Реклама

[_Strannik_]

Привет Хелперам. В браузере опера вылетает всяко-разная рекламма..

CollectionLog-2014.11.26-15.24.zip

 

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! Деинсталлируйте:

 

Time tasks-->"C:\ProgramData\Schedule\uninstall.exe"

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 QuarantineFile('C:\iexplore.bat','');
 QuarantineFile('C:\ProgramData\Schedule\timetasks.exe','');
 QuarantineFile('C:\Program Files (x86)\Google\chrome.bat','');
 DeleteFile('C:\Program Files (x86)\Google\chrome.bat','32');
 DeleteFile('C:\ProgramData\Schedule\timetasks.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Schedule','command');
 DeleteFile('C:\iexplore.bat','32');
 DeleteFile('C:\Windows\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys','32');
 DeleteFile('C:\Program Files\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys','32');
 DeleteFile('C:\opera.bat','32');
 DeleteFile('C:\Windows\system32\roboot64.exe','32');     
 DeleteFileMask('C:\ProgramData\Schedule', '*', true, ' ');
 DeleteFileMask('C:\Users\vitaly\AppData\Roaming\phoenixguard', '*', true, ' ');
 DeleteFileMask('C:\Users\vitaly\AppData\Roaming\everysale3', '*', true, ' ');
 DeleteFileMask('C:\Users\vitaly\AppData\Roaming\eTranslator', '*', true, ' ');
 DeleteDirectory('C:\Users\vitaly\AppData\Roaming\phoenixguard');     
 DeleteDirectory('C:\Users\vitaly\AppData\Roaming\eTranslator');     
 DeleteDirectory('C:\Users\vitaly\AppData\Roaming\everysale3');     
 DeleteDirectory('C:\ProgramData\Schedule');     
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(2);
RebootWindows(false);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=546a821cc768a247ca6d4250c03a5434&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=546a821cc768a247ca6d4250c03a5434&text={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=546a821cc768a247ca6d4250c03a5434&text=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=546a821cc768a247ca6d4250c03a5434&text=
O2 - BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file)

 

 

Сделайте новые логи Автологгером. 

 

 

• Скачайте FixerBro by glax 24 и сохраните архив с утилитой на Рабочем столе

• Распакуйте архив с утилитой в отдельную папку

• Запустите FixerBro

  Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да

• В главном окне программы нажмите на кнопку "Проверить"

• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\FixerBro (лог в формате FixerBro_yyyymmdd.txt)

• По окончанию сканирования нажмите на кнопку "Отчет".

• Сохраните лог утилиты

• Прикрепите сохраненный отчет в вашей теме.

 

 

[_Strannik_]

Карантин отправил:  ответ Ждем!

FixerBro_20141126.txt CollectionLog-2014.11.26-16.59.zip

Изменено 26 ноября, 2014 пользователем _Strannik_

[mike 1]

Удалите вручную:

2014-10-31 17:22:47 ----A---- C:\Windows\system32\roboot64.exe

• Запустите повторно FixerBro by glax24.

  Обратите внимание, что утилиты необходимо запускать через правую кн. мыши от имени администратора, на Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да

• Нажмите на кнопку "Проверить", а по окончанию сканирования поставьте галочки напротив всех строк и нажмите на кнопку Исправить. Дождитесь окончания удаления.

• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\FixerBro. (Лог в формате FixerBro_yyyymmdd.txt).

• По окончанию удаления нажмите на кнопку "Отчет"

• Сохраните лог утилиты

• Прикрепите сохраненный отчет в вашей теме.

 

[_Strannik_]

FixerBro by glax24. Выдал что не все ярлыки исправлены!

FixerBro_20141126 (2).txt

 

Ответ от ЛК: KLAN-2280529689
В присланном Вами файле обнаружено новое вредоносное программное обеспечение.
Его детектирование будет включено в очередное обновление антивирусных баз.
Благодарим за оказанную помощь.

iexplore.bat_ - not-a-virus:AdWare.BAT.Clicker.c
chrome.bat_   - not-a-virus:AdWare.BAT.Clicker.b

[mike 1]

Исправьте с помощью ClearLNK:

C:\Users\vitaly\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera12.17 1863.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk

[_Strannik_]

Сделано.

ClearLNK-26.11.2014_20-43.log

P.s Рекламма иногда еще проскакивает.

Изменено 26 ноября, 2014 пользователем _Strannik_

[mike 1]

В браузере отключите все расширения. Проверьте проблему.

[_Strannik_]

По словам брата проблема решена! Спасибо...

[mike 1]

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var

LogPath : string;

ScriptPath : string;

begin

 LogPath := GetAVZDirectory + 'log\avz_log.txt';

 if FileExists(LogPath) Then DeleteFile(LogPath);

 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else 

begin

    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) 

else begin

       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');

       exit;

      end;

  end;

 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)

end.

 

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Советы и рекомендации после лечения компьютера