Добрый день!
Проблема такая же как и в http://virusinfo.info/showthread.php?t=159209
Добрый день!
Проблема такая же как и в http://virusinfo.info/showthread.php?t=159209
Уважаемый(ая) ritych, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ:Компьютер перезагрузится.Код:begin RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\newSI_10','command'); DeleteFileMask('C:\Users\Ritych\AppData\Roaming\newSI_10','*',true); DeleteDirectory('C:\Users\Ritych\AppData\Roaming\newSI_10'); ExecuteWizard('TSW',2,2,true); ExecuteRepair(4); RebootWindows(false); end.
Скачайте утилиту OTL by OldTimer. Запустите OTL.EXE, установите галочки в следующих пунктах настройки:
Scan All Users
Include 64Bit Scans - в случае 64-разрядной системы;
Output: Minimal Output;
File Scans: Use Company-Name WhiteList и Skip Microsoft Files;
Lop Check;
Purity Check.
В окне File Age установите 30 days
Остальные параметры оставьте по умолчанию.
Скопируйте текст
в окно Custom Scans/Fixes и нажмите Run Scan.Код:%USERPROFILE%\AppData\Local\*.url /S %USERPROFILE%\AppData\Local\*.lnk /S %PROGRAMFILES%\*.url /S %PROGRAMFILES%\*.lnk /S %ProgramFiles(x86)%\*.lnk /S %ProgramFiles(x86)%\*.url /S %CommonProgramFiles%\*.* %ALLUSERSPROFILE%\ntuser.pol %SystemRoot%\System32\GroupPolicy\Machine\Registry.pol
После окончания сканирования программа создаст два файла: OTL.TXT и EXTRAS.TXT, упакуйте их в архив ZIP или RAR и прикрепите их к своему следующему сообщению в теме.
WBR,
Vadim
Почему то не создался файл EXTRAS.TXT
Похоже, с проблемой уже справились.
Отключите до перезагрузки антивирус, запустите OTL (в Windows Vista/7/8 необходимо запускать через правую кнопку мыши от имени администратора)), скопируйте скрипт ниже в окно Custom Scans/Fixes, закройте все браузеры и нажмите Run FixКомпьютер перезагрузится и откроет в блокноте лог выполнения скрипта, прикрепите его к своему следующему сообщению.Код::OTL IE - HKU\S-1-5-21-4187100914-1196906532-4264939765-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3C}: "URL" = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&text={searchTerms} [2014.04.28 16:05:11 | 004,327,208 | ---- | C] (Systweak Inc ) -- C:\rcpsetupst_RC1_ZZ_L_1.exe [2014.05.14 14:04:23 | 000,000,045 | ---- | M] () -- C:\Program Files (x86)\Google\Chrome\Application\chrome.url [2014.05.14 14:04:23 | 000,000,045 | ---- | M] () -- C:\Program Files (x86)\Internet Explorer\iexplore.url [2014.05.14 14:26:12 | 000,000,049 | ---- | M] () -- C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2013\kl.url [2014.05.14 14:04:23 | 000,000,045 | ---- | M] () -- C:\Program Files (x86)\Mozilla Firefox\firefox.url @Alternate Data Stream - 151 bytes -> C:\ProgramData\TEMP:41ADDB8A @Alternate Data Stream - 136 bytes -> C:\ProgramData\TEMP:A064CECC :Files recycler /alldrives :Commands [EMPTYTEMP] [EMPTYJAVA] [EMPTYFLASH] [purity] [Reboot]
Сообщите, что в данный момент беспокоит.
WBR,
Vadim
Беспокоит следующее:
при каждом включении ЛЮБОГО браузера открывается дополнительная вкладка с рекламой http://не_могу успеть_запомнить/rotator.php
которая потом подгружает другую страницу с рекламой
Пересоздайте ярлыки запуска браузеров на рабочем столе и панели быстрого запуска.
WBR,
Vadim
ОООО. Отлично
спасибо огромное
Выполните скрипт в AVZ при наличии доступа в интернет:После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.Код:var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end.
Выполните рекомендации после лечения.
WBR,
Vadim
все равно, что-то меняет ярлыки
конкретно добавляет к ярлыкам созданным в меню пуск и "быстрой панели" "http://rugooglee.ru"
я пока запускаю напрямую из папки с браузерами.
Могу скинуть файлик который это все сделал, если интересно
- - - Добавлено - - -
все, по удалял, больше не добавляет
Если не сложно, загрузите его в карантин по Приложениям 1 и 2 правил.
WBR,
Vadim
Загрузил в карантин.
Ярлыки в Пуске и панели быстрого запуска все равно переписываются. Остаются нормальными только на рабочем столе
Не пользуйтесь сайтом torrentino и программами оттуда.
Сделайте полный образ автозапуска uVS, только программу скачайте отсюда.
WBR,
Vadim
да случайно я от туда скачал ((((
Какой именно сайт прописывается?
WBR,
Vadim
"http://rugooglee.ru"
Будем ловить гада.
Загрузите Process Monitor. Почистите ярлыки. Запустите программу. Меню Filter -> Filter..., в строке Display entries matching these conditions: Path contains впечатываете C:\Users\Ritych\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk then Include, далее Add, Apply и OK.
Когда в окне появятся записи, упоминающие этот ярлык, меню File -> Save..., выбираете Comma-Separated Values (CSV) и сохраняете. Полученный лог упакуйте в архив и во вложения.
WBR,
Vadim
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) ritych, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.