Pravda 0 Опубликовано 9 января, 2015 Share Опубликовано 9 января, 2015 Здравствуйте! Помогите почистить компьютер. Антивирусник стоит, недавно активирован новый период, до этого был перерыв, видимо нахватали. Проверки не находят проблем. Реклама на открываемых страницах (мелкая, справа, слева, внизу), через некоторое время урлы на страницах становятся не активными и любое нажатие кнопки мыши открывает дополнительную вкладку в браузере с сайтом рекламы CollectionLog-2015.01.09-22.14.zip report1.log report2.log Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 462 Опубликовано 9 января, 2015 Share Опубликовано 9 января, 2015 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\Admin\AppData\Roaming\Steam\Reversed\steam.exe',''); QuarantineFile('C:\Users\Admin\AppData\Roaming\Unity\googleupd.exe',''); QuarantineFile('C:\Users\Admin\AppData\Local\25125\Updater.exe',''); QuarantineFile('C:\Windows\SysWOW64\netupdsrv.exe',''); DeleteService('ServiceUpdater'); DeleteFile('C:\Windows\SysWOW64\netupdsrv.exe','32'); DeleteFile('C:\Users\Admin\AppData\Local\Amigo\Application\amigo.exe','32'); DeleteFile('C:\Users\Admin\AppData\Local\25125\Updater.exe','32'); DeleteFile('C:\Windows\Tasks\AmiUpdXp.job','64'); DeleteFile('C:\Windows\system32\Tasks\AmiUpdXp','64'); DeleteFile('C:\Users\Admin\AppData\Roaming\Unity\googleupd.exe','32'); DeleteFile('C:\Windows\system32\Tasks\GoogleUpdateTaskUserS-1-5-21-1970835742GUI','64'); DeleteFile('C:\Users\Admin\AppData\Roaming\Steam\Reversed\steam.exe','32'); DeleteFile('C:\Windows\system32\Tasks\Steam-S-1-8-22-9865GUI','64'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Компьютер перезагрузится. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте через данную форму.1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Сделайте новые логи Цитата Ссылка на сообщение Поделиться на другие сайты
Pravda 0 Опубликовано 9 января, 2015 Автор Share Опубликовано 9 января, 2015 [KLAN-2408636198] Новые логи CollectionLog-2015.01.09-23.18.zip report1.log report2.log Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 10 января, 2015 Share Опубликовано 10 января, 2015 Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantine; TerminateProcessByName('c:\program files (x86)\torrentexpress\torrentexpress.exe'); TerminateProcessByName('c:\program files (x86)\askpartnernetwork\toolbar\updater\tbnotifier.exe'); TerminateProcessByName('c:\program files (x86)\askpartnernetwork\toolbar\apnmcp.exe'); SetServiceStart('APNMCP', 4); StopService('APNMCP'); DeleteFile('C:\Program Files (x86)\AskPartnerNetwork\Toolbar\apnmcp.exe','32'); DeleteFile('C:\Program Files (x86)\AskPartnerNetwork\Toolbar\Updater\TBNotifier.exe','32'); DeleteFile('C:\Program Files (x86)\TorrentExpress\TorrentExpress.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ApnTBMon'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','TorrentExpress'); DeleteService('APNMCP'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть): R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1417341126&from=slbnew&uid=WDCXWD5001AALS-00E3A0_WD-WCATR468289282892 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1417341126&from=slbnew&uid=WDCXWD5001AALS-00E3A0_WD-WCATR468289282892 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1417341126&from=slbnew&uid=WDCXWD5001AALS-00E3A0_WD-WCATR468289282892 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1417341126&from=slbnew&uid=WDCXWD5001AALS-00E3A0_WD-WCATR468289282892&q={searchTerms} R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1417341126&from=slbnew&uid=WDCXWD5001AALS-00E3A0_WD-WCATR468289282892&q={searchTerms} R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1417341126&from=slbnew&uid=WDCXWD5001AALS-00E3A0_WD-WCATR468289282892 O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file) O2 - BHO: TrustMediaViewerV1alpha4400 - {d44a5d6e-e5f2-420f-9a02-3828440c88d9} - (no file) O4 - HKCU\..\Run: [TorrentExpress] "C:\Program Files (x86)\TorrentExpress\TorrentExpress.exe" Сделайте новые логи по правилам (только пункт 3). + 2 лога http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635158 http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635256 Цитата Ссылка на сообщение Поделиться на другие сайты
Pravda 0 Опубликовано 11 января, 2015 Автор Share Опубликовано 11 января, 2015 CollectionLog-2015.01.11-18.50.zip AdwCleanerR0.txt mbam.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 12 января, 2015 Share Опубликовано 12 января, 2015 отправьте в карантин всё найденное в MBAm (КРОМЕ этих 2-х строк): Files: 235 RiskWare.Tool.CK, C:\Program Files\TC\Programs\UltraISO\App\UltraISO\reg.zip, , [88100fe5e2a7999d91d83e97738ec040], PUP.Optional.Bunndle, C:\Users\Admin\Downloads\warcraft 3 frozen thronerepack tfile ru.zip, , [6a2e569edaaf3bfbb5af6df0ae526d93], новый лог приложите удалите всё найденное в AdwCleaner новый лог приложите. проверьте на virustotal.com эти 2 файла (вверху). ссылки на проверки приложите. Цитата Ссылка на сообщение Поделиться на другие сайты
Pravda 0 Опубликовано 17 января, 2015 Автор Share Опубликовано 17 января, 2015 Ссылки на проверки:https://www.virustotal.com/ru/file/44568807b611dc015deed78ed3eb94cb1baa0b08ee38a3013643bb60774c11fb/analysis/1421234603/ https://www.virustotal.com/ru/file/6c6176dab2fdd2d928e011ce0fd13484427793c676624fb09dd3b0199d2c0387/analysis/1421234949/ AdwCleanerR2.txt mbam1.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 17 января, 2015 Share Опубликовано 17 января, 2015 warcraft 3 frozen thronerepack tfile ru.zip удаляйте. там адваре. что с проблемой? Цитата Ссылка на сообщение Поделиться на другие сайты
Pravda 0 Опубликовано 19 января, 2015 Автор Share Опубликовано 19 января, 2015 все в порядке. Спасибо большое! Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 19 января, 2015 Share Опубликовано 19 января, 2015 MBAM деинсталлируйте. Цитата Ссылка на сообщение Поделиться на другие сайты
Pravda 0 Опубликовано 20 января, 2015 Автор Share Опубликовано 20 января, 2015 ок Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.