Yarilo Опубликовано 30 октября, 2014 Опубликовано 30 октября, 2014 Добрый день. Во время работы в интернете (в частности браузер Firefox) открываются новые окна с рекламой. Лог: CollectionLog-2014.10.30-18.09.zip
mike 1 Опубликовано 30 октября, 2014 Опубликовано 30 октября, 2014 Здравствуйте! Деинсталлируйте: WindowsMangerProtect20.0.0.1013-->C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe -uninstall Term Tutor-->C:\Program Files (x86)\TermTutor\Uninstall.exe Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(true); end; ClearQuarantine; TerminateProcessByName('c:\program files (x86)\termtutor\service\ttsvc.exe'); TerminateProcessByName('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe'); SetServiceStart('ttnfd', 4); SetServiceStart('WindowsMangerProtect', 4); SetServiceStart('ttsvc', 4); StopService('ttnfd'); StopService('WindowsMangerProtect'); StopService('ttsvc'); QuarantineFile('C:\Program Files (x86)\TermTutor\IE\TermTutorClientIE.dll',''); QuarantineFile('C:\Windows\system32\drivers\ttnfd.sys',''); QuarantineFile('c:\program files (x86)\termtutor\service\ttsvc.exe',''); QuarantineFile('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe',''); DeleteFile('C:\Windows\system32\drivers\ttnfd.sys','32'); DeleteFile('C:\Program Files (x86)\TermTutor\Service\ttsvc.exe','32'); DeleteFile('C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe','32'); DeleteFile('C:\Program Files (x86)\TermTutor\IE\TermTutorClientIE.dll','32'); DeleteFile('C:\Windows\Tasks\Digital Sites.job','64'); DeleteFile('C:\Windows\system32\Tasks\Digital Sites','64'); DeleteService('ttnfd'); DeleteService('WindowsMangerProtect'); DeleteService('ttsvc'); DeleteFileMask('C:\Program Files (x86)\TermTutor', '*', true, ' '); DeleteDirectory('C:\Program Files (x86)\TermTutor'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end. Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте через данную форму. 1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать). R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1414342126&from=cor&uid=TOSHIBAXMK1059GSMP_128LF0GPSXX128LF0GPS&q={searchTerms} R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1414342126&from=cor&uid=TOSHIBAXMK1059GSMP_128LF0GPSXX128LF0GPS&q={searchTerms} R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1414342126&from=cor&uid=TOSHIBAXMK1059GSMP_128LF0GPSXX128LF0GPS&q={searchTerms} R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1414342126&from=cor&uid=TOSHIBAXMK1059GSMP_128LF0GPSXX128LF0GPS&q={searchTerms} O2 - BHO: QipLI - {6B5863A0-C43F-4C0A-982B-CC0E9125783F} - C:\Users\днс\AppData\Roaming\Microsoft\Internet Explorer\qstatsrv.dll O2 - BHO: TermTutor - {6CB99040-7828-4C37-AC01-F15758F43E4D} - C:\Program Files (x86)\TermTutor\IE\TermTutorClientIE.dll O2 - BHO: Funmoods Helper Object - {75EBB0AA-4214-4CB4-90EC-E3E07ECD04F7} - C:\PROGRA~2\Funmoods\1.5.23.22\bh\escort.dll О3 - Toolbar: Funmoods Toolbar - {A4C272EC-ED9E-4ACE-A6F2-9558C7F29EF3} - C:\PROGRA~2\Funmoods\1.5.23.22\escorTlbr.dll Сделайте новые логи Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе. Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве.
Yarilo Опубликовано 30 октября, 2014 Автор Опубликовано 30 октября, 2014 Сделано. Ответ лаборатории: Этот файл повреждён. KLAN-2194264425 Отчет загрузить не удается: "AdwCleaner[R0].txt Загрузка не удалась. Пожалуйста сообщите об этом администрации форума."
mike 1 Опубликовано 30 октября, 2014 Опубликовано 30 октября, 2014 Попробуйте упаковать отчет в архив.
mike 1 Опубликовано 30 октября, 2014 Опубликовано 30 октября, 2014 Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
mike 1 Опубликовано 30 октября, 2014 Опубликовано 30 октября, 2014 Скачайте SITLog и сохраните архив с утилитой на Рабочем столе Распакуйте архив с утилитой в отдельную папку Запустите sitlog.exe Обратите внимание , что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора , при необходимости укажите пароль администратора и нажмите Да В главном окне программы выберите проверку за последние три месяца и нажмите "Старт" По окончанию работы программы в папке LOG должны появиться два отчета SITLog.txt и SITLog_Info.txt Прикрепите эти отчеты в вашей теме.
mike 1 Опубликовано 1 ноября, 2014 Опубликовано 1 ноября, 2014 Эти папки и файлы удалите: 26.10.2014 20:50:00 ----D---- C:\Users\днс\AppData\Roaming\Pirates946 26.10.2014 20:50:00 ----D---- C:\Users\днс\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Pirates 26.10.2014 20:50:00 ----A---- C:\Users\днс\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Pirates.lnk 26.10.2014 20:49:28 ----D---- C:\Users\днс\AppData\Roaming\1H1Q1V1N1N1O1R Что с проблемой?
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти