Baidu

[vav74]

в браузерах открывается [ссылка]

CollectionLog-2014.12.01-17.53.zip

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! Кто вас просил запускать Combofix?

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin

ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

if not IsWOW64

  then

   begin

    SearchRootkit(true, true);

    SetAVZGuardStatus(true);

   end;

 ClearQuarantine;

 DeleteService('BDAntiExp');

 DeleteService('wStLibG');

 QuarantineFile('C:\Windows\system32\drivers\wStLibG.sys','');

 DeleteFile('C:\Windows\system32\drivers\wStLibG.sys','32');

 DeleteFile('C:\Windows\system32\DRIVERS\BDAntiExp.sys','32');

 DeleteFile('C:\Windows\system32\Tasks\AppCloudUpdater','32');        

BC_ImportAll;

ExecuteSysClean;

BC_Activate;   

RebootWindows(false);

end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 

end.

 

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=7d41e54d9f8cd911595eddbc933d0924&text={searchTerms}

 

• Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
  

• Распакуйте архив с утилитой в отдельную папку.
  

• Перенесите Check_Browsers_LNK.log из папки Автологгера на ClearLNK как показано на рисунке
  

 

 

• Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  

• Прикрепите этот отчет к своему следующему сообщению.
  

 

 

 

Сделайте новые логи Автологгером. 

 

 

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  

• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
  

• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  

• Прикрепите отчет к своему следующему сообщению.
  

 

Подробнее читайте в этом руководстве.

 

 

[vav74]

KLAN-2314187713

Отправленный Вами файл до нас не дошел. Возможно, он был вырезан антивирусом во время доставки.

Пожалуйста, вышлите экземпляр повторно, поместив его в архив с паролем infected.

 

Пробовал по разному.

 

 

 

 

 

Выполнил частично очистку в AdwCleaner (by Xplode)

 

[ссылка] в браузерах всплывать перестало.

ClearLNK-02.12.2014_11-58.log

CollectionLog-2014.12.02-12.20.zip

AdwCleanerR0.txt

AdwCleanerS0.txt

[vav74]

KLAN-2314187713

Здравствуйте,bcqr00001.inibcqr00002.iniВ присланном Вами файле не найдено ничего вредоносного.Regards, Ye JinVirus Analyst, Kaspersky Lab.

[mike 1]

Карантин зачем здесь выкладываете? Я разве его просил здесь выкладывать?

 

 

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

• Убедитесь, что под окном Optional Scan отмечены "List BCD" и "Driver MD5".

• Нажмите кнопку Scan.

• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

[vav74]

Addition.txt FRST.txt

 

 

Addition.txt

FRST.txt

[mike 1]

 

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита:

FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\sweet-page.xml
CustomCLSID: HKU\S-1-5-21-2473966532-1336087977-1163675393-1115_Classes\CLSID\{0a3f4dfe-fd14-49c7-9d51-748d15a767d2}\InprocServer32 -> C:\Users\BUH2\AppData\Local\Temp\v8_AE29_44.tmp No File
CustomCLSID: HKU\S-1-5-21-2473966532-1336087977-1163675393-1115_Classes\CLSID\{37bcb01c-0b25-45b6-8a7e-8e56b77d18ff}\InprocServer32 -> C:\Users\BUH2\AppData\Local\Temp\v8_AE29_44.tmp No File
CustomCLSID: HKU\S-1-5-21-2473966532-1336087977-1163675393-1115_Classes\CLSID\{7365bebe-ac14-47f3-bff2-252f9ead5c7b}\InprocServer32 -> C:\Users\BUH2\AppData\Local\Temp\v8_AE29_44.tmp No File
CustomCLSID: HKU\S-1-5-21-2473966532-1336087977-1163675393-1115_Classes\CLSID\{7446bb6e-5720-405b-8839-464d958a95d5}\InprocServer32 -> C:\Users\BUH2\AppData\Local\Temp\v8_AE29_44.tmp No File
CustomCLSID: HKU\S-1-5-21-2473966532-1336087977-1163675393-1115_Classes\CLSID\{a87602aa-13fc-4d6a-b2e8-e02787e59dad}\InprocServer32 -> C:\Users\BUH2\AppData\Local\Temp\v8_AE29_44.tmp No File
EmptyTemp:
Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

 

 

Что с проблемой?