Браузер ломится на etranlator7.com, etranlator8.com....

[foriss]

Доброго времени суток. Такая проблема. В браузере Opera, при попытке перейти по ссылке, через раз открывается какая-то другая (не запрошенная) страница с рекламой. В Хроме такого не замечал. Опера все время пытается соединится с серверами etranlator7.com, etranlator8.com....serv576.com.... KAVRT нашел какие-то угрозы, уничтожил, но проблема осталась. Антивирус от мелкоиягких молчит. Mbam единственное блокирует попытку оперы выйти на указанные выше сервера. Помогите пожалуйста

CollectionLog-2015.05.13-13.44.zip

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
 QuarantineFile('C:\Users\Admin\vzquwdhr.exe','');
 QuarantineFile('C:\Users\Admin\AppData\Roaming\eTranslator\eTranslator.exe','');
 DeleteFile('C:\Users\Admin\AppData\Roaming\eTranslator\eTranslator.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run-','eTranslator Automatic Update');
 DeleteFile('C:\Users\Admin\vzquwdhr.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run-','hfaynfuvyr');
ExecuteSysClean;
RebootWindows(true);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

• Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.

• Распакуйте архив с утилитой в отдельную папку.

• Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

 

 

• Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

• Прикрепите этот отчет к своему следующему сообщению.

 

 

 

Сделайте новые логи Автологгером. 

 

 

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.

• Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

 

 

[foriss]

1) Папка Quarantine пустая и архив создался пустой

2) По ссылке http://support.kaspersky.ru/virlab/helpdesk.htmlне нахожу  Запрос на исследование вредоносного файла. Есть "Проверить файл на наличие вируса". "В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера"" - такого нет по ссылке "Проверить файл на наличие вируса"

3) Прикрепил логи

AdwCleanerR0.txt

ClearLNK-13.05.2015_16-56.log

[mike 1]

Отправьте карантин на почту.

 

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

[foriss]

Сделал как вы сказали

 

Сообщение от модератора Mark D. Pearlstone

Не прикрепляйте quarantine.zip на форум. Файл удалён.

AdwCleanerS0.txt

[mike 1]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[foriss]

Высылаю

Addition.txt

FRST.txt

[mike 1]

 

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
CloseProcesses:
URLSearchHook: HKU\S-1-5-21-204153783-4064504254-1189173110-1000 - (No Name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - No File
FF NewTab: yafd:tabs
FF DefaultSearchEngine: GoSearch
FF SelectedSearchEngine: GoSearch
FF Homepage: hxxp://bejsos.ru/?utm_source=startpage03&utm_content=c3c31ff23f5f019f2e6bd268e5545917
FF Extension: Универсальный перевод для FireFox - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\ukf0qhrt.default\Extensions\translator@zoli.bod [2015-04-08]
CHR HKU\S-1-5-21-204153783-4064504254-1189173110-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] - https://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pgaidlfgjkmeendhknafahppllbniejm] - https://clients2.google.com/service/update2/crx
OPR StartupUrls: "hxxp://bejsos.ru/?utm_source=startpage03&utm_content=c3c31ff23f5f019f2e6bd268e5545917"
S3 3FF42B40; \?\C:\Users\Admin\AppData\Local\Temp\3FF42B40.sys [X]
2015-04-08 19:37 - 2015-04-07 10:25 - 00889976 ____H (Opera Software) C:\lаunсhеr.bаt.exe
2015-04-08 19:37 - 2015-02-24 05:32 - 00815272 ____H (Microsoft Corporation) C:\iехplоrе.bаt.exe
2015-04-08 19:37 - 2014-07-27 17:08 - 00879456 ____H (Opera Software) C:\оpеrа.bаt.exe
2015-04-08 19:37 - 2013-03-27 05:16 - 00920472 ____H (Mozilla Corporation) C:\firеfох.bаt.exe
2015-04-08 19:37 - 2012-12-28 21:25 - 00714526 ____H () C:\Program Files (x86)\unins000.bаt.exe
2015-04-08 19:36 - 2015-03-01 20:05 - 00430144 ____H () C:\Program Files (x86)\Lаunсhеr.bаt.exe
2015-04-08 19:36 - 2009-06-21 14:16 - 00181760 ____H (A.Ruzanov) C:\ОpеrаАС.bаt.exe
2015-05-02 14:33 - 2014-03-18 20:02 - 00000606 __RSH () C:\Users\Все пользователи\ntuser.pol
2015-05-02 14:33 - 2014-03-18 20:02 - 00000606 __RSH () C:\ProgramData\ntuser.pol
2015-04-08 19:36 - 2015-03-01 20:05 - 0430144 ____H () C:\Program Files (x86)\Lаunсhеr.bаt.exe
2015-04-08 19:37 - 2012-12-28 21:25 - 0714526 ____H () C:\Program Files (x86)\unins000.bаt.exe
2015-05-02 14:32 - 2015-05-02 14:32 - 00000000 ____D () C:\Users\Admin\AppData\Local\Поиcк в Интeрнете
2015-05-02 14:30 - 2015-05-02 17:33 - 00000000 ____D () C:\Users\Admin\AppData\Local\SystemDir
2015-03-23 18:06 - 2015-03-23 18:06 - 00000000 ____D () C:\Users\Admin\AppData\Roaming\AZK2
Task: {4F48566B-FD94-473C-9678-818111D76FED} - \Opera scheduled Autoupdate 1407045311 No Task File <==== ATTENTION
Task: {6D89A348-1259-455D-A0AB-0FBBD90BDE2B} - \{D7D6933F-6BC9-4F93-9877-D8900344D0CF} No Task File <==== ATTENTION
Task: {87C03EEB-B359-41BC-88A6-48CAB1643384} - \{83280C23-148C-46DA-9873-A60186CB6E10} No Task File <==== ATTENTION
Task: {968746FC-07B9-4DFE-A486-ACC1D36B7E33} - \{A7E5DA37-4611-4645-ACEA-BF7213DE4B5C} No Task File <==== ATTENTION
Task: {99540795-4216-420C-82AE-285C82D7AD3A} - \{DCB6BCC8-832C-486E-A61B-AEC7FDF305A7} No Task File <==== ATTENTION
Task: {F6563A5A-A9A1-4634-A695-33F3CE25923C} - \{B78F9A45-B506-4B77-A07D-28335E285B1F} No Task File <==== ATTENTION
AlternateDataStreams: C:\Users\Admin\Local Settings:init
AlternateDataStreams: C:\Users\Admin\Local Settings:wa
AlternateDataStreams: C:\Users\Admin\AppData\Local:init
AlternateDataStreams: C:\Users\Admin\AppData\Local:wa
AlternateDataStreams: C:\Users\Admin\AppData\Local\Application Data:init
AlternateDataStreams: C:\Users\Admin\AppData\Local\Application Data:wa
AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A
AlternateDataStreams: C:\ProgramData\TEMP:A064CECC
AlternateDataStreams: C:\ProgramData\TEMP:A1EDB939
AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A
AlternateDataStreams: C:\Users\Все пользователи\TEMP:A064CECC
AlternateDataStreams: C:\Users\Все пользователи\TEMP:A1EDB939
C:\Users\Admin\AppData\Roaming\Ucenun
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\{3FB1BD55-0D7F-3987-34E0-59D0150E782B}]
EmptyTemp:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

 

 

[foriss]

Высылаю лог

Fixlog.txt

[foriss]

В браузере вроде всё ОК, никаких всплывающих окон не наблюдаю пока)

[mike 1]

Логи в порядке.

 

 

• Скачайте DelFix и сохраните утилиту на Рабочем столе

Запустите DelFix

Обратите внимание

, что утилиты необходимо запускать от имени Администратора. По умолчанию в

Windows XP

так и есть. В

Windows Vista

и

Windows 7

администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать

Запуск от имени Администратора

, при необходимости укажите пароль администратора и нажмите

Да

В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup

Нажмите на кнопку Run

После окончания работы программы автоматически откроется блокнот с отчетом delfix.txt

Прикрепите этот отчет в вашей теме.

 

 

• Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt

 

[foriss]

Прикрепил логи

DelFix.txt

SecurityCheck.txt

[mike 1]

Обновите:

 

Java 8 Update 31 (64-bit) v.8.0.310 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u45-windows-x64.exe)^

Java 8 Update 31 v.8.0.310 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u45-windows-i586.exe)^

Java Auto Updater v.2.8.31.13

--------------------------- [ AppleProduction ] ---------------------------

Bonjour v.3.0.0.10

Служба Bonjour (Bonjour Service) - Служба работает

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Flash Player 17 ActiveX v.17.0.0.169 Внимание! Скачать обновления

Adobe Flash Player 17 NPAPI v.17.0.0.169 Внимание! Скачать обновления

Adobe Flash Player 17 PPAPI v.17.0.0.188

Adobe Shockwave Player + Authorware Web Player v.v11.6.8.638 Внимание! Скачать обновления

Adobe Reader XI (11.0.11) - Russian v.11.0.11 [+]

------------------------------- [ Browser ] -------------------------------

Google Chrome v.42.0.2311.135 [+]

Mozilla Firefox 20.0 (x86 ru) v.20.0 Внимание! Скачать обновления

 

Советы и рекомендации после лечения компьютера

 

[foriss]

Благодарю!