Здравствуйте, появилась проблема с большим количеством всплывающих окон. Данная проблема распространяется на все браузеры.
Здравствуйте, появилась проблема с большим количеством всплывающих окон. Данная проблема распространяется на все браузеры.
Уважаемый(ая) Pavel0077, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ:Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\users\Павел\appdata\local\microsoft\windows\toolbar.exe'); QuarantineFile('C:\windows\system32\DRIVERS\rsutils.sys', ''); QuarantineFile('C:\windows\system32\drivers\protreg.sys', ''); QuarantineFile('C:\windows\system32\DRIVERS\kguard.sys', ''); QuarantineFile('C:\windows\system32\DRIVERS\sysmon.sys', ''); QuarantineFile('C:\Program Files\Application Installer\ServerCore.exe', ''); QuarantineFile('c:\users\Павел\appdata\local\microsoft\windows\toolbar.exe', ''); DeleteFile('c:\users\Павел\appdata\local\microsoft\windows\toolbar.exe', '32'); DeleteFile('C:\Program Files\Application Installer\ServerCore.exe', '32'); DeleteFile('C:\windows\system32\DRIVERS\sysmon.sys', '32'); DeleteFile('C:\windows\system32\DRIVERS\kguard.sys', '32'); DeleteFile('C:\windows\system32\drivers\protreg.sys', '32'); DeleteFile('C:\windows\system32\DRIVERS\rsutils.sys', '32'); DeleteFile('C:\windows\system32\Tasks\DSite', '32'); DeleteFile('C:\windows\system32\Tasks\SystemScript', '32'); DeleteService('rsutils'); DeleteService('rsdsys'); DeleteService('kguard'); DeleteService('sysmon'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('kguard'); BC_DeleteSvc('rsdsys'); BC_DeleteSvc('rsutils'); BC_DeleteSvc('sysmon'); BC_Activate; RebootWindows(true); end.
Выполните в AVZ скрипт:
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа.
Прикрепите эти три файла к своему следующему сообщению.
WBR,
Vadim
Карантин выслан, файлы прикреплены.
Удалите программы iLivid, Search.us.com.
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool (в папку Лечение компьютера на рабочем столе в Вашем случае).Код:HKU\S-1-5-21-3441761189-3170517905-3391597793-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://search.us.com/?guid={E7A906ED-EFD3-4A29-9D24-D068578A2060}&serpv=17 SearchScopes: HKU\S-1-5-21-3441761189-3170517905-3391597793-1000 -> {0C8ECF9C-847C-4623-B66E-B75FAC20AF25} URL = http://search.us.com/serp?guid={E7A906ED-EFD3-4A29-9D24-D068578A2060}&action=default_search&serpv=5&k={searchTerms} SearchScopes: HKU\S-1-5-21-3441761189-3170517905-3391597793-1000 -> {BB420C5D-EFFA-4D4E-A499-EC02280A0FD7} URL = http://search.yahoo.com/search?p={searchTerms}&fr=tightropetb&type=10583 SearchScopes: HKU\S-1-5-21-3441761189-3170517905-3391597793-1000 -> {F901746B-E3A6-4655-AA8C-802895ABB7A0} URL = http://ru.search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&type=937811&p={searchTerms} FF Plugin HKU\S-1-5-21-3441761189-3170517905-3391597793-1000: @tnt2ghost.com/Plugin -> C:\Users\Павел\AppData\Local\TNT2\2.0.0.1676\npTNT2ghost.dll (Search.Us.com) FF Plugin HKU\S-1-5-21-3441761189-3170517905-3391597793-1000: @tnt2npapi.com/Plugin -> C:\Users\Павел\AppData\Local\TNT2\2.0.0.1676\npTNT2.dll (Search.Us.com) FF user.js: detected! => C:\Users\Павел\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\user.js CHR HKLM\...\Chrome\Extension: [jedelkhanefmcnpappfhachbpnlhomai] - No Path 2015-01-25 14:22 - 2015-01-25 14:22 - 00000000 ____D () C:\ProgramData\Rising 2015-01-25 14:22 - 2015-01-25 14:22 - 00000000 ____D () C:\Program Files\Rising 2015-01-25 14:22 - 2015-01-25 14:22 - 00000000 ____D () C:\Program Files\Assistance 2015-01-25 14:23 - 2015-01-25 14:23 - 00000000 ___RD () C:\RavBin 2015-01-25 14:22 - 2013-12-30 10:33 - 00256280 ____N (Beijing Rising Information Technology Co., Ltd.) C:\windows\system32\ravext.dll 2015-01-25 14:22 - 2012-09-06 03:30 - 00240472 ____N (Beijing Rising Information Technology Co., Ltd.) C:\windows\system32\bsmain.exe 2015-01-25 14:22 - 2012-02-29 10:49 - 00010808 ____N (Beijing Rising Information Technology Co., Ltd.) C:\windows\system32\Drivers\rsndisp.sys 2015-01-25 14:16 - 2014-05-08 01:05 - 00000176 _____ () C:\Users\Павел\Desktop\Искать в Интернете.url 2010-12-29 04:17 - 2010-12-29 04:18 - 0000109 _____ () C:\ProgramData\{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}.log 2010-12-29 04:11 - 2010-12-29 04:11 - 0000113 _____ () C:\ProgramData\{34FBC7C4-CD31-4D93-A428-0E524EAC4586}.log 2010-12-29 04:15 - 2010-12-29 04:15 - 0000105 _____ () C:\ProgramData\{40BF1E83-20EB-11D8-97C5-0009C5020658}.log 2010-12-29 04:11 - 2010-12-29 04:14 - 0000106 _____ () C:\ProgramData\{80E158EA-7181-40FE-A701-301CE6BE64AB}.log 2010-12-29 04:15 - 2010-12-29 04:17 - 0000110 _____ () C:\ProgramData\{CB099890-1D5F-11D5-9EA9-0050BAE317E1}.log Task: {13AC8E76-FA16-47B8-AEC2-8F020CA0991E} - \SystemScript No Task File <==== ATTENTION Task: {D091BF20-F63F-4EDB-BE8F-6A89C7526D51} - \DSite No Task File <==== ATTENTION Task: {59899B89-DC11-43E8-8239-B564C3E369FE} - System32\Tasks\RsDelayLauncher_{8A34248E-7D35-4832-8378-7659E0B0A380} => C:\PROGRAM FILES\RISING\RAV\rsdelaylauncher.exe AlternateDataStreams: C:\ProgramData\Temp:07BF512B S2 RsMgrSvc; No ImagePath S2 RsRavMon; No ImagePath EmptyTemp: Reboot:
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемой.
WBR,
Vadim
Сделано. К сожалению, проблема осталась.
Удалите папку C:\FRST со всем содержимым.
Сделайте аппаратный сброс настроек роутера кнопкой reset, настройте заново, смените пароль на веб-интерфейс роутера на сложный.
Очистите кеш и куки брoузеров и кэш DNS на всех устройствах, работающих через этот роутер.
Обновите прошивку роутера, если есть для вашей модели.
WBR,
Vadim
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 6
- В ходе лечения обнаружены вредоносные программы:
- c:\users\павел\appdata\local\microsoft\windows\too lbar.exe - Trojan.MSIL.Agent.aaile ( AVAST4: Win32:Malware-gen )
Уважаемый(ая) Pavel0077, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.