-
Junior Member
- Вес репутации
- 36
Поймайл вирус при скачивании модов к World of tanks.
Вирус поймал по этой ссылке wot-next.ru/load/mody_ot_dzhova_dlja_world_of_tanks/1-1-0-22( Нужно-нет, не знаю- на всякий случай)
Доктор Веб (который установил уже после проблемы) помог найти вредителей с форматом .url(были удалены), но проблема не решилась! Яндекс-браузер предлагает периодически обновится+появилась навязчивая реклама.В Хроме та же история.
Win8 64-разряд.
Помогите пожалуйста
Последний раз редактировалось Nikkollo; 30.06.2014 в 08:25.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Павел89, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
ExecuteRepair(2);
RebootWindows(false);
end.
Внимание! Будет выполнена перезагрузка компьютера.
Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=3c83f03fac28f9c187dfd92805536e88&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=3c83f03fac28f9c187dfd92805536e88&text={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=3c83f03fac28f9c187dfd92805536e88&text=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=3c83f03fac28f9c187dfd92805536e88&text=
R3 - URLSearchHook: (no name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - (no file)
O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Скачайте CheckBrowserLnk и сохраните архив с утилитой на Рабочем столе
- Распакуйте архив с утилитой в отдельную папку
- Запустите checkbrowserlnk.exe
Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
- После окончания работы программы на рабочем столе будет сохранен отчет CheckBrowserLnk.log
- Прикрепите этот отчет в вашей теме.
-
-
Junior Member
- Вес репутации
- 36
Сделал, только утилит в контекстном меню проводника не нашел, запускал от имени администратора через ПКМ
- - - Добавлено - - -
Вроде бы не всё ещё- реклама ВК справа при просмотре фото ещё есть
-
Неизвестные расширения для браузеров есть?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 36
После отключения данного разрешения(отмечено на скрине) реклама пропала! Можно его невозбранно удалить, или нужны некие манипуляции с реестром?
Последний раз редактировалось Павел89; 30.06.2014 в 23:14.
-
Конечно. Удаляйте его. Сделайте логи RSIT.
-
-
Junior Member
- Вес репутации
- 36
-
Info Enchancer for Chrome тоже удаляйте
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Уточните что находится в этой папке?
2014-06-28 18:29:23 ----D---- C:\Program Files (x86)\funex
-
-
Junior Member
- Вес репутации
- 36
Сейчас пустая, папка создана во время заражением вирусом! Я же сначала Вебом проверял, возможно он от туда всё по-удалял. Удалю и папку, ок?
- - - Добавлено - - -
-
-
-
Junior Member
- Вес репутации
- 36
Появилась новая проблема- то ли из-за установки Веба, то ли из-вышеперечисленных манипуляций. В файле hosts удалились важные мне строки(я вносил), а отредактировать его блокнотом не получается(отказано в доступе). Запускал от имени администратора и обычно и хоть бы хны...до всей свистопляски все было нормально...
-
Hosts файл мы не трогали.
-
-
Junior Member
- Вес репутации
- 36
мучился с изменениями настроек пользователя- не помогло, в итоге снес Доктора и каким-то чудом появилась возможность редактировать host при запуске блокнота из проводника от имени админа...такие дела...
---------------------------------------------------
я в IE- браузере ещё одного вредителя нашел...я так понимаю мне его тоже нужно было открыть когда я логи и скрипты делал?
Последний раз редактировалось Павел89; 01.07.2014 в 03:01.
-
А что в свойствах этого ярлыка?
-
-
Junior Member
- Вес репутации
- 36
-
Удаляйте тогда этот ярлык тоже.
-
-
Junior Member
- Вес репутации
- 36
А скриптить как в прошлый раз ничего не надо?
-
-