Медленно работает интернет. Навязчивая реклама в браузерах.

[EvgenyRU102]

Здравствуйте, помогите пожалуйста избавиться вирусов. Реклама в браузерах, медленно работает компьютер и интернет соединение. Проверял утилитой CureIt - нашел несколько угроз, вылечил/удалил. Но проблема осталась, проверил еще раз через пару дней после обновления утилиты - угроз не обнаружено. Буду весьма благодарен за любую помощь.

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

[mike 1]

Здравствуйте! 

 

Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1396340069&from=amt&uid=ST1000DM003-9YN162_S1D01L46XXXXS1D01L46
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1396340069&from=amt&uid=ST1000DM003-9YN162_S1D01L46XXXXS1D01L46
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1396340069&from=amt&uid=ST1000DM003-9YN162_S1D01L46XXXXS1D01L46
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:9880
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
 ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 TerminateProcessByName('c:\users\Компьютория\appdata\local\pirritsuggestor\pirritservice.exe');
 TerminateProcessByName('c:\users\Компьютория\appdata\local\pirritsuggestor\pirritdesktop.exe');
 SetServiceStart('PirritDesktop', 4);
 StopService('PirritDesktop');
 QuarantineFile('C:\Users\Компьютория\AppData\Local\PirritSuggestor\RegFltrX64.sys','');
 QuarantineFile('c:\users\Компьютория\appdata\local\pirritsuggestor\pirritservice.exe','');
 QuarantineFile('c:\users\Компьютория\appdata\local\pirritsuggestor\pirritdesktop.exe','');
 DeleteFile('c:\users\Компьютория\appdata\local\pirritsuggestor\pirritdesktop.exe','32');
 DeleteFile('C:\Users\Компьютория\AppData\Local\PirritSuggestor\RegFltrX64.sys','32');
 DeleteFile('C:\Users\Компьютория\AppData\Local\PirritSuggestor\PirritService.exe','32');
 DeleteService('PirritDesktop');
 DeleteFileMask('c:\users\Компьютория\appdata\local\pirritsuggestor', '*', true, ' ');
 DeleteDirectory('c:\users\Компьютория\appdata\local\pirritsuggestor');    
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(false);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

•  

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.

• Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

 

 

[EvgenyRU102]

Hello,

This message is generated by automatic letter reception system. The report contains information on what the verdicts on the files (if any in the letter) makes antivirus with latest updates. Letter will be passed to the virus analyst.  If you are a licensed Kaspersky Lab customer, we recommend that you send the files to be scanned to the Virus Lab, using your profile: https://my.kaspersky.com/en/support/viruslab.  This option is available for the Licensed Kaspersky Lab customers only. All files received from users who don't have a license will be processed automatically in the common queue order. No reply from virus analysts will be provided.

pirritdesktop.exe - not-a-virus:AdWare.Win32.Tirrip.a
pirritservice.exe - not-a-virus:AdWare.Win32.Tirrip.b

These files are Advertizing Tools, theirs detection will be included in the next   update of extended databases set. See more info about   extended databases here: http://www.kaspersky.com/extraavupdates

RegFltrX64.sys

No malicious code was found in this file.

Best Regards, Kaspersky Lab

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700  http://www.kaspersky.com http://www.viruslist.com"


--------------------------------------------------------------------------------
From: umtius@gmail.com
Sent: 14.05.2014 14:35:27
To: newvirus@kaspersky.com
Subject: [VirLabSRF][Malicious file analysis][M:1][LN:RU][L:0]


LANG: ru
email: umtius@gmail.com

description:
Выполняется запрос хэлпера

Загруженные файлы:
quarantine.zip

AdwCleanerR0.txt

[Roman_Five]

запустите повторную проверку в AdwCleaner и по её окончании снимите отметки с элементов Mail.ru и Yandex (если они Вам нужны).

нажмите Clean

полученный лог после перезагрузки приложите.

 

сделайте новые логи по правилам.

[EvgenyRU102]

Новые логи

 

 

AdwCleanerR3.txt

[Roman_Five]

сделайте новые логи по правилам.

?

повторите удаление при выгруженном Хроме:

Найдено [Search Provider] : hxxp://istart.webssearches.com/web/?type=ds&ts=1396340069&from=amt&uid=ST1000DM003-9YN162_S1D01L46XXXXS1D01L46&q={searchTerms}
Найдено [Search Provider] : hxxp://search.qip.ru/search/?query={searchTerms}&from=os
Найдено [Search Provider] : hxxp://istart.webssearches.com/web/?type=ds&ts=1396340069&from=amt&uid=ST1000DM003-9YN162_S1D01L46XXXXS1D01L46&q={searchTerms}
Найдено [Startup_urls] : hxxp://istart.webssearches.com/?type=hp&ts=1396340069&from=amt&uid=ST1000DM003-9YN162_S1D01L46XXXXS1D01L46

[EvgenyRU102]

Лог очистки, забыл прилепить сразу

AdwCleanerS0.txt

[Roman_Five]

читайте мой предыдущий пост и выполняйте.

[EvgenyRU102]

# AdwCleaner v3.208 - Отчёт создан 14/05/2014 at 21:40:00
# Обновлено 11/05/2014 by Xplode
# Операционная система : Windows 7 Home Basic Service Pack 1 (64 bits)
# Имя пользователя : Компьютория - КОМПЬЮТОРИЯ-ПК
# Запущено из : C:\Users\Компьютория\Desktop\adwcleaner.exe
# Настройки : Очистить

***** [ Службы ] *****


***** [ Файлы / Папки ] *****

Папка Удалена : C:\Users\Компьютория\AppData\Local\Yandex
Папка Удалена : C:\Users\Компьютория\AppData\LocalLow\Yandex
Папка Удалена : C:\Users\Компьютория\AppData\Roaming\Yandex
Папка Удалена : C:\Users\Компьютория\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex

***** [ Ярлыки ] *****


***** [ Реестр ] *****


***** [ Браузеры ] *****

-\\ Internet Explorer v11.0.9600.17041


-\\ Mozilla Firefox v

-\\ Google Chrome v34.0.1847.131

[ Файл : C:\Users\Компьютория\AppData\Local\Google\Chrome\User Data\Default\preferences ]

Удалён [Search Provider] : hxxp://istart.webssearches.com/web/?type=ds&ts=1396340069&from=amt&uid=ST1000DM003-9YN162_S1D01L46XXXXS1D01L46&q={searchTerms}
Удалён [Search Provider] : hxxp://search.qip.ru/search/?query={searchTerms}&from=os
Удалён [Search Provider] : hxxp://istart.webssearches.com/web/?type=ds&ts=1396340069&from=amt&uid=ST1000DM003-9YN162_S1D01L46XXXXS1D01L46&q={searchTerms}
Удалён [Startup_urls] : hxxp://istart.webssearches.com/?type=hp&ts=1396340069&from=amt&uid=ST1000DM003-9YN162_S1D01L46XXXXS1D01L46

*************************

AdwCleaner[R4].txt - [1634 octets] - [14/05/2014 21:39:39]

Это то что открылось после перезагрузки.

 

А это то что открылось после создания новых логов (яндекс установил заново перед проверкой, потому как другими браузерами не пользуюсь, только им. А постить в тему же нужно с чего-то (= ):

# AdwCleaner v3.208 - Отчёт создан 14/05/2014 at 21:47:19
# Обновлено 11/05/2014 by Xplode
# Операционная система : Windows 7 Home Basic Service Pack 1 (64 bits)
# Имя пользователя : Компьютория - КОМПЬЮТОРИЯ-ПК
# Запущено из : C:\Users\Компьютория\Desktop\adwcleaner.exe
# Настройки : Сканировать

***** [ Службы ] *****


***** [ Файлы / Папки ] *****

Папка Найдено : C:\Users\Компьютория\AppData\Local\Yandex
Папка Найдено : C:\Users\Компьютория\AppData\LocalLow\Yandex
Папка Найдено : C:\Users\Компьютория\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex
Папка Найдено : C:\Users\Компьютория\AppData\Roaming\Yandex

***** [ Ярлыки ] *****


***** [ Реестр ] *****


***** [ Браузеры ] *****

-\\ Internet Explorer v11.0.9600.17041


-\\ Mozilla Firefox v

-\\ Google Chrome v34.0.1847.131

[ Файл : C:\Users\Компьютория\AppData\Local\Google\Chrome\User Data\Default\preferences ]


*************************

AdwCleaner[R4].txt - [1634 octets] - [14/05/2014 21:39:39]
AdwCleaner[R5].txt - [1023 octets] - [14/05/2014 21:47:19]
AdwCleaner[S1].txt - [1687 octets] - [14/05/2014 21:40:00]

########## EOF - C:\AdwCleaner\AdwCleaner[R5].txt - [1143 octets] ##########

[Roman_Five]

 

 

Папка Удалена : C:\Users\Компьютория\AppData\Local\Yandex

зачем? 

 

а где новые логи по правилам (прошу 3-й раз)?

http://forum.kasperskyclub.ru/index.php?showtopic=31551

[EvgenyRU102]

А вы имеете ввиду все все логи новые... Извините, я подумал, что вы говорите о логах только с последней проги. Ща сделаем все как положено.

Новые логи.

 

Вопрос: У меня на компьютере установлены две программы: Антивирус Касперского и фаервол Comodo. Они случайно не конфликтуют?

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

[Roman_Five]

 

 

У меня на компьютере установлены две программы: Антивирус Касперского и фаервол Comodo. Они случайно не конфликтуют?

у Вас стоит COMODO Internet Security, а не Comodo Firewall !

 

определитесь, что будете использовать. второе - деинсталлируйте.

 

по зловредам - чисто.

[mike 1]

Что в этих папках?

 

 

2014-04-01 14:15:11 ----D---- C:\Program Files (x86)\PCData

2014-04-01 14:15:10 ----D---- C:\Program Files (x86)\GamesRS

[EvgenyRU102]

 

У меня на компьютере установлены две программы: Антивирус Касперского и фаервол Comodo. Они случайно не конфликтуют?

у Вас стоит COMODO Internet Security, а не Comodo Firewall !

 

определитесь, что будете использовать. второе - деинсталлируйте.

 

по зловредам - чисто.

 

 

 

Хорошо. Спасибо.

 

Что в этих папках?

 

 

2014-04-01 14:15:11 ----D---- C:\Program Files (x86)\PCData

2014-04-01 14:15:10 ----D---- C:\Program Files (x86)\GamesRS

 

Не знаю =( Файлы какие-то.

[Roman_Five]

вручную удалите эти папки