ваш аккаунт vk

[makar510]

здравствуйте несколько дней  назад скачивал моды для ETC2 и начались переходы на  страницу  с сообщением "Ваш аккаунт vk заподозрен в мошеннической активности и бла бла " да и в хроме меняется поиск по умолчанию gogle на mail

чистил реестром проверял антивирусами ни чего не помогло

CollectionLog-2014.12.22-07.12.zip

[Roman_Five]

выполните скрипт в AVZ

begin
 QuarantineFile('C:\Users\Makar\AppData\Local\SystemDir\nethost.exe', '');
 QuarantineFile('C:\ProgramData\Microsoft\Media Player\Update Center\mediaplayerupdater.exe', '');
 QuarantineFile('C:\ProgramData\Kbupdater Utility\kbupdater-utility.exe', '');
 QuarantineFile('C:\Program Files (x86)\Microsoft Data\InstallAddons.exe', '');
 QuarantineFile('C:\Users\Makar\AppData\Local\Microsoft\Windows\system.exe', '');
 DeleteFile('C:\Windows\system32\Tasks\chrome5', '64');
 DeleteFile('C:\Windows\system32\Tasks\chrome5_logon', '64');
 DeleteFile('C:\Program Files (x86)\Microsoft Data\InstallAddons.exe', '32');
 DeleteFile('C:\Windows\system32\Tasks\Kbupdater Utility', '64');
 DeleteFile('C:\ProgramData\Kbupdater Utility\kbupdater-utility.exe', '32');
 DeleteFile('C:\ProgramData\Microsoft\Media Player\Update Center\mediaplayerupdater.exe', '32');
 DeleteFile('C:\Windows\system32\Tasks\Media Player Updater', '64');
 DeleteFile('C:\Windows\system32\Tasks\nethost task', '64');
 DeleteFile('C:\Users\Makar\appdata\local\systemdir\nethost.exe', '32');
 DeleteFile('C:\Users\Makar\appdata\local\microsoft\windows\system.exe', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'SystemScript');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'SystemScript');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Для создания архива с карантином выполните скрипт:
 

begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7z.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.

Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал My Kaspersky (если являетесь пользователем продуктов Лаборатории Касперского и владеете действующим кодом активации одного из продуктов) или через портал Kaspersky Virus Desk.
Для получения ответа в более короткий срок отправьте Ваш запрос через портал My Kaspersky.

"Порядок действий на портале My Kaspersky:":

1) Пройдите авторизацию в Kaspersky Account, используя адрес электронной почты/логин и пароль. Если Вы ещё не зарегистрированы в Kaspersky Account, выберите Создать Kaspersky Account и следуйте инструкциям. На вкладке Мои коды портала My Kaspersky добавьте действующий код активации используемого Вами продукта;
2) На вкладке Мои запросы выберите Создать запрос и создайте запрос в Вирусную лабораторию;
3) В меню Выберите тип запроса выберите Запрос на исследование вредоносного файла;
4) В окне Опишите проблему укажите: Выполняется запрос консультанта. Пароль на архив - infected;
5) Чтобы прикрепить к запросу архив карантина, установите флажок Я принимаю условия соглашения о загрузке файлов и нажмите на ссылку  Загрузить.
Важно: размер архива не должен превышать 15 МБ;
6) В строке EMail укажите адрес своей электронной почты;
7) Проверьте правильность введенных данных и нажмите на кнопку Отправка запроса.

"Порядок действий на портале Kaspersky Virus Desk:":

1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты;
2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина.
Важно: размер архива не должен превышать 12 МБ;
3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл.
4) Дождитесь ответа об успешной загрузке карантина.

 
Полученный через электронную почту ответ сообщите в этой теме.
 

Сделайте новые логи по правилам (только пункт 3).

[makar510]

выполнил ваши скрипты

CollectionLog-2014.12.22-11.45.zip

[Roman_Five]

запустите AVZ с правами администратора и выполните скрипт:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantine;
 DeleteFile('C:\Users\Makar\AppData\Local\Microsoft\Windows\system.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SystemScript');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SystemScript');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

приложите новые логи.

[makar510]

выполнил

CollectionLog-2014.12.22-15.53.zip

[Roman_Five]

ответ с вирлаба не пришёл?

что с проблемой?

[makar510]

ответ с вирлаба не пришёл?

что с проблемой?

на вирлаб я не отсылал я же там не зарегистрирован или это без разницы.

 

про блокировку на vk страница не открывается но вылазит всякие другие типа рекламы

портал  портал Kaspersky Virus Desk. не открываеться

а портал My Kaspersky у меня нет ни одного их кода я не пользуюсь их продукцией

[makar510]

проблема не решилась иногда кликая по любому месту на любой странице или при открытии какой нибудь ссылке происходит переход на злополучную страницу 

[Roman_Five]

приложите 2 лога

 

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635256

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635158

карантин отправьте почтой:

newvirus@kaspersky.com

[makar510]

выполнил выкладываю логи

p.s. 

 

карантин отправьте почтой:

newvirus@kaspersky.com

что за карантин откуда его взять

AdwCleanerR0.txt

mbam.txt

[Mark D. Pearlstone]

что за карантин откуда его взять

Quarantine.zip из папки AVZ

[makar510]

 

самый первый который я сюда выкладывал или сделать новый и его отослать

папка Quarantine у меня чистая там ничего нет

[Roman_Five]

 

 

папка Quarantine

не папка, а файл

 

 

Quarantine.zip из папки AVZ 

который создался ещё 22 декабря.

 

удалите всё найденное в AdwCleaner

 

выберите карантин ТОЛЬКО для следующих элементов при новом поиске в MBAM

Folders: 4

PUP.Optional.OpenCandy, C:\Users\Makar\AppData\Roaming\OpenCandy, , [809dcc97c7b588ae4b1e25fe4bb81ce4], 

PUP.Optional.OpenCandy, C:\Users\Makar\AppData\Roaming\OpenCandy\OpenCandy_1F9B5935BC94462BBB63D19A57166B04, , [809dcc97c7b588ae4b1e25fe4bb81ce4], 

PUP.Optional.AdobeDTMSwitch, C:\Users\Makar\AppData\Local\Google\Chrome\User Data\Default\Extensions\NLGDEMKDAPOLIKBJIMJAJPMONPBPMIPK, , [918ced7687f51d1928875cf653b00000], 

PUP.Optional.AdobeDTMSwitch, C:\Users\Makar\AppData\Local\Google\Chrome\User Data\Default\Extensions\NLGDEMKDAPOLIKBJIMJAJPMONPBPMIPK\1.0_0, , [918ced7687f51d1928875cf653b00000], 

 

Files: 16

PUP.Optional.AdobeDTMSwitch, C:\Users\Makar\AppData\Local\Google\Chrome\User Data\Default\Extensions\nlgdemkdapolikbjimjajpmonpbpmipk\1.0_0\background.js, , [918ced7687f51d1928875cf653b00000], 

PUP.Optional.AdobeDTMSwitch, C:\Users\Makar\AppData\Local\Google\Chrome\User Data\Default\Extensions\nlgdemkdapolikbjimjajpmonpbpmipk\1.0_0\contentscript.js, , [918ced7687f51d1928875cf653b00000], 

PUP.Optional.AdobeDTMSwitch, C:\Users\Makar\AppData\Local\Google\Chrome\User Data\Default\Extensions\nlgdemkdapolikbjimjajpmonpbpmipk\1.0_0\manifest.json, , [918ced7687f51d1928875cf653b00000], 

 

новые логи приложите.

[makar510]

тему можно закрыть все исправилось