Igor Edush Опубликовано 30 сентября, 2014 Опубликовано 30 сентября, 2014 В контакт вообще не мог войти, невозможно было написать пароль. Проверил Cureit , восстановил hosts с помощью Fix It , вошел кое как в контакт, но по ссылкам переключаться не могу, т.е. друзья, сообщения и др. нажимаю, не реагирует вообще. Антивирусом Avast проверял при загрузке, тоже не помогло. CollectionLog-2014.09.30-21.06.zip
mike 1 Опубликовано 30 сентября, 2014 Опубликовано 30 сентября, 2014 Здравствуйте! Деинсталлируйте: Advanced-System Protector-->"C:\Program Files\ASP\unins000.exe" Smileys We Love Toolbar for IE-->MsiExec.exe /I{5D57E386-D294-41BA-9146-FADE0C76EB2A} Video Downloader version 1.5-->"C:\Program Files\Video Downloader\unins000.exe" PicRec-->"C:\Program Files\Common Files\PicRec\PicRecHelper\uninstall.exe"Weatherbar-->MsiExec.exe /I{BE742AE3-0C95-46CC-B5C8-9F942FDD9360 Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(true); end; ClearQuarantine; TerminateProcessByName('c:\windows\temp\mrt4a38.tmp\stdrt.exe'); TerminateProcessByName('c:\program files\common files\picrec\picrechelper\picrecs.exe'); TerminateProcessByName('c:\windows\microsoft\updatingservice\newversiondownloader.exe'); SetServiceStart('PICRUpdd', 4); SetServiceStart('netmon_wfp', 4); SetServiceStart('UpdatingService', 4); SetServiceStart('picrecupd', 4); StopService('PICRUpdd'); StopService('netmon_wfp'); StopService('UpdatingService'); StopService('picrecupd'); QuarantineFile('C:\Users\Garsik\AppData\Local\Google\Chrome\User Data\Default\Extentions_Protect\Pl.exe',''); QuarantineFile('C:\Windows\System32\сtfmon.exe',''); QuarantineFile('C:\Program Files\Mobogenie\DaemonProcess.exe',''); QuarantineFile('C:\Program Files\Common Files\PicRec\PicRecHelper\picrdrw.sys',''); QuarantineFile('C:\Windows\system32\drivers\netmon_wfp.sys',''); QuarantineFile('c:\windows\temp\mrt4a38.tmp\stdrt.exe',''); QuarantineFile('c:\program files\common files\picrec\picrechelper\picrecs.exe',''); QuarantineFile('c:\windows\microsoft\updatingservice\newversiondownloader.exe',''); DeleteFile('c:\windows\temp\mrt4a38.tmp\stdrt.exe','32'); DeleteFile('C:\Windows\system32\drivers\netmon_wfp.sys','32'); DeleteFile('C:\Program Files\Common Files\PicRec\PicRecHelper\picrdrw.sys','32'); DeleteFile('C:\Program Files\Common Files\PicRec\PicRecHelper\picrecs.exe','32'); DeleteFile('C:\Windows\Microsoft\UpdatingService\NewVersionDownloader.exe','32'); DeleteFile('C:\Program Files\Mobogenie\DaemonProcess.exe','32'); DeleteFile('C:\Windows\System32\сtfmon.exe','32'); DeleteFile('C:\Windows\system32\Tasks\Advanced-System Protector_startup','32'); DeleteFile('C:\Windows\system32\Tasks\ASP','32'); DeleteFile('C:\Windows\system32\Tasks\LaunchSignup','32'); DeleteFile('C:\Windows\system32\Tasks\skidki','32'); DeleteFile('C:\Users\Garsik\AppData\Local\Google\Chrome\User Data\Default\Extentions_Protect\Pl.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\сtfmоn.exe','command'); DeleteService('PICRUpdd'); DeleteService('netmon_wfp'); DeleteService('UpdatingService'); DeleteService('picrecupd'); DeleteFileMask('C:\Users\Garsik\AppData\Local\Google\Chrome\User Data\Default\Extentions_Protect', '*', true, ' '); DeleteFileMask('C:\Windows\Microsoft\UpdatingService', '*', true, ' '); DeleteFileMask('C:\supermegabest', '*', true, ' '); DeleteFileMask('C:\Program Files\tooldev342', '*', true, ' '); DeleteDirectory('C:\Users\Garsik\AppData\Local\Google\Chrome\User Data\Default\Extentions_Protect'); DeleteDirectory('C:\Windows\Microsoft\UpdatingService'); DeleteDirectory('C:\supermegabest'); DeleteDirectory('C:\Program Files\tooldev342'); ExecuteSysClean; ExecuteWizard('SCU', 2, 2, true); BC_Activate; ExecuteRepair(2); RebootWindows(false); end. Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте через данную форму. 1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать). R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=2511eb2f6586ef1ee7724b786b798f63&text={searchTerms} R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=2511eb2f6586ef1ee7724b786b798f63&text={searchTerms} R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.sweet-page.com/web/?type=ds&ts=1410072995&from=cor&uid=HitachiXHDS721010CLA332_JP9921HD34520H34520HX&q={searchTerms} R3 - URLSearchHook: (no name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - (no file) O2 - BHO: SmileysWeLoveToolbar - {E4EF8A64-0A30-48F5-B3FE-5FDA978DA775} - C:\Program Files\Smileys We Love Toolbar for IE\adxloader.dll O3 - Toolbar: SmileysWeLove - {CF0F43AB-9C23-4D7B-8040-201B82844854} - C:\Program Files\Smileys We Love Toolbar for IE\adxloader.dll Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе. Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. Скачайте FixerBro by glax 24 и сохраните архив с утилитой на Рабочем столе Распакуйте архив с утилитой в отдельную папку Запустите FixerBroОбратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да В главном окне программы нажмите на кнопку "Проверить" Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\FixerBro (лог в формате FixerBro_yyyymmdd.txt) По окончанию сканирования нажмите на кнопку "Отчет". Сохраните лог утилиты Прикрепите сохраненный отчет в вашей теме.
Igor Edush Опубликовано 30 сентября, 2014 Автор Опубликовано 30 сентября, 2014 Подскажите, а где это удалять - Smileys We Love Toolbar for IE-->MsiExec.exe /I{5D57E386-D294-41BA-9146-FADE0C76EB2A} и это - Weatherbar-->MsiExec.exe /I{BE742AE3-0C95-46CC-B5C8-9F942FDD9360
mike 1 Опубликовано 30 сентября, 2014 Опубликовано 30 сентября, 2014 Панель управления => Установка и удаление программ. Если не найдете ее в списке установленных программ тогда просто пропускайте этот шаг.
Igor Edush Опубликовано 30 сентября, 2014 Автор Опубликовано 30 сентября, 2014 quarantine.zip из папки AVZ отправьте через данную форму. 1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) здесь тоже по ссылке перехожу, а там такого нет, что делать? http://pikucha.ru/idAPY
mike 1 Опубликовано 30 сентября, 2014 Опубликовано 30 сентября, 2014 Выберите "Запрос в вирусную лабораторию".
Igor Edush Опубликовано 30 сентября, 2014 Автор Опубликовано 30 сентября, 2014 А какой карантин нужно брать, откуда ?
mike 1 Опубликовано 30 сентября, 2014 Опубликовано 30 сентября, 2014 В 5 посте найдете ответ на этот вопрос. 1
Igor Edush Опубликовано 1 октября, 2014 Автор Опубликовано 1 октября, 2014 KLAN-2011695087 netmon_wfp.sys, newversiondownloader.exe,Pl.exeПолучен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.stdrt.exeВредоносный код в файле не обнаружен.С уважением, Лаборатория Касперского AdwCleanerR2.txt FixerBro_20141001.txt
Roman_Five Опубликовано 1 октября, 2014 Опубликовано 1 октября, 2014 запустите повторно на поиск AdwCleaner и нажмите очистить (снимите галочки с элементов Mail.ru - если нужны). при новом запуске FixerBro - выберите "исправить". новые логи приложите. + стандартный набор логов.
Igor Edush Опубликовано 1 октября, 2014 Автор Опубликовано 1 октября, 2014 Новые логи прилагаю AdwCleanerR5.txt AdwCleanerS2.txt FixerBro_20141001.txt CollectionLog-2014.10.01-14.55.zip
Roman_Five Опубликовано 1 октября, 2014 Опубликовано 1 октября, 2014 вручную удалите: 2014-09-30 00:00:00 ----A---- C:\Users\Garsik\AppData\Roaming\maxfly.tmp 2014-09-29 10:24:48 ----D---- C:\Users\Garsik\AppData\Roaming\smileyswelove 2014-08-21 17:21:21 ----A---- C:\Windows\system32\Maddy Mad - С Мечтой О Лучшем (Ссылка Для Скачивания Http - - Rghost. Ru - 5386188) (Тэги Рэп, Rap, Рэпчик, Хип - Хоп, Hip - Hop, Лирика, Lyric, Музыка, Music, Мэдди Мэд, Медди, Мед, Ист, East, Табу,.lnk C:\Users\Garsik\AppData\Local\Google\Chrome\User Data\Default\Extensions\eofcbnmajmjmplflapaojjnihcjkigck C:\Users\Garsik\AppData\Local\Google\Chrome\User Data\Default\Extensions\jpfpebmajhhopeonhlcgidhclcccjcik C:\Users\Garsik\AppData\Roaming\Crx\Files\ifpjamfehjeobjanpappgckkmnhjnpgi_0.0.1.crx проверьте на virustotal.com C:\Windows\system32\sasnative32.exe ссылку на результат проверки приложите. + новый лог FixerBro что с проблемой?
Igor Edush Опубликовано 1 октября, 2014 Автор Опубликовано 1 октября, 2014 В контакт уже захожу нормально. Спасибо всем большое за помощь. https://www.virustotal.com/ru/file/bf28a8eb57684f7819ae1c76282d26356590559f827eddb576662bada1d2c9fc/analysis/1412162931/ FixerBro_20141001.txt
Roman_Five Опубликовано 1 октября, 2014 Опубликовано 1 октября, 2014 удалите ярлык C:\Users\Garsik\Desktop\Программы\Войти в Интернет.lnk 1
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти