В браузерах на всех сайтах появляется реклама. И на рабочем столе появляются иконки. И пропали часы и всё что рядом с ними, кроме языковой панели
В браузерах на всех сайтах появляется реклама. И на рабочем столе появляются иконки. И пропали часы и всё что рядом с ними, кроме языковой панели
Уважаемый(ая) Сергей Никишин, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Пофиксите в HijackThis (в Windows Vista/7/8 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):Код:R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://picity.ru/?utm_source=startpage03&utm_content=d18b8f17313edd364b8e8b43094d921c&utm_term=45508C7A67B5D6E1C428A51202B7DE42 O4 - HKCU\..\Run: [divdedkyhe] explorer "http://picity.ru/?utm_source=uoua03&utm_content=87262761bfa2d56a7809cc5c266592cd&utm_term=45508C7A67B5D6E1C428A51202B7DE42"Уведомление
Сканирование запущено в 24.12.2014 14:46:18
Обновите базы AVZ и сделайте свежие логи.
WBR,
Vadim
Логи
Выполните скрипт в AVZ:Компьютер перезагрузится.Код:begin ClearQuarantine; QuarantineFile('C:\Users\Администратор\appdata\local\systemdir\nethost.exe', ''); DeleteFile('C:\Users\Администратор\appdata\local\systemdir\nethost.exe', '32'); DeleteFileMask('C:\Users\Администратор\appdata\local\systemdir', '*', true); DeleteDirectory('C:\Users\Администратор\appdata\local\systemdir'); ExecuteFile('schtasks.exe', '/delete /TN "nethost task" /F', 0, 15000, true); ExecuteSysClean; ExecuteWizard('TSW', 2, 2, true); RebootWindows(false); end.
Выполните в AVZ скрипт:
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).
WBR,
Vadim
Карантин выслал.
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!Код:CreateRestorePoint: HKU\S-1-5-21-2468592409-3805283828-4096902204-500\...\Run: [Zoom] => [X] SearchScopes: HKU\S-1-5-21-2468592409-3805283828-4096902204-500 -> DefaultScope {A06ED961-D98F-4CF9-A89B-80AB11DB149C} URL = http://go-search.ru/search?q={searchTerms} SearchScopes: HKU\S-1-5-21-2468592409-3805283828-4096902204-500 -> {A06ED961-D98F-4CF9-A89B-80AB11DB149C} URL = http://go-search.ru/search?q={searchTerms} FF DefaultSearchEngine: GoSearch FF SelectedSearchEngine: GoSearch FF Homepage: hxxp://picity.ru/?utm_source=startpage03&utm_content=d18b8f17313edd364b8e8b43094d921c&utm_term=45508C7A67B5D6E1C428A51202B7DE42 FF NetworkProxy: "user_pref("extensions.browsec.backup.network.proxy.autoconfig_url", "http://vulticulus.ignorelist.com/proxy.pac"); FF NetworkProxy: "autoconfig_url", "http://vulticulus.ignorelist.com/proxy.pac" FF SearchPlugin: C:\Users\Администратор\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\GoSearch.xml [2015-07-16] CHR Extension: (No Name) - C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\fcimjkehglmijlhnpbmjbpoiamjiegod [2015-07-15] CHR Extension: (Mail.Ru) - C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\ilamgbdaebkbpkkmfmmfbnaamkhijdek [2015-07-15] CHR HKLM-x32\...\Chrome\Extension: [aminlpmkfcdibgpgfajlgnamicjckkjf] - http://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [cncgohepihcekklokhbhiblhfcmipbdh] - http://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [gehngeifmelphpllncobkmimphfkckne] - http://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [gfimgicdombnijnjgpckdjhnjmaapafj] - http://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [gkbehdibccccaklbchjdjkpifikjiclo] - http://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [ilamgbdaebkbpkkmfmmfbnaamkhijdek] - https://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [jdkihdhlegcdggknokfekoemkjjnjhgi] - http://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [mdeldjolamfbcgnndjmjjiinnhbnbnla] - http://clients2.google.com/service/update2/crx 2015-07-15 19:11 - 2015-07-15 19:11 - 00000000 ____D C:\Users\Администратор\AppData\Local\Вoйти в Интeрнет 2015-07-15 19:02 - 2015-07-15 19:02 - 00000000 ____D C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\skinapp 2015-07-15 19:01 - 2015-07-15 19:01 - 00000000 ____D C:\Users\Администратор\AppData\Local\Поиcк в Интeрнете 2015-07-15 18:58 - 2015-07-15 18:58 - 00000000 ____D C:\Users\Администратор\AppData\Roaming\MailProducts AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A AlternateDataStreams: C:\ProgramData\TEMP:A064CECC C:\Users\Администратор\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт.lnk C:\Users\Администратор\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk InternetURL: C:\Users\Администратор\Favorites\Links\Интернет.url EmptyTemp: Reboot:
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Сообщите, что с рекламой, если осталась - в каких именно браузерах.
WBR,
Vadim
Реклама осталась во всех браузерах
DNS сервер 195.22.104.5 - ваш, или Вашего провайдера? Это Ухта, как я понимаю.
WBR,
Vadim
Деинсталлируйте программу Windows CSS styles for sites - SkinApp.
Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемой.
WBR,
Vadim
Удалите папку C:\FRST со всем содержимым.
Выполните рекомендации после лечения.
WBR,
Vadim
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\users\администратор\appdata\local\systemdir\net host.exe - HEUR:Trojan.Win32.Generic
Уважаемый(ая) Сергей Никишин, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.