Реклама на страницах сайта

[Vob]

На работе на рабочем компьютере надоела реклама. Наверное вирус влез. Прогонял курелтом - найдено всего один вирус. Проблема вот эта пока замечена, может еще есть другие:

http://savepic.su/4800366.jpg

 

Файл, созданный автологгером: Ссылка:

http://rusfolder.com/42846473

Дело в том, что не могу загрузить файлы через кнопку:Прикрепить файлы. Извините, но вот только такой выход.

Изменено 28 января, 2015 пользователем Vob

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin    
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 QuarantineFile('C:\WINDOWS\system32\gkwcm.xs','');
 DeleteFile('C:\WINDOWS\system32\gkwcm.xs','32');
 DeleteFile('C:\WINDOWS\Tasks\At1.job','32');
 DeleteFile('C:\WINDOWS\Tasks\At2.job','32');  
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи Автологгером. 

 

• Загрузите GMER по одной из указанных ссылок:

Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)

• Временно отключите драйверы эмуляторов дисков.
• Запустите программу (пользователям Vista/Seven запускать от имени Администратора по правой кнопке мыши).
• Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
• После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

 

• Sections
• IAT/EAT
• Show all

• Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
• Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
• После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

• Подробную инструкцию читайте в руководстве

 

 

В следующем вашем ответе мне требуются следующие отчеты:

 

1. CollectionLog-yyyy.mm.dd-hh.mm.zip

 

2. Gmer.log

[Vob]

 

 

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

Этого вобще на https://my.kaspersky.com/не нашел, хорошо, что там был зарегистрирован, а то и зарегистрироваться нужно было бы.

Может поможете мне - я прикреплю файл карантина:

 

Сообщение от модератора Mark D. Pearlstone

Не отправляйте карантин на форум. Файл удалён.

[Vob]

отчеты:

На работе просканировал систему с помощью программы: SpyHunter – программа нашла и обезвредила 150 угроз, а вот проблему,  ради которой содавалась эта тема не решила. Есть такое подозрение, что на компьютере в системе сидит ads wizard

CollectionLog-2015.01.29-09.15.zip

Gmer.log

[mike 1]

SpyHunter – программа нашла и обезвредила 150 угроз, а вот проблему,

Деинсталлируйте ее. Будете заниматься самолечением в помощи будет отказано. 

 

Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится 9r62qlx3.exe случайное имя утилиты (gmer)

9r62qlx3.exe -del service tgbgur
9r62qlx3.exe -del file "C:\WINDOWS\system32\gkwcm.dll"
9r62qlx3.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\lplbebppm"
9r62qlx3.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\evamxttw"
9r62qlx3.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\aztqhdpo"
9r62qlx3.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\lplbebppm"
9r62qlx3.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\evamxttw"
9r62qlx3.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\aztqhdpo"
9r62qlx3.exe -reboot

 

И запустите сохранённый пакетный файл cleanup.bat.

 

Внимание: Компьютер перезагрузится!

 

Сделайте новый лог gmer.

 

[Vob]

Извините, но не могу Прикрепить файл, поэтому только так:

Ссылка:

http://rusfolder.com/42866304

Извините, но не могу Прикрепить файл, поэтому только так:

Ссылка:

http://rusfolder.com/42866304

Извините, но не могу Прикрепить файл, поэтому только так:

Ссылка:

http://rusfolder.com/42866304

[mike 1]

Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится 9r62qlx3.exe случайное имя утилиты (gmer)

9r62qlx3.exe -del service ydxya

9r62qlx3.exe -del file "C:\WINDOWS\system32\gkwcm.dll"

9r62qlx3.exe -reboot

И запустите сохранённый пакетный файл cleanup.bat.

 

Внимание: Компьютер перезагрузится!

 

Сделайте новый лог gmer.

 

Сделайте лог HiJackThis

 

 

[Vob]

Извините, но не могу Прикрепить файл, поэтому только так:

http://rusfolder.com/42881830 - Gmer.log

 

http://rusfolder.com/42881832 - hijackthis.log

"Полученный ответ сообщите здесь (с указанием номера KLAN)" - Кнопка неактивная.Вот ответ: http://rusfolder.com/42882774

Изменено 2 февраля, 2015 пользователем Vob

[mike 1]

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

 

Будем лечиться очень долго если дыры в Windows не будут закрыты. Kido очень любит такие дырявенькие системы.

 

В обязательном порядке:

 

1. Установить

 

 MS08-067

 MS08-068

 MS09-001

 

 

2. Установите Internet Explorer 8 (даже если им не пользуетесь)

 

 

Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится 9r62qlx3.exe случайное имя утилиты (gmer)

9r62qlx3.exe -del service rprww
9r62qlx3.exe -del file "C:\Program Files\Movie Maker\gkwcm.dll"
9r62qlx3.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\rprww"
9r62qlx3.exe -reboot

И запустите сохранённый пакетный файл cleanup.bat.

 

Внимание: Компьютер перезагрузится!

 

Сделайте новый лог gmer.

 

Сделайте лог HiJackThis

 

Изменено 3 февраля, 2015 пользователем mike 1

[Vob]

http://rusfolder.com/42898350 - Gmer.log

 

http://rusfolder.com/42898351 - hijackthis.log

[Roman_Five]

пока не сделаете ЭТО

 

 

В обязательном порядке:   1. Установить    MS08-067  MS08-068  MS09-001     2. Установите Internet Explorer 8 (даже если им не пользуетесь)  

дальнейшее лечение бессмысленно.

[Vob]

Сегодня днем установил на работе KAV 15.0.1.415 вместо 360 Internet Security, а она не хочет запускаться.
Запускаю ее вручную, долго идет «Подготовка к запуску программы…» и в результате это окно пропадает с рабочего стола компьютера и значок из трея.
И еще после установки программы она автоматически не прописана в автозагрузке и приходится запускать ее в ручную через созданный на рабочем столе ярлык этой прграммы.

Может из-за того что на компьютере сидит вирус Кидо?

 

"пока не сделаете ЭТО


В обязательном порядке: 1. Установить MS08-067 MS08-068 MS09-001 2. Установите Internet Explorer 8 (даже если им не пользуетесь) "

Сделано.

http://rusfolder.com/42901983 - Gmer.log

http://rusfolder.com/42901985 - hijackthis.log

Изменено 4 февраля, 2015 пользователем Vob

[mike 1]

Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится 9r62qlx3.exe случайное имя утилиты (gmer)

9r62qlx3.exe -del service mxcwwg

9r62qlx3.exe -del file "C:\WINDOWS\system32\gkwcm.dll"

9r62qlx3.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\mxcwwg"

9r62qlx3.exe -reboot

И запустите сохранённый пакетный файл cleanup.bat.

 

Внимание: Компьютер перезагрузится!

 

Сделайте новый лог gmer.

 

[Vob]

http://rusfolder.com/42905940 - Gmer.log

[mike 1]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

 

 

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  

• Убедитесь, что под окном Optional Scan отмечены "List BCD" и "Driver MD5".
  

• Нажмите кнопку Scan.
  

• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  

• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.