория\AppData\Local\Google\Chrome\User Data\Default\preferences ] ************************* AdwCleaner[R4].txt - [1634 octets] - [14/05/2014 21:39:39] AdwCleaner[R5].txt - [1023 octets] - [14/05/2014 21:47:19] AdwCleaner[S1].txt - [1687 octets] - [14/05/2014 21:40:00] ########## EOF - C:\AdwCleaner\AdwCleaner[R5].txt - [1143 octets] ########## Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 14 мая, 2014 Share Опубликовано 14 мая, 2014 Папка Удалена : C:\Users\Компьютория\AppData\Local\Yandex зачем? а где новые логи по правилам (прошу 3-й раз)? http://forum.kasperskyclub.ru/index.php?showtopic=31551 Ссылка на сообщение Поделиться на другие сайты
EvgenyRU102 0 Опубликовано 14 мая, 2014 Автор Share Опубликовано 14 мая, 2014 А вы имеете ввиду все все логи новые... Извините, я подумал, что вы говорите о логах только с последней проги. Ща сделаем все как положено. Новые логи. Вопрос: У меня на компьютере установлены две программы: Антивирус Касперского и фаервол Comodo. Они случайно не конфликтуют? virusinfo_syscheck.zip virusinfo_syscure.zip info.txt log.txt 1 Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 14 мая, 2014 Share Опубликовано 14 мая, 2014 У меня на компьютере установлены две программы: Антивирус Касперского и фаервол Comodo. Они случайно не конфликтуют? у Вас стоит COMODO Internet Security, а не Comodo Firewall ! определитесь, что будете использовать. второе - деинсталлируйте. по зловредам - чисто. Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 14 мая, 2014 Share Опубликовано 14 мая, 2014 Что в этих папках? 2014-04-01 14:15:11 ----D---- C:\Program Files (x86)\PCData 2014-04-01 14:15:10 ----D---- C:\Program Files (x86)\GamesRS Ссылка на сообщение Поделиться на другие сайты
EvgenyRU102 0 Опубликовано 15 мая, 2014 Автор Share Опубликовано 15 мая, 2014 У меня на компьютере установлены две программы: Антивирус Касперского и фаервол Comodo. Они случайно не конфликтуют? у Вас стоит COMODO Internet Security, а не Comodo Firewall ! определитесь, что будете использовать. второе - деинсталлируйте. по зловредам - чисто. Хорошо. Спасибо. Что в этих папках? 2014-04-01 14:15:11 ----D---- C:\Program Files (x86)\PCData 2014-04-01 14:15:10 ----D---- C:\Program Files (x86)\GamesRS Не знаю =( Файлы какие-то. Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 15 мая, 2014 Share Опубликовано 15 мая, 2014 вручную удалите эти папки Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения