Добрый день!
В броузере Опера при переходе не новую страницу всплывают рекламные баннеры.
Спасибо
Добрый день!
В броузере Опера при переходе не новую страницу всплывают рекламные баннеры.
Спасибо
Уважаемый(ая) mpbakunov, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте!
- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); SetServiceStart('privoxy', 4); StopService('privoxy'); QuarantineFile('C:\Users\Александр\AppData\Roaming\privoxy\mgwz.dll', ''); QuarantineFile('C:\ProgramData\TimeTasks\timetasks.exe', ''); QuarantineFileF('C:\ProgramData\TimeTasks\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.tmp*', true, '', 0, 0); QuarantineFile('C:\Program Files\Zaxar\ZaxarLoader.exe', ''); QuarantineFileF('C:\Program Files\Zaxar\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.tmp*', true, '', 0, 0); QuarantineFile('C:\Program Files\Zaxar\ZaxarGameBrowser.exe', ''); QuarantineFile('C:\Users\8523~1\AppData\Local\Temp\iMSPCLOj.sys', ''); QuarantineFile('C:\Windows\system32\drivers\dgderdrv.sys', ''); QuarantineFile('C:\Users\Александр\AppData\Roaming\privoxy\privoxy.exe', ''); QuarantineFileF('C:\Users\Александр\AppData\Roaming\privoxy\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.tmp*', true, '', 0, 0); DeleteFile('C:\Users\Александр\AppData\Roaming\privoxy\mgwz.dll', '32'); DeleteFile('C:\Users\Александр\AppData\Roaming\privoxy\privoxy.exe', '32'); DeleteFile('C:\Program Files\Zaxar\ZaxarGameBrowser.exe', '32'); DeleteFile('C:\Program Files\Zaxar\ZaxarLoader.exe', '32'); DeleteFile('C:\ProgramData\TimeTasks\timetasks.exe', '32'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); DeleteService('privoxy'); DeleteFileMask('C:\ProgramData\TimeTasks\', '*', true); DeleteFileMask('C:\Program Files\Zaxar\', '*', true); DeleteDirectory('C:\ProgramData\TimeTasks\'); DeleteDirectory('C:\Program Files\Zaxar\'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ZaxarGameBrowser'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ZaxarLoader'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Timestasks'); BC_ImportALL; ExecuteSysClean; ExecuteRepair(22); ExecuteWizard('SCU', 2, 3, true); BC_Activate; RebootWindows(true); end.
После перезагрузки:
- Выполните в АВЗ:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
Сделал!
Профиксите в HijackThis
сделайте новый лог HijackThisКод:R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:80 O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
- Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
- Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
- Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
- Прикрепите отчет к своему следующему сообщению.
Сделал!
- Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.
Сделайте полный образ автозапуска uVS, только программу скачайте отсюда.
Сделал!
Сделал!
маил.ру сами не ставили!
нет
Ещё вопрос
знакомо? Сами ставили? Если нет, то удалите из расширений.Код:C:\USERS\АЛЕКСАНДР\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\FHNIFEBBAFONOFDNBIMIAEJAHCFIFMEC\1.2.7_0\TEAMO.RU
Java(TM) 6 Update 26 - деинсталируйте.
Выполните скрипт в uVS
сделайте свежий лог uVS.Код:;uVS v3.86.7 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c BREG delref %SystemDrive%\USERS\АЛЕКСАНДР\APPDATA\LOCAL\XPOM\APPLICATION\CHROME.EXE delref %SystemDrive%\USERS\АЛЕКСАНДР\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\BROWSER.EXE delref %SystemDrive%\USERS\АЛЕКСАНДР\APPDATA\LOCAL\YANDEX\BROWSERMANAGER\BROWSERMANAGERSHOW.EXE delall 127.0.0.1:80 delall HTTP://WWW.MAIL.RU/CNT/5087 delall HTTP://WWW.MAIL.RU/CNT/5089 delall HTTP://WWW.MAIL.RU/CNT/7227 delall HTTP://MAIL.RU/CNT/10445?GP=789162 delall HTTP://GO.MAIL.RU/SEARCH?FR=FFTB&Q= delall HTTP://GO.MAIL.RU/DISTIB/EP/?PRODUCT_ID=%7BF4D1B497-88BB-4819-9F40-6FA6C55EE64E%7D&GP=789163 delref %SystemDrive%\USERS\АЛЕКСАНДР\DOWNLOADS\OTVETI-PRAKTICHESKIE-RABOTI-PO-GEOGRAFII-9-KLASS.EXE delref %SystemDrive%\USERS\АЛЕКСАНДР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.22.5\PSUSER.DLL delref %SystemDrive%\USERS\АЛЕКСАНДР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.111\PSUSER.DLL delref %SystemDrive%\USERS\АЛЕКСАНДР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.22.3\PSUSER.DLL delref %SystemDrive%\USERS\АЛЕКСАНДР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.165\PSUSER.DLL delref %SystemDrive%\USERS\АЛЕКСАНДР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.24.15\PSUSER.DLL delref %SystemDrive%\USERS\АЛЕКСАНДР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.25.11\PSUSER.DLL delref %SystemDrive%\USERS\АЛЕКСАНДР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.28.13\PSUSER.DLL delref %SystemDrive%\USERS\АЛЕКСАНДР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.153\PSUSER.DLL delref %SystemDrive%\USERS\АЛЕКСАНДР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.24.7\PSUSER.DLL delref %SystemDrive%\USERS\АЛЕКСАНДР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.123\PSUSER.DLL delref %SystemDrive%\USERS\АЛЕКСАНДР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.28.1\PSUSER.DLL delref %SystemDrive%\USERS\АЛЕКСАНДР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.115\PSUSER.DLL delref %SystemDrive%\USERS\АЛЕКСАНДР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.145\PSUSER.DLL delref %SystemDrive%\USERS\АЛЕКСАНДР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.149\PSUSER.DLL delref %SystemDrive%\USERS\АЛЕКСАНДР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.26.9\PSUSER.DLL delref %SystemDrive%\USERS\АЛЕКСАНДР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.27.5\PSUSER.DLL delref %SystemDrive%\USERS\АЛЕКСАНДР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.23.9\PSUSER.DLL delref %SystemDrive%\USERS\АЛЕКСАНДР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.25.5\PSUSER.DLL delref %SystemDrive%\USERS\АЛЕКСАНДР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.135\PSUSER.DLL delall %SystemDrive%\USERS\АЛЕКСАНДР\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\AONEDLCHKBICMHEPIMIAHFALHEEDJGBH\3.7.21_0\SUPERMEGABEST delall %SystemDrive%\USERS\АЛЕКСАНДР\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\AHDFLLKGGODKGLJBKDIGCDNGFIECGMFE\2.0.5_0\TECHNOPORTAL - ПОИСК ЛУЧШИХ ЦЕН НА ТОВАРЫ delref D:\GAMES\VIRTUALSTYLIST.EXE delall %SystemDrive%\USERS\АЛЕКСАНДР\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NECFMKPLPMINFJAGBLFABGGOMDPAAKAN\1.2.0.3_0\ПОИСК ЯНДЕКСA delall %SystemDrive%\USERS\АЛЕКСАНДР\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BPGANGMFFJCOFIKNIBCMFJIONICOHFGJ\4.0.4_0\ВИЗУАЛЬНЫЕ ЗАКЛАДКИ MAIL.RU delall %SystemDrive%\USERS\АЛЕКСАНДР\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NBIFDKMDOJGMPMOPDEBNJCOBEKGDONCN\4.0.5_0\ПОИСК MAIL.RU delall %SystemDrive%\USERS\АЛЕКСАНДР\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PFIGAOAMNNCIJBGOMIFAMKMKIDNNLIKL\1.2.0.1_0\ПОИСК И СТАРТОВАЯ – ЯНДЕКС delall %SystemDrive%\USERS\АЛЕКСАНДР\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\FDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG\3.1.1.13_0\СОВЕТНИК ЯНДЕКС.МАРКЕТА delall %SystemDrive%\USERS\АЛЕКСАНДР\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GBJEIEKAHKLBGBFCCOHIPINHGAADIJAD\1.2.0.3_0\СТАРТОВАЯ — ЯНДЕКС delall %SystemDrive%\USERS\АЛЕКСАНДР\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\MDFNIAGGACDFPENLIFEOHJKEMHOIKOJH\1.2_1\СРОЧНОЕ ОБНОВЛЕНИЕ CHROME restart
отправил лог созданный после выполнения скрипта в uVS. При запуске ХРОМ появляются сообщения что добавлено расширение от Mail.ru Yandex.ru и вариантами ВКЛЮЧИТЬ \ УДАЛИТЬ. Удаляю а следующий раз снова появляются.
- - - - -Добавлено - - - - -
не отображаются расширения ХРОМ. Выбираю соответствующий пункт в меню ХРОМ, а результата никакого
Прежде я отправлял полный образ автозагрузки! В правилах выполнения скрипта описано что создается лог ZOO... и прикрепляется к ссылке "Прислать запрошенный карантин". Пожалуйста укажите конкретно какой нужен лог из утилиты uVS.
Спасибо
Сделал!
Ноут родственников, возможно и они сами и ставили! Я намерен от него избавится. Вопрос как и где?
Уважаемый(ая) mpbakunov, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.