Jusy Опубликовано 29 декабря, 2014 Опубликовано 29 декабря, 2014 Добрый день! Сегодня после установки плеера Light Alloy в Мозилле постоянно стали всплывать окна с рекламой (прикрепила скрин одного из таких), + сама мозила стала время от времени "притормаживать"Помимо этого еще установилось пара ненужных браузеров, Яндекс-дополнения (все это удалила) Возможно, это связано с моей работой (работаю удаленно в Яндексе), так как приходится заходить на разного рода ссылки. Мозилу пробовала переустановить, но проблема осталась.Очень мешает работать( Хотелось бы, чтобы помогли с решением, заранее спасибо CollectionLog-2014.12.29-11.36.zip
Roman_Five Опубликовано 29 декабря, 2014 Опубликовано 29 декабря, 2014 деинсталлируйте Plus-HD-9.1cV28.12-->C:\Program Files (x86)\Plus-HD-9.1cV28.12\Uninstall.exe /fcp=1 и переделайте логи.
Jusy Опубликовано 29 декабря, 2014 Автор Опубликовано 29 декабря, 2014 деинсталлируйте Plus-HD-9.1cV28.12-->C:\Program Files (x86)\Plus-HD-9.1cV28.12\Uninstall.exe /fcp=1 и переделайте логи. Все сделала. А вот еще после загрузки ноутбука стала выскакивать такая штучка (прицепила скрин) CollectionLog-2014.12.29-14.53.zip
Roman_Five Опубликовано 29 декабря, 2014 Опубликовано 29 декабря, 2014 Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantine; TerminateProcessByName('c:\users\jusy\appdata\roaming\vopackage\vosrv.exe'); TerminateProcessByName('c:\program files (x86)\askpartnernetwork\toolbar\updater\tbnotifier.exe'); SetServiceStart('servervo', 4); StopService('servervo'); QuarantineFile('C:\Users\Jusy\AppData\Roaming\SFEVEM.exe',''); QuarantineFile('C:\Users\Jusy\AppData\Roaming\OBSO.exe',''); QuarantineFile('c:\program files (x86)\askpartnernetwork\toolbar\updater\tbnotifier.exe',''); QuarantineFile('c:\users\jusy\appdata\roaming\vopackage\vosrv.exe',''); DeleteFile('C:\Program Files (x86)\AskPartnerNetwork\Toolbar\Updater\TBNotifier.exe','32'); DeleteFile('C:\Windows\Tasks\OBSO.job','64'); DeleteFile('C:\Users\Jusy\AppData\Roaming\OBSO.exe','32'); DeleteFile('C:\Windows\Tasks\SFEVEM.job','64'); DeleteFile('C:\Users\Jusy\AppData\Roaming\SFEVEM.exe','32'); DeleteFile('C:\Windows\system32\Tasks\OBSO','64'); DeleteFile('C:\Windows\system32\Tasks\SFEVEM','64'); DeleteFile('C:\Users\Jusy\appdata\roaming\vopackage\vosrv.exe','32'); DeleteFileMask('C:\Users\Jusy\AppData\Roaming\VOPackage\ ','* ',true ,' '); DeleteDirectory('C:\Users\Jusy\AppData\Roaming\VOPackage\ ',' '); DeleteFileMask('C:\Program Files (x86)\globalUpdate\ ','* ',true ,' '); DeleteDirectory('C:\Program Files (x86)\globalUpdate\ ',' '); DeleteFileMask('c:\program files (x86)\askpartnernetwork\','* ',true ,' '); DeleteDirectory('c:\program files (x86)\askpartnernetwork\',' '); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ApnTBMon'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); DeleteService('servervo'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin DeleteFile('Qurantine.zip',''); ExecuteFile('7z.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через портал My Kaspersky (если являетесь пользователем продуктов Лаборатории Касперского и владеете действующим кодом активации одного из продуктов) или через портал Kaspersky Virus Desk. Для получения ответа в более короткий срок отправьте Ваш запрос через портал My Kaspersky. Порядок действий на портале My Kaspersky:: 1) Пройдите авторизацию в Kaspersky Account, используя адрес электронной почты/логин и пароль. Если Вы ещё не зарегистрированы в Kaspersky Account, выберите Создать Kaspersky Account и следуйте инструкциям. На вкладке Мои коды портала My Kaspersky добавьте действующий код активации используемого Вами продукта; 2) На вкладке Мои запросы выберите Создать запрос и создайте запрос в Вирусную лабораторию; 3) В меню Выберите тип запроса выберите Запрос на исследование вредоносного файла; 4) В окне Опишите проблему укажите: Выполняется запрос консультанта. Пароль на архив - infected; 5) Чтобы прикрепить к запросу архив карантина, установите флажок Я принимаю условия соглашения о загрузке файлов и нажмите на ссылку Загрузить. Важно: размер архива не должен превышать 15 МБ; 6) В строке EMail укажите адрес своей электронной почты; 7) Проверьте правильность введенных данных и нажмите на кнопку Отправка запроса. Порядок действий на портале Kaspersky Virus Desk:: 1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты; 2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина. Важно: размер архива не должен превышать 12 МБ; 3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл. 4) Дождитесь ответа об успешной загрузке карантина. Полученный через электронную почту ответ сообщите в этой теме. Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть): O2 - BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file) O4 - HKLM\..\Run: [ApnTBMon] "C:\Program Files (x86)\AskPartnerNetwork\Toolbar\Updater\TBNotifier.exe" Сделайте новые логи по правилам (только пункт 3). Скачайте Junkware Removal Tool и сохраните на рабочем столе. Выгрузите всё защитное ПО и браузеры, чтобы избежать конфликтов. Щелкните правой кнопкой мыши и выберите "Запуск от имени администратора". Программа запустится и начнётся сканирование Вашей системы. Дождитесь завершения сканирования. По окончании лог сканирования (JRT.txt) сохранится на рабочий стол и автоматически откроется. Прикрепите полученный лог к следующему сообщению. Приложите логи AdwCleaner и MBAM http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635158 http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635256 1
Jusy Опубликовано 29 декабря, 2014 Автор Опубликовано 29 декабря, 2014 Ответ из лаборатории, не знаю, тот ли?)OBSO.exe,SFEVEM.exe - not-a-virus:WebToolbar.Win32.CrossRider.ktiЭто - потенциально опасное ПО. Детектирование файлов будет добавлено в следующее обновление.tbnotifier.exe,vosrv.exeПолучен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.С уважением, Лаборатория Касперского Все логи прикрепила CollectionLog-2014.12.29-23.35.zip JRT.txt AdwCleanerR0.txt Logs.txt
Roman_Five Опубликовано 29 декабря, 2014 Опубликовано 29 декабря, 2014 удалите всё найденное в AdwCleaner отправьте всё найденное в MBAM в карантин новые логи этих утилит после перезагрузки приложите.
Jusy Опубликовано 30 декабря, 2014 Автор Опубликовано 30 декабря, 2014 Добрый день!Логи прикрепила AdwCleanerS0.txt Logs.txt
Roman_Five Опубликовано 30 декабря, 2014 Опубликовано 30 декабря, 2014 Исправьте через AVZ -> Файл -> Мастер поиска и устранения проблем -> Все проблемы -> отметить указанное -> Исправить (что будет) >> Нарушение ассоциации REG файлов >> Internet Explorer - разрешено использование ActiveX, не помеченных как безопасные >> Internet Explorer - разрешена загрузка подписанных элементов ActiveX без запроса >> Internet Explorer - разрешена загрузка неподписанных элементов ActiveX >> Internet Explorer - разрешены автоматические запросы элементов управления ActiveX >> Internet Explorer - разрешен запуск программ и файлов в окне IFRAME >> Таймаут завершения служб находится за пределами допустимых значений что с проблемой? 1
Jusy Опубликовано 30 декабря, 2014 Автор Опубликовано 30 декабря, 2014 что с проблемой? В мозилле окна больше не всплывают) Да и в принципе все хорошо, та штука, которую скрином кидала во втором сообщении, тоже больше не появляется)спасибо большое))
mike 1 Опубликовано 31 декабря, 2014 Опубликовано 31 декабря, 2014 Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
mike 1 Опубликовано 10 января, 2015 Опубликовано 10 января, 2015 Контроль учётных записей пользователя отключен ^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^ Запрос на повышение прав для администраторов отключен MBAM деинсталлируйте. Обновите: Adobe Flash Player 11 ActiveX v.11.2.202.235 Внимание! Скачать обновления Adobe Reader X (10.1.4) - Russian v.10.1.4 Внимание! Скачать обновления Советы и рекомендации после лечения компьютера 1
Рекомендуемые сообщения