Underground 0 Опубликовано 10 марта, 2015 Share Опубликовано 10 марта, 2015 При переходе по ссылкам в браузерах открываются окна с рекламой, также рекламные баннеры "висят" на страницах сайтов. Файл протоколов (логов) прилагаю. CollectionLog-2015.03.10-11.59.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 10 марта, 2015 Share Опубликовано 10 марта, 2015 Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantine; TerminateProcessByName('c:\program files (x86)\deal keeper\bin\utildealkeeper.exe'); TerminateProcessByName('c:\program files (x86)\deal keeper\updatedealkeeper.exe'); TerminateProcessByName('c:\users\Олеся\appdata\locallow\yandex\toolbar\packages\{b7d4b777-24e9-49f6-b018-db4387563032}\esynchelper.exe'); TerminateProcessByName('c:\program files (x86)\deal keeper\bin\dealkeeper.expext.exe'); TerminateProcessByName('C:\Program Files (x86)\Deal Keeper\bin\DealKeeper.BrowserAdapter64.exe'); TerminateProcessByName('c:\program files (x86)\deal keeper\bin\dealkeeper.browseradapter.exe'); TerminateProcessByName('c:\program files (x86)\deal keeper\bin\dealkeeper.boashelper.exe'); SetServiceStart('Util Deal Keeper', 4); SetServiceStart('Update Deal Keeper', 4); StopService('Util Deal Keeper'); StopService('Update Deal Keeper'); QuarantineFile('C:\Users\Олеся\appdata\local\pay-by-ads\yahoo! search\1.3.15.4\dsrsetup.exe',''); QuarantineFile('C:\Users\Олеся\appdata\local\pay-by-ads\yahoo! search\1.3.15.4\dsrlte.exe',''); QuarantineFile('C:\Users\Олеся\appdata\local\pay-by-ads\yahoo! search\1.3.12.4\dsrsetup.exe',''); QuarantineFile('C:\Users\Олеся\appdata\local\pay-by-ads\yahoo! search\1.3.12.4\dsrlte.exe',''); QuarantineFile('C:\Users\Олеся\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.19.2\dsrsetup.exe',''); QuarantineFile('C:\Users\Олеся\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.19.2\dsrlte.exe',''); QuarantineFile('C:\Program Files (x86)\Optimizer Pro\OptProLauncher.exe',''); QuarantineFile('C:\Windows\MSetup\BA46-12225A02\EPM.exe',''); QuarantineFile('C:\Program Files (x86)\WildTangent Games\App\GamesAppService.exe',''); QuarantineFile('C:\Program Files (x86)\WildTangent Games\App\GamesAppIntegrationService.exe',''); QuarantineFile('C:\windows\system32\drivers\{eb8709c5-52a2-49ef-9341-2b49aaf413b8}w64.sys',''); QuarantineFile('C:\Program Files (x86)\Deal Keeper\bin\eb8709c552a249ef93412b49aaf413b8.dll',''); QuarantineFile('C:\Program Files (x86)\Deal Keeper\bin\DealKeeper.expextdll.dll',''); QuarantineFile('c:\program files (x86)\deal keeper\bin\utildealkeeper.exe',''); QuarantineFile('c:\program files (x86)\deal keeper\updatedealkeeper.exe',''); QuarantineFile('c:\users\Олеся\appdata\locallow\yandex\toolbar\packages\{b7d4b777-24e9-49f6-b018-db4387563032}\esynchelper.exe',''); QuarantineFile('C:\Program Files (x86)\Deal Keeper\bin\DealKeeper.PurBrowse64.exe',''); QuarantineFile('c:\program files (x86)\deal keeper\bin\dealkeeper.expext.exe',''); QuarantineFile('C:\Program Files (x86)\Deal Keeper\bin\DealKeeper.BrowserAdapter64.exe',''); QuarantineFile('c:\program files (x86)\deal keeper\bin\dealkeeper.browseradapter.exe',''); QuarantineFile('c:\program files (x86)\deal keeper\bin\dealkeeper.boashelper.exe',''); DeleteFile('c:\program files (x86)\deal keeper\bin\dealkeeper.boashelper.exe','32'); DeleteFile('c:\program files (x86)\deal keeper\bin\dealkeeper.browseradapter.exe','32'); DeleteFile('C:\Program Files (x86)\Deal Keeper\bin\DealKeeper.BrowserAdapter64.exe','32'); DeleteFile('c:\program files (x86)\deal keeper\bin\dealkeeper.expext.exe','32'); DeleteFile('C:\Program Files (x86)\Deal Keeper\bin\DealKeeper.PurBrowse64.exe','32'); DeleteFile('c:\users\Олеся\appdata\locallow\yandex\toolbar\packages\{b7d4b777-24e9-49f6-b018-db4387563032}\esynchelper.exe','32'); DeleteFile('C:\Program Files (x86)\Deal Keeper\bin\DealKeeper.expextdll.dll','32'); DeleteFile('C:\Program Files (x86)\Deal Keeper\bin\eb8709c552a249ef93412b49aaf413b8.dll','32'); DeleteFile('C:\windows\system32\drivers\{eb8709c5-52a2-49ef-9341-2b49aaf413b8}w64.sys','32'); DeleteFile('C:\Program Files (x86)\Deal Keeper\updateDealKeeper.exe','32'); DeleteFile('C:\Program Files (x86)\Deal Keeper\bin\utilDealKeeper.exe','32'); DeleteFile('C:\Users\Олеся\appdata\local\pay-by-ads\yahoo! search\1.3.12.4\dsrlte.exe','32'); DeleteFile('C:\Users\Олеся\appdata\local\pay-by-ads\yahoo! search\1.3.12.4\dsrsetup.exe','32'); DeleteFile('C:\Users\Олеся\appdata\local\pay-by-ads\yahoo! search\1.3.15.4\dsrlte.exe','32'); DeleteFile('C:\Users\Олеся\appdata\local\pay-by-ads\yahoo! search\1.3.15.4\dsrsetup.exe','32'); DeleteService('Util Deal Keeper'); DeleteService('Update Deal Keeper'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin DeleteFile('Qurantine.zip',''); ExecuteFile('7z.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через портал My Kaspersky (если являетесь пользователем продуктов Лаборатории Касперского и владеете действующим кодом активации одного из продуктов) или через портал Kaspersky Virus Desk. Для получения ответа в более короткий срок отправьте Ваш запрос через портал My Kaspersky. Порядок действий на портале My Kaspersky:: 1) Пройдите авторизацию в Kaspersky Account, используя адрес электронной почты/логин и пароль. Если Вы ещё не зарегистрированы в Kaspersky Account, выберите Создать Kaspersky Account и следуйте инструкциям. На вкладке Мои коды портала My Kaspersky добавьте действующий код активации используемого Вами продукта; 2) На вкладке Мои запросы выберите Создать запрос и создайте запрос в Вирусную лабораторию; 3) В меню Выберите тип запроса выберите Запрос на исследование вредоносного файла; 4) В окне Опишите проблему укажите: Выполняется запрос консультанта. Пароль на архив - infected; 5) Чтобы прикрепить к запросу архив карантина, установите флажок Я принимаю условия соглашения о загрузке файлов и нажмите на ссылку Загрузить. Важно: размер архива не должен превышать 15 МБ; 6) В строке EMail укажите адрес своей электронной почты; 7) Проверьте правильность введенных данных и нажмите на кнопку Отправка запроса. Порядок действий на портале Kaspersky Virus Desk:: 1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты; 2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина. Важно: размер архива не должен превышать 12 МБ; 3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл. 4) Дождитесь ответа об успешной загрузке карантина. Полученный через электронную почту ответ сообщите в этой теме. Сделайте новые логи по правилам (только пункт 3). + приложите лог Farbar Recovery Scan Tool http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696 Цитата Ссылка на сообщение Поделиться на другие сайты
Underground 0 Опубликовано 10 марта, 2015 Автор Share Опубликовано 10 марта, 2015 Выполнила первый скрипт. Второй, для создания архива с карантином, так же выполнила, но после его выполнения, в папке AVZ архива Quarantine.zip не обнаружила. Есть просто папка Quarantine, в ней же другая папка с названием 2015-03-10. Поясните, пожалуйста, после выполнения скрипта архива формируется сам, или следует самостоятельно произвести архивацию папки? Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 10 марта, 2015 Share Опубликовано 10 марта, 2015 после выполнения скрипта архива формируется сам да. Сделайте новые логи по правилам (только пункт 3). + приложите лог Farbar Recovery Scan Tool http://forum.kaspers...611?do=findComment&comment=647696 Цитата Ссылка на сообщение Поделиться на другие сайты
Underground 0 Опубликовано 11 марта, 2015 Автор Share Опубликовано 11 марта, 2015 Выполнила. CollectionLog-2015.03.11-11.00.zip FixerBro_20150311.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 11 марта, 2015 Share Опубликовано 11 марта, 2015 FixerBro_20150311.txt 10,68К скачиваний 0 не тот лог, что просил. http://forum.kasperskyclub.ru/index.php?showtopic=45653&do=findComment&comment=647696 Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantine; QuarantineFile('C:\Program Files (x86)\Optimizer Pro\OptProLauncher.exe',''); QuarantineFile('C:\Windows\MSetup\BA46-12225A02\EPM.exe',''); QuarantineFile('C:\Users\Олеся\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.19.2\dsrsetup.exe',''); QuarantineFile('C:\Program Files (x86)\WildTangent Games\App\GamesAppIntegrationService.exe',''); QuarantineFile('C:\Program Files (x86)\WildTangent Games\App\GamesAppService.exe',''); QuarantineFile('C:\windows\system32\drivers\{eb8709c5-52a2-49ef-9341-2b49aaf413b8}w64.sys',''); DeleteFile('C:\windows\system32\drivers\{eb8709c5-52a2-49ef-9341-2b49aaf413b8}w64.sys','32'); DeleteFile('C:\windows\system32\Tasks\Yahoo! Search Updater','64'); DeleteFile('C:\Users\Олеся\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.19.2\dsrsetup.exe','32'); DeleteFile('C:\windows\system32\Tasks\EasyPartitionManager','64'); DeleteFile('C:\Windows\MSetup\BA46-12225A02\EPM.exe','32'); DeleteFile('C:\Program Files (x86)\Optimizer Pro\OptProLauncher.exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin DeleteFile('Qurantine.zip',''); ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через портал My Kaspersky (если являетесь пользователем продуктов Лаборатории Касперского и владеете действующим кодом активации одного из продуктов) или через портал Kaspersky Virus Desk. Для получения ответа в более короткий срок отправьте Ваш запрос через портал My Kaspersky. Порядок действий на портале My Kaspersky:: 1) Пройдите авторизацию в Kaspersky Account, используя адрес электронной почты/логин и пароль. Если Вы ещё не зарегистрированы в Kaspersky Account, выберите Создать Kaspersky Account и следуйте инструкциям. На вкладке Мои коды портала My Kaspersky добавьте действующий код активации используемого Вами продукта; 2) На вкладке Мои запросы выберите Создать запрос и создайте запрос в Вирусную лабораторию; 3) В меню Выберите тип запроса выберите Запрос на исследование вредоносного файла; 4) В окне Опишите проблему укажите: Выполняется запрос консультанта. Пароль на архив - infected; 5) Чтобы прикрепить к запросу архив карантина, установите флажок Я принимаю условия соглашения о загрузке файлов и нажмите на ссылку Загрузить. Важно: размер архива не должен превышать 15 МБ; 6) В строке EMail укажите адрес своей электронной почты; 7) Проверьте правильность введенных данных и нажмите на кнопку Отправка запроса. Порядок действий на портале Kaspersky Virus Desk:: 1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты; 2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина. Важно: размер архива не должен превышать 12 МБ; 3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл. 4) Дождитесь ответа об успешной загрузке карантина. Полученный через электронную почту ответ сообщите в этой теме. Сделайте новые логи по правилам (только пункт 3). Цитата Ссылка на сообщение Поделиться на другие сайты
Underground 0 Опубликовано 11 марта, 2015 Автор Share Опубликовано 11 марта, 2015 Вот нужные отчеты, кроме архива Quarantine.zip. После выполнения скрипта сформировалась просто папка с названием сегодняшней даты, вы же написали, что после выполнения скрипта архив должен сформироваться сам (под архивом я понимаю файл, с расширением ZIP). CollectionLog-2015.03.11-16.48.zip Addition.txt FRST.txt Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 12 марта, 2015 Share Опубликовано 12 марта, 2015 Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: GroupPolicy: Group Policy on Chrome detected <======= ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION BHO-x32: No Name -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> No File Toolbar: HKU\S-1-5-21-3102738836-3127478194-571303593-1001 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File Toolbar: HKU\S-1-5-21-3102738836-3127478194-571303593-1001 -> Элементы Яндекса - {91397D20-1446-11D4-8AF4-0040CA1127B6} - C:\Program Files (x86)\Yandex\Elements\bartab64host.dll No File FF Extension: shopndrop - C:\Users\Олеся\AppData\Roaming\Mozilla\Firefox\Profiles\3kt9d17b.default\Extensions\0R@h.net [2014-12-12] FF Extension: surfkeepit - C:\Users\Олеся\AppData\Roaming\Mozilla\Firefox\Profiles\3kt9d17b.default\Extensions\7CrFz@MzjzMB.com [2014-12-12] FF Extension: CoupScanner - C:\Users\Олеся\AppData\Roaming\Mozilla\Firefox\Profiles\3kt9d17b.default\Extensions\8Qx5@9PKWJiU.edu [2014-12-18] FF Extension: rrealdeal - C:\Users\Олеся\AppData\Roaming\Mozilla\Firefox\Profiles\3kt9d17b.default\Extensions\b9@p1U.org [2015-01-23] FF Extension: wEBBsaaveer - C:\Users\Олеся\AppData\Roaming\Mozilla\Firefox\Profiles\3kt9d17b.default\Extensions\def2fxo@t-y.com [2014-10-01] FF Extension: savinGtoyyou - C:\Users\Олеся\AppData\Roaming\Mozilla\Firefox\Profiles\3kt9d17b.default\Extensions\gfltobp@zuvftu.edu [2014-12-12] FF Extension: saavingtooyoau - C:\Users\Олеся\AppData\Roaming\Mozilla\Firefox\Profiles\3kt9d17b.default\Extensions\iAf@a.net [2015-01-23] FF Extension: saveron - C:\Users\Олеся\AppData\Roaming\Mozilla\Firefox\Profiles\3kt9d17b.default\Extensions\qi@RhfJ0aSw.com [2014-12-12] FF Extension: SooftCOup - C:\Users\Олеся\AppData\Roaming\Mozilla\Firefox\Profiles\3kt9d17b.default\Extensions\sleof-btb@ak-oydr.co.uk [2014-09-09] FF Extension: FlexxibleShopper - C:\Users\Олеся\AppData\Roaming\Mozilla\Firefox\Profiles\3kt9d17b.default\Extensions\Vf@QgaIU0.edu [2015-03-05] CHR HKLM\...\Chrome\Extension: [dbhjdbfgekjfcfkkfjjmlmojhbllhbho] - https://chrome.google.com/webstore/detail/dbhjdbfgekjfcfkkfjjmlmojhbllhbho [Not Found] CHR HKLM-x32\...\Chrome\Extension: [aminlpmkfcdibgpgfajlgnamicjckkjf] - http://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [dbhjdbfgekjfcfkkfjjmlmojhbllhbho] - https://chrome.google.com/webstore/detail/dbhjdbfgekjfcfkkfjjmlmojhbllhbho [Not Found] CHR HKLM-x32\...\Chrome\Extension: [jdkihdhlegcdggknokfekoemkjjnjhgi] - http://clients2.google.com/service/update2/crx R1 {eb8709c5-52a2-49ef-9341-2b49aaf413b8}w64; C:\Windows\System32\drivers\{eb8709c5-52a2-49ef-9341-2b49aaf413b8}w64.sys [48784 2015-03-06] (StdLib) 2015-03-06 14:32 - 2015-03-06 14:32 - 00000000 __SHD () C:\Users\Олеся\AppData\Local\EmieBrowserModeList 2015-03-02 13:16 - 2015-03-04 02:58 - 00000000 ____D () C:\Program Files\DeaLsiFindErrPro 2015-03-10 14:59 - 2014-10-01 18:45 - 00000258 __RSH () C:\Users\Все пользователи\ntuser.pol 2015-03-10 14:59 - 2014-10-01 18:45 - 00000258 __RSH () C:\ProgramData\ntuser.pol 2015-03-06 14:09 - 2014-10-14 09:45 - 00000000 ____D () C:\Users\Все пользователи\Sauvingtoyou 2015-03-06 14:09 - 2014-10-14 09:45 - 00000000 ____D () C:\ProgramData\Sauvingtoyou 2015-03-06 14:09 - 2014-09-26 19:59 - 00000000 ____D () C:\Users\Все пользователи\websaver 2015-03-06 14:09 - 2014-09-26 19:59 - 00000000 ____D () C:\ProgramData\websaver 2015-03-06 14:09 - 2014-09-09 16:36 - 00000000 ____D () C:\Users\Все пользователи\SoftCOup 2015-03-06 14:09 - 2014-09-09 16:36 - 00000000 ____D () C:\ProgramData\SoftCOup 2015-03-04 02:58 - 2015-01-21 18:50 - 00000000 ____D () C:\Users\Все пользователи\couupOnpeeak 2015-03-04 02:58 - 2015-01-21 18:50 - 00000000 ____D () C:\ProgramData\couupOnpeeak 2015-03-04 02:58 - 2015-01-07 22:09 - 00000000 ____D () C:\Users\Все пользователи\WooWCoupon 2015-03-04 02:58 - 2015-01-07 22:09 - 00000000 ____D () C:\Users\Все пользователи\savIngtoyoue 2015-03-04 02:58 - 2015-01-07 22:09 - 00000000 ____D () C:\ProgramData\WooWCoupon 2015-03-04 02:58 - 2015-01-07 22:09 - 00000000 ____D () C:\ProgramData\savIngtoyoue 2015-03-03 17:31 - 2014-09-09 16:24 - 00000000 ____D () C:\Users\Все пользователи\Performance Optimizer 2015-03-03 17:31 - 2014-09-09 16:24 - 00000000 ____D () C:\ProgramData\Performance Optimizer 2015-03-03 06:11 - 2014-05-28 15:08 - 00000000 ____D () C:\Users\Олеся\AppData\Local\Amigo 2015-03-02 13:08 - 2014-07-04 09:49 - 00002273 _____ () C:\Users\Олеся\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Одноклассники.lnk 2015-03-02 13:08 - 2014-07-04 09:49 - 00002273 _____ () C:\Users\Олеся\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Вконтакте.lnk 2015-03-02 13:08 - 2014-07-04 09:48 - 00002248 _____ () C:\Users\Олеся\Desktop\Одноклассники.lnk 2015-03-02 13:08 - 2014-05-28 15:08 - 00002236 _____ () C:\Users\Олеся\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Амиго.lnk Task: {A8B58D64-3BD6-4DB9-AF51-0FF4AE535A7E} - System32\Tasks\Optimizer Pro Schedule => C:\Program Files (x86)\Optimizer Pro\OptProLauncher.exe <==== ATTENTION Task: {E08E23AC-0EC9-40E2-96CF-9F58341EF30B} - System32\Tasks\Yahoo! Search Updater => C:\Users\Олеся\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.19.2\dsrsetup.exe <==== ATTENTION Reboot: Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.