Открывается окно с адресом на sex-mambo.net

**Заур099** · 21.12.2012, 00:15

Здравствуйте. При открытии каких-либо ссылок, одновременно открывается в отдельной вкладке сайт sex-mambo.net. Просканировал антивирусом Нод32, был обнаружен такой вирус, но удалить он его не смог: "Оперативная память = explorer.exe(676) вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа". Помогите пожалуйста избавиться от данного вируса.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 21.12.2012, 00:16

Уважаемый(ая) Заур099, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Acidorum** · 21.12.2012, 17:39

Здравствуйте!

Пожалуйста, сделайте логи по правилам.

**Заур099** · 22.12.2012, 14:39

Все сделал по правилам, мне кто-нибудь поможет?

**Acidorum** · 22.12.2012, 15:13

1. Отключите все защитные приложения (Чтобы узнать, как это сделать, нажмите здесь.).

2. Выполните скрипт в AVZ (Чтобы узнать, как это сделать, нажмите здесь.):

Код:

begin
QuarantineFile('C:\Documents and Settings\Administrator\0.38645453464533375.exe','');
QuarantineFile('C:\Documents and Settings\Administrator\Application Data\Complitly\Complitly.dll','');
DeleteFile('C:\Documents and Settings\Administrator\0.38645453464533375.exe');
DeleteFileMask('C:\Documents and Settings\Administrator\Application Data\Complitly','*.*', true);
DeleteDirectory('C:\Documents and Settings\Administrator\Application Data\Complitly');
DelBHO('710EB7A1-45ED-11D0-924A-0020AFC7AC4D');
DelBHO('0FB6A909-6086-458F-BD92-1F8EE10042A0');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,');
RegKeyStrParamWrite('HKCU', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UIHost', 'logonui.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(1);
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

3. Затем выполните ещё один скрипт в AVZ:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

4. Пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "Прислать запрошенный карантин" наверху темы).

5. Деинсталлируйте Ask.com Toolbar - это adware. Также деинсталлируйте либо Avast, либо ESET. два антивируса на одном компьютере приводят к уменьшению производительности и могут вызвать крах системы.

6. Стартовую страницу сами меняли?

Код:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT1060933&SSPV=IENOSGTB

7. Вам знакомы данные DNS-адреса?

Код:

O17 - HKLM\System\CCS\Services\Tcpip\..\{47C5666A-BA3B-413E-BDA4-8DA6B78B2A2F}: NameServer = 80.252.130.253 80.252.146.197

8. Сделайте повторные логи (hijackthis.log, virusinfo_syscheck.zip, virusinfo_syscure.zip).

**Заур099** · 22.12.2012, 17:41

Спасибо, что откликнулись на помощь!
1).Выполнить скрипт в AVZ не получается компьютер зависает, открывается синий экран и что-то там пишет про ошибку(снимок экрана прилагаю).
2).Avast я удалил, но Ask.com Toolbar удалить не получается, пишет что нет прав. Подскажите пожалуйста как его удалить.
3).Стартовую страницу не менял, я даже не понимаю как это делать и для чего.
4). С данными DNS-адресами я не знаком.
Надеюсь на Вашу помощь!!!

**Acidorum** · 22.12.2012, 18:16

1).Выполнить скрипт в AVZ не получается компьютер зависает, открывается синий экран и что-то там пишет про ошибку(снимок экрана прилагаю).

Попробуйте сейчас заново выполнить скрипт из предидущего сообщения.

Ask.com Toolbar удалить не получается, пишет что нет прав. Подскажите пожалуйста как его удалить.

Хорошо, давайте попробуем другой метод.

Скачайте AdwCleaner отсюда на свой Рабочий стол.
Запустите adwcleaner.exe.
Должно появиться главное окно этой программы. Нажмите кнопку Search.
После завершения сканирования откроется лог. Посмотрите на заголовок окна блокнота и запомните имя файла.
Перейдите в корень системного диска (C:\) и найдите там этот файл.
Прикрепите этот файл к Вашему следующему сообщению.

3).Стартовую страницу не менял, я даже не понимаю как это делать и для чего.
4). С данными DNS-адресами я не знаком.

Пофиксите в HijackThis:

Код:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT1060933&SSPV=IENOSGTB

Сделайте повторный лог HijackThis.

**thyrex** · 22.12.2012, 19:50

Вы из Ногинска?

inetnum: 80.252.128.0 - 80.252.135.255
netname: FlexNet
descr: Wireless network in Moscow region
country: RU

**Заур099** · 22.12.2012, 22:09

Всё сделал. Что теперь?

- - - Добавлено - - -

Сообщение от thyrex

Вы из Ногинска?

Где то рядом, а что ))

**thyrex** · 22.12.2012, 22:13

Сообщение от Заур099

Где то рядом, а что ))

Это к вопросу о том, знаете ли Вы эти DNS

**Заур099** · 22.12.2012, 23:40

Сообщение от thyrex

Это к вопросу о том, знаете ли Вы эти DNS

Это мои IP адреса что-ли

**Techno** · 23.12.2012, 14:53

- Пофиксите в HijackThis:

Код:

O3 - Toolbar: QT Breadcrumbs Address Bar - {af83e43c-dd2b-4787-826b-31b17dee52ed} - mscoree.dll (file missing)

Freecorder Toolbar если не устанавливали - то удалите через установку/удаление программ.

- Сделайте лог полного сканирования MBAM.

**Заур099** · 23.12.2012, 16:39

Сообщение от Techno

- Пофиксите в HijackThis:

Код:

O3 - Toolbar: QT Breadcrumbs Address Bar - {af83e43c-dd2b-4787-826b-31b17dee52ed} - mscoree.dll (file missing)

Freecorder Toolbar если не устанавливали - то удалите через установку/удаление программ.

- Сделайте лог полного сканирования MBAM.

Спасибо. Все сделал, но как же мне удалить Ask.com Toolbar. Сайт http://sex-mambo.net/ открывается почему то именно на Google, на Mozillе нормально.

**Techno** · 23.12.2012, 17:01

- Очистите кеш и куки браузеров

Должно помочь.

**Заур099** · 23.12.2012, 18:11

Спасибо большое всем кто мне помог. Проблема больше не беспокоит.
Подскажите пожалуйста, надо ли мне удалить Ask.com Toolbar и как это сделать? Какой лучше антивирус поставить? У меня стоит лицензионный ESET Smart Security , но он слишком часто пропускает всякие трояны, в т.ч. и СМС-банеры.

**Techno** · 23.12.2012, 19:54

Сообщение от Заур099

удалить Ask.com Toolbar и как это сделать?

Через установку/удаление программ не удаляется?

**Заур099** · 23.12.2012, 20:32

Сообщение от Techno

Через установку/удаление программ не удаляется?

Там вообще его нет

**Techno** · 23.12.2012, 20:40

- Запустите adwcleaner.exe
- Нажмите delete

Удалятся все Ваши тулбары.

**Заур099** · 23.12.2012, 20:45

[QUOTE=Techno;952918]- Запустите adwcleaner.exe
- Нажмите delete

А где эту программу взять

**Techno** · 23.12.2012, 20:46

Наверное, у Вас на рабочем столе)))
http://virusinfo.info/showthread.php...l=1#post952412

Открывается окно с адресом на sex-mambo.net (заявка № 129104)

Опции темы