Стартовая с dossearch и баннер слева

**Tabula** · 17.03.2013, 02:38

Windows 7, Kaspersky Internet Security,прошелся антивирусом,проблема не исчезает.
Проблема аналогична данной http://virusinfo.info/showthread.php?t=135104
Прошу помочь

virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 17.03.2013, 02:39

Уважаемый(ая) Tabula, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Techno** · 17.03.2013, 10:40

- Пофиксите в HijackThis:

Код:

O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)
O17 - HKLM\System\CCS\Services\Tcpip\..\{18F9FC14-475B-4208-9C66-6F4E0873C9D6}: NameServer = 5.199.140.178
O17 - HKLM\System\CCS\Services\Tcpip\..\{846ee342-7039-11de-9d20-806e6f6e6963}: NameServer = 5.199.140.178
O17 - HKLM\System\CCS\Services\Tcpip\..\{CE0C5D46-51E1-428E-B59A-BF8D1B76387F}: NameServer = 5.199.140.178
O17 - HKLM\System\CCS\Services\Tcpip\..\{CEB399B3-03CD-4349-9203-D2D71D89A172}: NameServer = 5.199.140.178
O17 - HKLM\System\CCS\Services\Tcpip\..\{F9B18A18-ED87-4139-9935-FB22A7AF956D}: NameServer = 5.199.140.178
O17 - HKLM\System\CS1\Services\Tcpip\..\{18F9FC14-475B-4208-9C66-6F4E0873C9D6}: NameServer = 5.199.140.178
O17 - HKLM\System\CS2\Services\Tcpip\..\{18F9FC14-475B-4208-9C66-6F4E0873C9D6}: NameServer = 5.199.140.178

- Выполните в АВЗ:

Код:

begin
 QuarantineFile('C:\Users\AACE~1\AppData\Local\Temp\tvocehpc.exe','');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','Del867552');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','Del867537');
 DeleteFile('/Q /D /c del C:\Users\AACE~1\AppData\Local\Temp\0.del');
 DeleteFile('C:\Windows\Tasks\8rygtzoexm.job');
 DeleteFile('C:\Users\AACE~1\AppData\Local\Temp\tvocehpc.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Сделайте лог полного сканирования MBAM.

**Tabula** · 17.03.2013, 16:37

Пофиксил в HijackThis, далее при попытке выполнения в АВЗ пишет:

Ошибка скрипта: ';' expected, позиция [12:1]

**Techno** · 17.03.2013, 16:39

Ошибок в скрипте нет, в некоторых браузерах не копируется последняя строка: end.

Смотрите внимательнее.

**Tabula** · 17.03.2013, 16:59

Вы правы,в Опере последняя строка не отображалась.

Выполнил,как здесь указано,только после перезагрузки системы пропадает интернет,само подключение есть,но в браузере ни на один адрес не зайти...Если же в HijackThis вернуть значения обратно-снова можно заходить на сайты

**Techno** · 17.03.2013, 20:29

Сообщение от Tabula

Если же в HijackThis вернуть значения обратно-снова можно заходить на сайты

Ясно. В свойствах подключения нужно прописать DNS. Либо те которые Вам дал провайдер, если их не знаете, то пропишите гугловские: 8.8.8.8 и 8.8.4.4

**Tabula** · 17.03.2013, 21:16

Заранее извиняюсь,если "туплю".У меня DNS прописан только в "Протокол Интернета версии 4(TCP/IPv4)",там "Использовать следующие адреса DNS-серверов:" и "Предпочитаемый DNS-сервер"-прописаны значения...Это не здесь?

В "Протокол Интернета версии 6(TCP/IPv6)" адрес DNS-сервера получает автоматически.

Что касается фикса в HijackThis-опытным путем установлено,что в сеть не пускает при фиксе именно вот этих двух строк:
O17 - HKLM\System\CCS\Services\Tcpip\..\{18F9FC14-475B-4208-9C66-6F4E0873C9D6}: NameServer = 5.199.140.178
O17 - HKLM\System\CS1\Services\Tcpip\..\{18F9FC14-475B-4208-9C66-6F4E0873C9D6}: NameServer = 5.199.140.178

При фиксе остальных в интернет доступ есть,но баннера все равно появляются.Подскажите,куда двигаться дальше?Спасибо

**Techno** · 18.03.2013, 08:06

Сообщение от Tabula

в "Протокол Интернета версии 4(TCP/IPv4)",там "Использовать следующие адреса DNS-серверов:" и "Предпочитаемый DNS-сервер"-прописаны значения...Это не здесь?

Да, сюда пропишите: предпочитаемый- 8.8.8.8, альтернативный - 8.8.4.4

Строки в hijackthis фиксим и повторяем лог.

**Tabula** · 18.03.2013, 22:32

Сделал все вышеперечисленное.После перезагрузки стартовая не изменилась,все так же dossearch.ru/

Высылаю новый лог.Там строки пофиксенные заменились.

hijackthis.log

**regist** · 19.03.2013, 00:07

- Очистите кеш и куки браузеров

**Tabula** · 19.03.2013, 09:10

Сообщение от regist

- Очистите кеш и куки браузеров

Очистил кеш и куки во всех браузерах.Вроде больше нет баннеров и стартовая не меняется на dossearch.
Спасибо вам огромное!

Отсылаю лог полного сканирования MBAM.

MBAM-log-2013-03-19 (09-05-33).txt

**Techno** · 19.03.2013, 11:51

Удалите в MBAM:

Код:

HKCR\CLSID\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.

**Tabula** · 19.03.2013, 23:30

Удалил.Вот лог

mbam-log-2013-03-19 (22-21-37).txt

**regist** · 20.03.2013, 00:15

просканируйте заново и так приложите лог.

**Tabula** · 20.03.2013, 11:44

MBAM-log-2013-03-20 (10-41-55).txt

Новый лог после сканирования

**Techno** · 20.03.2013, 11:51

Удалите:

Код:

HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.ToolBar.WA) -> Действие не было предпринято.

- - - Добавлено - - -

Проблемы все решены?

**Tabula** · 23.03.2013, 21:31

После 5ти подряд скаанирований и удалений этих строк(после перезагрузки они появлялись вновь) теперь вроде все в норме. Вот лог

MBAM-log-2013-03-23 (21-29-33).txt

**Techno** · 24.03.2013, 10:37

Что с проблемами?

**Tabula** · 25.03.2013, 14:12

Сообщение от Techno

Что с проблемами?

Проблемы исчезли.Спасибо вам большое!

Стартовая с dossearch и баннер слева (заявка № 135276)

Опции темы

Стартовая с dossearch и баннер слева

Похожие темы

порнобаннер слева и измнение стартовой страницы на dossearch.ru

dossearch.ru и баннер слева браузера

Порно-баннер слева (dossearch.ru)

Порнобаннеры и стартовая с dossearch

Баннер слева в Опере

Метки для этой темы

Ваши права в разделе