Pravda Опубликовано 9 января, 2015 Опубликовано 9 января, 2015 Здравствуйте! Помогите почистить компьютер. Антивирусник стоит, недавно активирован новый период, до этого был перерыв, видимо нахватали. Проверки не находят проблем. Реклама на открываемых страницах (мелкая, справа, слева, внизу), через некоторое время урлы на страницах становятся не активными и любое нажатие кнопки мыши открывает дополнительную вкладку в браузере с сайтом рекламы CollectionLog-2015.01.09-22.14.zip report1.log report2.log
thyrex Опубликовано 9 января, 2015 Опубликовано 9 января, 2015 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\Admin\AppData\Roaming\Steam\Reversed\steam.exe',''); QuarantineFile('C:\Users\Admin\AppData\Roaming\Unity\googleupd.exe',''); QuarantineFile('C:\Users\Admin\AppData\Local\25125\Updater.exe',''); QuarantineFile('C:\Windows\SysWOW64\netupdsrv.exe',''); DeleteService('ServiceUpdater'); DeleteFile('C:\Windows\SysWOW64\netupdsrv.exe','32'); DeleteFile('C:\Users\Admin\AppData\Local\Amigo\Application\amigo.exe','32'); DeleteFile('C:\Users\Admin\AppData\Local\25125\Updater.exe','32'); DeleteFile('C:\Windows\Tasks\AmiUpdXp.job','64'); DeleteFile('C:\Windows\system32\Tasks\AmiUpdXp','64'); DeleteFile('C:\Users\Admin\AppData\Roaming\Unity\googleupd.exe','32'); DeleteFile('C:\Windows\system32\Tasks\GoogleUpdateTaskUserS-1-5-21-1970835742GUI','64'); DeleteFile('C:\Users\Admin\AppData\Roaming\Steam\Reversed\steam.exe','32'); DeleteFile('C:\Windows\system32\Tasks\Steam-S-1-8-22-9865GUI','64'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Компьютер перезагрузится. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте через данную форму.1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Сделайте новые логи
Pravda Опубликовано 9 января, 2015 Автор Опубликовано 9 января, 2015 [KLAN-2408636198] Новые логи CollectionLog-2015.01.09-23.18.zip report1.log report2.log
Roman_Five Опубликовано 10 января, 2015 Опубликовано 10 января, 2015 Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantine; TerminateProcessByName('c:\program files (x86)\torrentexpress\torrentexpress.exe'); TerminateProcessByName('c:\program files (x86)\askpartnernetwork\toolbar\updater\tbnotifier.exe'); TerminateProcessByName('c:\program files (x86)\askpartnernetwork\toolbar\apnmcp.exe'); SetServiceStart('APNMCP', 4); StopService('APNMCP'); DeleteFile('C:\Program Files (x86)\AskPartnerNetwork\Toolbar\apnmcp.exe','32'); DeleteFile('C:\Program Files (x86)\AskPartnerNetwork\Toolbar\Updater\TBNotifier.exe','32'); DeleteFile('C:\Program Files (x86)\TorrentExpress\TorrentExpress.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ApnTBMon'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','TorrentExpress'); DeleteService('APNMCP'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть): R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1417341126&from=slbnew&uid=WDCXWD5001AALS-00E3A0_WD-WCATR468289282892 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1417341126&from=slbnew&uid=WDCXWD5001AALS-00E3A0_WD-WCATR468289282892 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1417341126&from=slbnew&uid=WDCXWD5001AALS-00E3A0_WD-WCATR468289282892 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1417341126&from=slbnew&uid=WDCXWD5001AALS-00E3A0_WD-WCATR468289282892&q={searchTerms} R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1417341126&from=slbnew&uid=WDCXWD5001AALS-00E3A0_WD-WCATR468289282892&q={searchTerms} R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1417341126&from=slbnew&uid=WDCXWD5001AALS-00E3A0_WD-WCATR468289282892 O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file) O2 - BHO: TrustMediaViewerV1alpha4400 - {d44a5d6e-e5f2-420f-9a02-3828440c88d9} - (no file) O4 - HKCU\..\Run: [TorrentExpress] "C:\Program Files (x86)\TorrentExpress\TorrentExpress.exe" Сделайте новые логи по правилам (только пункт 3). + 2 лога http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635158 http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635256
Pravda Опубликовано 11 января, 2015 Автор Опубликовано 11 января, 2015 CollectionLog-2015.01.11-18.50.zip AdwCleanerR0.txt mbam.txt
Roman_Five Опубликовано 12 января, 2015 Опубликовано 12 января, 2015 отправьте в карантин всё найденное в MBAm (КРОМЕ этих 2-х строк): Files: 235 RiskWare.Tool.CK, C:\Program Files\TC\Programs\UltraISO\App\UltraISO\reg.zip, , [88100fe5e2a7999d91d83e97738ec040], PUP.Optional.Bunndle, C:\Users\Admin\Downloads\warcraft 3 frozen thronerepack tfile ru.zip, , [6a2e569edaaf3bfbb5af6df0ae526d93], новый лог приложите удалите всё найденное в AdwCleaner новый лог приложите. проверьте на virustotal.com эти 2 файла (вверху). ссылки на проверки приложите.
Pravda Опубликовано 17 января, 2015 Автор Опубликовано 17 января, 2015 Ссылки на проверки:https://www.virustotal.com/ru/file/44568807b611dc015deed78ed3eb94cb1baa0b08ee38a3013643bb60774c11fb/analysis/1421234603/ https://www.virustotal.com/ru/file/6c6176dab2fdd2d928e011ce0fd13484427793c676624fb09dd3b0199d2c0387/analysis/1421234949/ AdwCleanerR2.txt mbam1.txt
Roman_Five Опубликовано 17 января, 2015 Опубликовано 17 января, 2015 warcraft 3 frozen thronerepack tfile ru.zip удаляйте. там адваре. что с проблемой?
Pravda Опубликовано 19 января, 2015 Автор Опубликовано 19 января, 2015 все в порядке. Спасибо большое!
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти