Перейти к содержанию

Baidu проклятая


Рекомендуемые сообщения

Вроде все места вычистил, но через 10-15 минут опять повляется папка в этой шнягой в одном и том же месте - C:\ProgramData\a3srv3task. Удаляю её, она опять появляется.

И еще одна беда - подцепил какую-то заразу - во всех браузерах принудительно сменила стартовую страницу, следов найти не могу. и даже если в Яндексе набираешь что-то найти - выдает результаты с помощью Mail.ru

CollectionLog-2015.04.26-00.24.zip

Изменено пользователем murkins
Ссылка на сообщение
Поделиться на другие сайты

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
 
Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.
 
Здравствуйте! 
 
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 
begin
 QuarantineFile('C:\Users\Екатерина\AppData\Roaming\newSI_649\s_inst.exe','');
 QuarantineFile('C:\Program Files (x86)\punto.bat','');
 DeleteService('BAPIDRV');
 DeleteService('Rerun service for Torrent Search');
 StopService('Updcter');
 DeleteService('Updcter');
 TerminateProcessByName('c:\programdata\online\updater.exe');
 QuarantineFile('c:\programdata\online\updater.exe','');
 DeleteFile('c:\programdata\online\updater.exe','32');
 DeleteFile('C:\Users\E784~1\AppData\Local\Temp\TorrentSearch_restartonfail\InstallAfterRebootService0.exe','32');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\BAPIDRV64.sys','32');
 DeleteFile('C:\Program Files (x86)\punto.bat','32');
 DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP1.job','64');
 DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP2.job','64');
 DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP3.job','64');
 DeleteFile('C:\Users\Екатерина\AppData\Roaming\newSI_649\s_inst.exe','32');
 DeleteFile('C:\WINDOWS\Tasks\newSI_649.job','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\APSnotifierPP1','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\APSnotifierPP2','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\APSnotifierPP3','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\newSI_649','64');
ExecuteSysClean;
RebootWindows(true);
end.
 
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
 
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
 
quarantine.zip из папки AVZ отправьте через данную форму.
1. Выберите тип запроса "Запрос на исследование вредоносного файла".
2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина
4. Введите изображенное на картинке число и нажмите "Далее".
5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
 Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://demansi.ru/?utm_source=startpage03&utm_content=3a542a6c2ca6a4f7a6b6b3d6ac639f10
O2 - BHO: BDWebAdapterBHO - {B12D2E89-D855-4D76-809F-9EB9A802E664} - (no file)
 

 

  • Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
  • Распакуйте архив с утилитой в отдельную папку.
  • Перенесите Check_Browsers_LNK.log из папки Автологгера на ClearLNK как показано на рисунке
 
move.gif
 
  • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  • Прикрепите этот отчет к своему следующему сообщению.
 
 
 
Сделайте новые логи Автологгером. 
 

 

  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.
 
Подробнее читайте в этом руководстве.
 
Ссылка на сообщение
Поделиться на другие сайты

 

 


quarantine.zip из папки AVZ отправьте через данную форму.

 

Прошу прощения, никак не могу понять, как через данную форму отправить архив карантина!

Большое спасибо за ответ.

Ссылка на сообщение
Поделиться на другие сайты

 

 

Прошу прощения, никак не могу понять, как через данную форму отправить архив карантина!

Отправьте карантин на почту newvirus@kaspersky.com

Ссылка на сообщение
Поделиться на другие сайты
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
Ссылка на сообщение
Поделиться на другие сайты
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на сообщение
Поделиться на другие сайты

 

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:
CloseProcesses:
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
Toolbar: HKU\S-1-5-21-2379310880-514828033-3735400450-1001 -> No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} -  No File
FF Extension: Закачивание музыки с вконтакте - C:\Users\Екатерина\AppData\Roaming\Mozilla\Firefox\Profiles\wa0m15es.default\Extensions\avdown_loader@av-down-site.com [2015-04-25]
CHR StartupUrls: Default -> "hxxp://demansi.ru/?utm_source=startpage03&utm_content=3a542a6c2ca6a4f7a6b6b3d6ac639f10"
CHR Extension: (Закачивание музыки с вконтакте) - C:\Users\Екатерина\AppData\Local\Google\Chrome\User Data\Default\Extensions\obnidnphmghbibkbpimalhpjglajccpa [2015-04-25]
CHR HKLM-x32\...\Chrome\Extension: [hhjmihalfdochhinhfogciaafppfgpjj] - https://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [mfmjpfoggikolkfilofbpgcnhdcgahib] - https://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [mofcklffffgbdgnoipdokcclbhomkpie] - https://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pfjgibhmcgncmjhdodpaolfbjpjjajal] - https://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pgaidlfgjkmeendhknafahppllbniejm] - https://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pleoihkpdomoijdpaibdciidfoeedamm] - https://clients2.google.com/service/update2/crx
OPR StartupUrls: "hxxp://demansi.ru/?utm_source=startpage03&utm_content=3a542a6c2ca6a4f7a6b6b3d6ac639f10"
OPR Extension: (Закачивание музыки с вконтакте) - C:\Users\Екатерина\AppData\Roaming\Opera Software\Opera Stable\Extensions\obnidnphmghbibkbpimalhpjglajccpa [2015-04-25]
OPR Extension: (PhoenixGuard - бесплатный антивирусный тулбар) - C:\Users\Екатерина\AppData\Roaming\Opera Software\Opera Stable\Extensions\pleoihkpdomoijdpaibdciidfoeedamm [2014-11-14]
2015-04-25 04:19 - 2015-04-25 04:19 - 00000000 ____D () C:\Users\Екатерина\AppData\Local\Вoйти в Интeрнет
2015-04-25 04:13 - 2015-04-25 04:13 - 00000000 ____D () C:\Users\Екатерина\AppData\Local\Поиcк в Интeрнете
Folder: C:\Users\Екатерина\AppData\Roaming\c
2015-04-26 22:05 - 2014-11-13 12:36 - 00000258 __RSH () C:\Users\Екатерина\ntuser.pol
2015-04-26 21:56 - 2014-11-13 12:36 - 00000258 __RSH () C:\Users\Все пользователи\ntuser.pol
2015-04-26 21:56 - 2014-11-13 12:36 - 00000258 __RSH () C:\ProgramData\ntuser.pol
2014-08-12 12:04 - 2014-08-12 12:04 - 0018436 __RSH () C:\Users\Екатерина\AppData\Roaming\winserv.exe
FirewallRules: [{C0134ACC-595C-4F6F-B42B-6B18A08CD0D7}] => (Allow) C:\Program Files (x86)\360\Total Security\LiveUpdate360.exe
FirewallRules: [{F1953B32-6C84-431F-A101-CD0ECE23A60D}] => (Allow) C:\Program Files (x86)\360\Total Security\LiveUpdate360.exe
FirewallRules: [{0686FA8B-B91C-4793-A7AB-61561DD85285}] => (Allow) C:\Program Files (x86)\360\Total Security\safemon\QHSafeTray.exe
FirewallRules: [{4DCDA172-2CB2-47C6-BE78-A8020D14BF31}] => (Allow) C:\Program Files (x86)\360\Total Security\safemon\QHSafeTray.exe
EmptyTemp:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
 
 

  • Скачайте архив с утилитой Registry Search и распакуйте его в отдельную папку на рабочем столе.
  • Запустите утилиту.
  • В верхнем окне, предназначенном для поиска введите:
KometaAutoLaunch_E9385FE6D8356A2DE6A619E8052B3FD9
  • Нажмите кнопку "OK".
  • В блокноте откроется текст, скопируйте его и вставьте в следующее сообщение.
 

 

Ссылка на сообщение
Поделиться на другие сайты

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.6.0

; Results at 26.04.2015 23:50:47 for strings:
;  'kometaautolaunch_e9385fe6d8356a2de6a619e8052b3fd9'
; Strings excluded from search:
;  (None)
; Search in:
; Registry Keys  Registry Values  Registry Data  
; HKEY_LOCAL_MACHINE  HKEY_USERS  


[HKEY_USERS\S-1-5-21-2379310880-514828033-3735400450-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run]
; Contents of value:
;      ‰ю_нш~Р
"KometaAutoLaunch_E9385FE6D8356A2DE6A619E8052B3FD9"=hex:03,00,00,00,89,fe,5f,\
  ed,f8,7e,d0,01

; End Of The Log...

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты

:Processes
 
:Services
 
:Files
C:\Users\Екатерина\AppData\Roaming\c
 
:Reg
[HKEY_USERS\S-1-5-21-2379310880-514828033-3735400450-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run]
"pcket_x86"=-
"KometaAutoLaunch_E9385FE6D8356A2DE6A619E8052B3FD9"=-
"KometaLaunchPanel"=-
"kometaup"=-
 
[purity]
[Reboot]
  • В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!"
  • Компьютер перезагрузится.
  • После перезагрузки откройте папку "C:\_OTM\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и прикрепите его в следующее сообщение.
 
 
Ссылка на сообщение
Поделиться на другие сайты

Нажмите Win+R, введите regedit, нажмите Enter. Откроется редактор реестра в нем найдите ключ реестра 

 

HKEY_USERS\S-1-5-21-2379310880-514828033-3735400450-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run

 

Удалите параметры:

 

pcket_x86

KometaAutoLaunch_E9385FE6D8356A2DE6A619E8052B3FD9
KometaLaunchPanel
kometaup

 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...