Procyon-man Опубликовано 7 октября, 2014 Опубликовано 7 октября, 2014 Здравствуйте! Проблема: реклама открывается при открытии браузера и при нажатии любой ссылки в сохраненных вкладках. В свойствах ярлыка браузера, в самом названии, прописалась ссылка на страницу с рекламой. З.Ы. Тут были похожие темы, но нет уверенности в полном совпадении. Если что - извиняюсь. Помогите, пожалуйста. т_т CollectionLog-2014.10.07-14.53.zip
mike 1 Опубликовано 7 октября, 2014 Опубликовано 7 октября, 2014 Здравствуйте! А вы в курсе что у вас еще похоже шифратор работает на горячую. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(true); end; ClearQuarantine; TerminateProcessByName('c:\users\procyon\appdata\local\microsoft\windows\system.exe'); QuarantineFileF('C:\Users\Procyon\AppData\Roaming\Mail.RU NewGamesT', '*', true, ' ', 0, 0); QuarantineFileF('C:\Users\Procyon\AppData\Roaming\Microsoft DB', '*', true, ' ', 0, 0); QuarantineFileF('C:\Users\Procyon\AppData\Roaming\runWIN', '*', true, ' ', 0, 0); QuarantineFileF('C:\Users\Procyon\AppData\Roaming\ICL', '*', true, ' ', 0, 0); QuarantineFile('C:\Users\Procyon\AppData\Roaming\runWIN\Update.exe',''); QuarantineFile('C:\Users\Procyon\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe',''); QuarantineFile('C:\Program Files (x86)\Internet Explorer\iexplore.exe.bat',''); QuarantineFile('C:\Program Files (x86)\Google\Chrome\Application\chrome.exe.bat',''); QuarantineFile('c:\users\procyon\appdata\local\microsoft\windows\system.exe',''); DeleteFile('C:\Program Files (x86)\Google\Chrome\Application\chrome.exe.bat','32'); DeleteFile('C:\Program Files (x86)\Internet Explorer\iexplore.exe.bat','32'); DeleteFile('C:\Users\Procyon\AppData\Local\Microsoft\Windows\system.exe','32'); DeleteFile('C:\Users\Procyon\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','32'); DeleteFile('C:\Users\Procyon\AppData\Roaming\runWIN\update.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SystemScript'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','RuningWIN32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NewLoadSystemWIN32'); DeleteFileMask('C:\Users\Procyon\AppData\Roaming\Mail.RU NewGamesT', '*', true, ' '); DeleteFileMask('C:\Users\Procyon\AppData\Roaming\runWIN', '*', true, ' '); DeleteFileMask('C:\Users\Procyon\AppData\Roaming\Microsoft DB', '*', true, ' '); DeleteFileMask('C:\Users\Procyon\AppData\Roaming\ICL', '*', true, ' '); DeleteDirectory('C:\Users\Procyon\AppData\Roaming\Mail.RU NewGamesT'); DeleteDirectory('C:\Users\Procyon\AppData\Roaming\runWIN'); DeleteDirectory('C:\Users\Procyon\AppData\Roaming\Microsoft DB'); DeleteDirectory('C:\Users\Procyon\AppData\Roaming\ICL'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end. Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте через данную форму. 1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать). O4 - HKCU\..\Run: [LoaderSystemWIN] C:\Users\Procyon\AppData\Roaming\runWIN\Update.exe O4 - HKCU\..\Run: [RuningWIN32] C:\Users\Procyon\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe O4 - HKCU\..\Run: [SystemScript] "C:\Users\Procyon\AppData\Local\Microsoft\Windows\system.exe" O4 - HKCU\..\Run: [NewLoadSystemWIN32] C:\Users\Procyon\AppData\Roaming\runWIN\update.exe O4 - Startup: runWIN.exe Сделайте новые логи Скачайте FixerBro by glax 24 и сохраните архив с утилитой на Рабочем столе Распакуйте архив с утилитой в отдельную папку Запустите FixerBroОбратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да В главном окне программы нажмите на кнопку "Проверить" Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\FixerBro (лог в формате FixerBro_yyyymmdd.txt) По окончанию сканирования нажмите на кнопку "Отчет". Сохраните лог утилиты Прикрепите сохраненный отчет в вашей теме.
Procyon-man Опубликовано 7 октября, 2014 Автор Опубликовано 7 октября, 2014 Done! KLAN-2033883395 chrome.exe.bat,data.dat,IconCry.ico,iexplore.exe.bat,Profile,Profile.tmp,runWIN.exe,system.exe,tiket.exeПолучен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.TiketHelper.dllВредоносный код в файле не обнаружен.Update.exe - not-a-virus:RiskTool.MSIL.Agent.buЭто - потенциально опасное ПО. Детектирование файла будет добавлено в следующее обновление. 2. В HiJackThis указанных строк не было. (На всякий случай, этот лог тоже отправляю). (Спасибо, что помогаете! Огромное!) FixerBro_20141007.txt hijackthis.log CollectionLog-2014.10.07-17.28.zip
mike 1 Опубликовано 7 октября, 2014 Опубликовано 7 октября, 2014 Запустите повторно FixerBro by glax24.Обратите внимание, что утилиты необходимо запускать через правую кн. мыши от имени администратора, на Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да Нажмите на кнопку "Проверить", а по окончанию сканирования поставьте галочки напротив следующих строк и нажмите на кнопку Исправить. Дождитесь окончания удаления. C:\Users\Procyon\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk [C:\Program Files (x86)\Internet Explorer\iexplore.exe.bat "http://1kanal.org/?src=hp1" - (Объект запуска не найден)] C:\Users\Procyon\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk [C:\Program Files (x86)\Internet Explorer\iexplore.exe.bat "http://1kanal.org/?src=hp1" - (Объект запуска не найден)] C:\Users\Procyon\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk [C:\Program Files (x86)\Google\Chrome\Application\chrome.exe.bat "http://1kanal.org/?src=hp1" - (Объект запуска не найден)] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk [C:\Program Files (x86)\Google\Chrome\Application\chrome.exe.bat "http://1kanal.org/?src=hp1" - (Объект запуска не найден)] Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\FixerBro. (Лог в формате FixerBro_yyyymmdd.txt). По окончанию удаления нажмите на кнопку "Отчет" Сохраните лог утилиты Прикрепите сохраненный отчет в вашей теме. Скачайте SITLog и сохраните архив с утилитой на Рабочем столе Распакуйте архив с утилитой в отдельную папку Запустите sitlog.exeОбратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да В главном окне программы выберите проверку за последние три месяца и нажмите "Старт" По окончанию работы программы в папке LOG должны появиться два отчета SITLog.txt и SITLog_Info.txt Прикрепите эти отчеты в вашей теме.
Procyon-man Опубликовано 7 октября, 2014 Автор Опубликовано 7 октября, 2014 Готово. FixerBro_20141007 (2).txt SITLog.txt SITLog_Info.txt
Procyon-man Опубликовано 7 октября, 2014 Автор Опубликовано 7 октября, 2014 Её нет. Кармическая вам благодарность!
mike 1 Опубликовано 7 октября, 2014 Опубликовано 7 октября, 2014 Выполните скрипт в AVZ при наличии доступа в интернет: var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player. Советы и рекомендации после лечения компьютера
mike 1 Опубликовано 10 октября, 2014 Опубликовано 10 октября, 2014 Вам очень повезло похоже т.к. еще бы чуть-чуть и ваши файлы на компьютере зашифровались.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти