Старая "замазка" опять в браузерах (nftds2.ru)

[zyablik]

Запущенный комп (Win7HB, ESET demo), не включался. Пропылесосил — включился-таки. Однако при запуске компьютера запускается браузер по умолчанию со страницей nftds2.ru (вдобавок ко вкладке со стартовой страницей). Была Опера — удалил. Поставил Хром — nftds2.ru теперь в Хроме. AutoLogger'ом, MBAM'ом, ADWCleaner'ом прогнал. Обоз и ныне там, увы. Видать, долго они живут с этим. Комп в работе, хотелось завтра вернуть. Спасибо.

CollectionLog-2015.04.07-15.21.zipAdwCleanerR0.txtAdwCleanerR1.txtAdwCleanerR2.txtAdwCleanerS0.txt

Логов много получилось, т.к. ESET NOD'у ADWCleaner долго не нравился.
MBAM 17 штук чего-то находил, я все это пофиксил им же. Лог, видимо, не сохранил. Но программу пока держу.
Кстати, что странно, Opera новая не ставится в упор.

Изменено 7 апреля, 2015 пользователем zyablik

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! Не надо прикреплять отчеты которые вас не просили делать. 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
SetAVZPMStatus(false);
 QuarantineFile('C:\Users\USER\local settings\application data\ExtensionInstaller_videoge_0.1.3\config.json','');
 DelBHO('{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a}');
 QuarantineFile('C:\Program Files\Yandex\Punto Switcher\punto.url','');
 DeleteFile('C:\Program Files\Yandex\Punto Switcher\punto.url','32');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NextLive');
 DeleteFile('C:\Users\USER\local settings\application data\ExtensionInstaller_videoge_0.1.3\config.json','32');
 DeleteFile('C:\Windows\system32\Tasks\ExtensionInstallerX_videoge_0.1.3','32');
ExecuteSysClean;
RebootWindows(true);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)

 

• Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.

• Распакуйте архив с утилитой в отдельную папку.

• Перенесите Check_Browsers_LNK.log из папки Автологгера на ClearLNK как показано на рисунке

 

 

• Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

• Прикрепите этот отчет к своему следующему сообщению.

 

 

 

Сделайте новые логи Автологгером. 

 

 

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

• Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

• Нажмите кнопку Scan.

• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

 

[zyablik]

Спасибо огромное. После первого же скрипта зараза пропала. Но остальные поручения тоже выполняем.
Карантин AVZ отправили по форме.

В HiJackThis действительно присутствовала только одна из указанных строк:

 

O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)

Пофиксили ее.

Остальные логи: CollectionLog-2015.04.08-07.57.zip, ClearLNK-08.04.2015_07-47.log, Addition.txt, FRST.txt.

Изменено 8 апреля, 2015 пользователем zyablik

[mike 1]

 

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
CloseProcesses:
BHO: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} ->  No File
BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} ->  No File
Toolbar: HKU\S-1-5-21-1574013377-1039689758-3807114654-1001 -> No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} -  No File
CHR HomePage: Default -> hxxp://htt/
2015-03-06 12:41 - 2015-03-06 12:41 - 00000000 ____D () C:\Users\USER\AppData\Local\Поиcк в Интeрнете
2015-04-01 15:43 - 2013-08-15 07:58 - 00000000 ___HD () C:\systemhost
2011-09-26 10:43 - 2011-09-26 10:43 - 0002644 _____ () C:\Users\USER\AppData\Roaming\4444.tmp
2011-09-26 10:43 - 2011-09-26 10:43 - 0002645 _____ () C:\Users\USER\AppData\Roaming\4A3E.tmp
CustomCLSID: HKU\S-1-5-21-1574013377-1039689758-3807114654-1001_Classes\CLSID\{035FBE31-3755-450A-A775-5E6BBD43D344}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-1574013377-1039689758-3807114654-1001_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-1574013377-1039689758-3807114654-1001_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-1574013377-1039689758-3807114654-1001_Classes\CLSID\{62A0D750-DED9-448C-B693-406B34BB0892}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-1574013377-1039689758-3807114654-1001_Classes\CLSID\{634059C0-D264-4B2C-AE80-F73E48D33E5B}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-1574013377-1039689758-3807114654-1001_Classes\CLSID\{6D7374DE-63AA-473C-8C02-60D9CDCD84C5}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-1574013377-1039689758-3807114654-1001_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-1574013377-1039689758-3807114654-1001_Classes\CLSID\{91EFB276-CEFE-48EC-BB3A-57795A7B4008}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-1574013377-1039689758-3807114654-1001_Classes\CLSID\{A45426FB-E444-42B2-AA56-419F8FBEEC61}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-1574013377-1039689758-3807114654-1001_Classes\CLSID\{A54D478D-4F70-4F72-9A74-17C9986E35AB}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-1574013377-1039689758-3807114654-1001_Classes\CLSID\{C5A2122B-A05B-4FD8-AE49-91990AE10998}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-1574013377-1039689758-3807114654-1001_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-1574013377-1039689758-3807114654-1001_Classes\CLSID\{EB06378B-ABB6-4B3C-9B40-D488DD8A6E93}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-1574013377-1039689758-3807114654-1001_Classes\CLSID\{FB994D36-B312-46CE-A40B-CF63980641F9}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-1574013377-1039689758-3807114654-1001_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> No File Path
Task: {9644B0A0-E151-4BFB-9C95-B894AE984653} - \ExtensionInstallerX_videoge_0.1.3 No Task File <==== ATTENTION
AlternateDataStreams: C:\Users\USER\Local Settings:wa
AlternateDataStreams: C:\Users\USER\AppData\Local:wa
AlternateDataStreams: C:\Users\USER\AppData\Local\Application Data:wa
Folder: C:\FRST\Quarantine
EmptyTemp:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.