Реклама

[Argentum]

Стала постоянно выскакивать реклама на различных сайтах+открываются постоянно какие-то рекламные ссылки.

 

CollectionLog-2015.10.11-23.23.zip

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 QuarantineFile('C:\Users\User\AppData\Local\gMMJtxsSTgC\CYgvdnP1.bat','');
 QuarantineFile('C:\ProgramData\kkDShPtQNxhI\adbInflHHIOkmE5.bat','');
 DeleteFile('C:\ProgramData\kkDShPtQNxhI\adbInflHHIOkmE5.bat','32');
 DeleteFile('C:\Users\User\AppData\Local\gMMJtxsSTgC\CYgvdnP1.bat','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\{045CDEEA-E5AC-4329-B69A-6F132C97FE83}','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\{084480CE-4487-4347-AA94-2DF04380BF82}','64');
ExecuteSysClean;
RebootWindows(true);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.

1. В заголовке письма напишите "Запрос на исследование вредоносного файла".

2. В письме напишите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина и нажмите "Отправить"

4. Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

• Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.

• Распакуйте архив с утилитой в отдельную папку.

• Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

 

 

• Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

• Прикрепите этот отчет к своему следующему сообщению.

 

 

 

Сделайте новые логи Автологгером. 

 

 

[Argentum]

KLAN.

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. 

CYgvdnP1.bat,
adbInflHHIOkmE5.bat

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"

CollectionLog-2015.10.12-00.12.zip

ClearLNK-11.10.2015_23-58.log

[mike 1]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Argentum]

 

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

• Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

• Нажмите кнопку Scan.

• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

FRST.txt

Addition.txt

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 

 

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [] => [X]
SearchScopes: HKU\S-1-5-21-2261844958-1233844838-2498721176-1002 -> DefaultScope {E2B39615-D019-4F7C-829B-39100E582088} URL = hxxp://www.search.ask.com/web?tpid=ORJ-ST-SPE&o=APN11461&pf=V7&p2=^BE7^OSJ000^YY^RU&gct=&itbv=12.24.1.53&apn_uid=C1357356-74A9-4C8B-B79F-A178169D4BD6&apn_ptnrs=BE7&apn_dtid=^OSJ000^YY^RU&apn_dbr=ie&doi=2015-05-08&trgb=IE&q={searchTerms}&psv=&pt=tb
BHO-x32: No Name -> {8E8F97CD-60B5-456F-A201-73065652D099} ->  No File
CHR Extension: (Домашняя страница Mail.Ru) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\bgbgnhmfbcifpkjofoojfplmfkmaiadn [2015-10-11]
CHR Extension: (Платежная система Интернет-магазина Chrome) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2015-09-20]
CHR Extension: (Quick Searcher) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\ojhmphdkpgbibohbnpbfiefkgieacjmh [2015-10-11]
CHR HKLM-x32\...\Chrome\Extension: [bgbgnhmfbcifpkjofoojfplmfkmaiadn] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bpgangmffjcofiknibcmfjionicohfgj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [nbifdkmdojgmpmopdebnjcobekgdoncn] - hxxps://clients2.google.com/service/update2/crx
2015-10-11 17:41 - 2015-10-11 23:47 - 00000000 ____D C:\Users\Все пользователи\kkDShPtQNxhI
2015-10-11 17:41 - 2015-10-11 23:47 - 00000000 ____D C:\Users\User\AppData\Local\gMMJtxsSTgC
2015-10-11 17:41 - 2015-10-11 23:47 - 00000000 ____D C:\ProgramData\kkDShPtQNxhI
2015-10-11 17:41 - 2015-10-11 19:29 - 00000592 _____ C:\task.vbs
2015-10-11 17:41 - 2015-10-11 17:41 - 00000000 ____D C:\Users\Все пользователи\XzrKlRx
2015-10-11 17:41 - 2015-10-11 17:41 - 00000000 ____D C:\Users\Все пользователи\vGAXGqW
2015-10-11 17:41 - 2015-10-11 17:41 - 00000000 ____D C:\Users\Все пользователи\duluIXb
2015-10-11 17:41 - 2015-10-11 17:41 - 00000000 ____D C:\ProgramData\XzrKlRx
2015-10-11 17:41 - 2015-10-11 17:41 - 00000000 ____D C:\ProgramData\vGAXGqW
2015-10-11 17:41 - 2015-10-11 17:41 - 00000000 ____D C:\ProgramData\duluIXb
2015-10-11 17:39 - 2015-10-11 19:29 - 00000102 _____ C:\Users\Все пользователи\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
2015-10-11 17:39 - 2015-10-11 19:29 - 00000102 _____ C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
2015-10-11 17:10 - 2015-10-11 17:10 - 00000000 ____D C:\Users\User\AppData\Roaming\WindowsUpdater
Task: {20D01895-1862-423A-B976-F1E755F11AF2} - \{084480CE-4487-4347-AA94-2DF04380BF82} -> No File <==== ATTENTION
Task: {45D41442-B098-41BC-B49A-C97E05964D03} - \{045CDEEA-E5AC-4329-B69A-6F132C97FE83} -> No File <==== ATTENTION
EmptyTemp:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

 

 

[Argentum]

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 

 

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [] => [X]
SearchScopes: HKU\S-1-5-21-2261844958-1233844838-2498721176-1002 -> DefaultScope {E2B39615-D019-4F7C-829B-39100E582088} URL = hxxp://www.search.ask.com/web?tpid=ORJ-ST-SPE&o=APN11461&pf=V7&p2=^BE7^OSJ000^YY^RU&gct=&itbv=12.24.1.53&apn_uid=C1357356-74A9-4C8B-B79F-A178169D4BD6&apn_ptnrs=BE7&apn_dtid=^OSJ000^YY^RU&apn_dbr=ie&doi=2015-05-08&trgb=IE&q={searchTerms}&psv=&pt=tb
BHO-x32: No Name -> {8E8F97CD-60B5-456F-A201-73065652D099} ->  No File
CHR Extension: (Домашняя страница Mail.Ru) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\bgbgnhmfbcifpkjofoojfplmfkmaiadn [2015-10-11]
CHR Extension: (Платежная система Интернет-магазина Chrome) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2015-09-20]
CHR Extension: (Quick Searcher) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\ojhmphdkpgbibohbnpbfiefkgieacjmh [2015-10-11]
CHR HKLM-x32\...\Chrome\Extension: [bgbgnhmfbcifpkjofoojfplmfkmaiadn] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bpgangmffjcofiknibcmfjionicohfgj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [nbifdkmdojgmpmopdebnjcobekgdoncn] - hxxps://clients2.google.com/service/update2/crx
2015-10-11 17:41 - 2015-10-11 23:47 - 00000000 ____D C:\Users\Все пользователи\kkDShPtQNxhI
2015-10-11 17:41 - 2015-10-11 23:47 - 00000000 ____D C:\Users\User\AppData\Local\gMMJtxsSTgC
2015-10-11 17:41 - 2015-10-11 23:47 - 00000000 ____D C:\ProgramData\kkDShPtQNxhI
2015-10-11 17:41 - 2015-10-11 19:29 - 00000592 _____ C:\task.vbs
2015-10-11 17:41 - 2015-10-11 17:41 - 00000000 ____D C:\Users\Все пользователи\XzrKlRx
2015-10-11 17:41 - 2015-10-11 17:41 - 00000000 ____D C:\Users\Все пользователи\vGAXGqW
2015-10-11 17:41 - 2015-10-11 17:41 - 00000000 ____D C:\Users\Все пользователи\duluIXb
2015-10-11 17:41 - 2015-10-11 17:41 - 00000000 ____D C:\ProgramData\XzrKlRx
2015-10-11 17:41 - 2015-10-11 17:41 - 00000000 ____D C:\ProgramData\vGAXGqW
2015-10-11 17:41 - 2015-10-11 17:41 - 00000000 ____D C:\ProgramData\duluIXb
2015-10-11 17:39 - 2015-10-11 19:29 - 00000102 _____ C:\Users\Все пользователи\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
2015-10-11 17:39 - 2015-10-11 19:29 - 00000102 _____ C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
2015-10-11 17:10 - 2015-10-11 17:10 - 00000000 ____D C:\Users\User\AppData\Roaming\WindowsUpdater
Task: {20D01895-1862-423A-B976-F1E755F11AF2} - \{084480CE-4487-4347-AA94-2DF04380BF82} -> No File <==== ATTENTION
Task: {45D41442-B098-41BC-B49A-C97E05964D03} - \{045CDEEA-E5AC-4329-B69A-6F132C97FE83} -> No File <==== ATTENTION
EmptyTemp:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

 

Fixlog.txt

[mike 1]

Что с проблемой?

[Argentum]

Проблемы больше нет,спасибо.Сколько по времени надо учиться,чтобы самому удалять различные вирусы?

[mike 1]

В зависимости от ваших способностей. Некоторым нужно несколько месяцев, а некоторым нужно больше одного года. Записаться в студенты можете здесь http://safezone.cc/training/. 

 

 

• Для удаления утилит, которые использовались в лечении скачайте DelFix и сохраните утилиту на Рабочем столе

• Запустите DelFix

  Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да

• В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup

• Нажмите на кнопку Run

 

 

 

• Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите отчет в вашей теме

 

 

[Argentum]

 

В зависимости от ваших способностей. Некоторым нужно несколько месяцев, а некоторым нужно больше одного года. Записаться в студенты можете здесь http://safezone.cc/training/. 

 

 

• Для удаления утилит, которые использовались в лечении скачайте DelFix и сохраните утилиту на Рабочем столе

• Запустите DelFix

  Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да

• В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup

• Нажмите на кнопку Run

 

 

 

• Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите отчет в вашей теме

 

 

По поводу проблемы, пару раз за это время выскакивали небольшие банеры с рекламой(видимо просто реже стали они появляться)

SecurityCheck.txt

[mike 1]

Обновите: 

 

Microsoft Silverlight v.5.1.10411.0 Внимание! Скачать обновления

--------------------------------- [ IM ] ----------------------------------

Skype™ 7.7 v.7.7.102 Внимание! Скачать обновления

^Необязательное обновление.^

--------------------------------- [ P2P ] ---------------------------------

-------------------------------- [ Java ] ---------------------------------

Java 8 Update 45 v.8.0.450 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u60-windows-i586.exe)^

Java 8 Update 60 v.8.0.600.27

--------------------------- [ AdobeProduction ] ---------------------------

Adobe AIR v.17.0.0.172 Внимание! Скачать обновления

Adobe Flash Player 18 NPAPI v.18.0.0.232 Внимание! Скачать обновления

Adobe Acrobat Reader DC - Russian v.15.008.20082

------------------------------- [ Browser ] -------------------------------

Yandex v.15.7.2357.2877 Внимание! Скачать обновления

^Проверьте обновления через меню Дополнительно - О браузере Yandex!^

[Argentum]

Обновил

SecurityCheck.txt

[mike 1]

Если проблем больше нет, то на этом все.