Перенаправляет при нажатии почти любых ссылок. [not-a-virus:HEUR:RiskTool.Win32.NetFilter.heur]

[goldenalex789]

Сайты открываются нормально, при нажатии на ссылку на них открывается буквально на секунду промежуточная страница с адресом. затем перенаправляет в основном на:

и на

Это происходит в браузерах: Google Chrome, Mozilla Firefox

[Info_bot]

Уважаемый(ая) goldenalex789, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

NetCrawl
webconnect

удалите через Установку программ

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Windows\syswow64\hfpapi.dll','');
 QuarantineFile('C:\Windows\system32\hfpapi.dll','');
 QuarantineFile('C:\Users\111\AppData\Roaming\UpdaterEX\UpdateProc\UpdateTask.exe','');
 QuarantineFile('C:\Users\111\AppData\Roaming\MetaCrawler\UpdateProc\UpdateTask.exe','');
 QuarantineFile('C:\Users\111\AppData\Roaming\DigitalSites\UpdateProc\UpdateTask.exe','');
 QuarantineFile('C:\Users\111\AppData\Roaming\Bonanza\UpdateProc\UpdateTask.exe','');
 QuarantineFile('C:\Windows\system32\drivers\{664f7cae-01d9-48b5-bc90-e3c3d6bb0ddb}w64.sys','');
 DeleteService('nethfdrv');
 SetServiceStart('{664f7cae-01d9-48b5-bc90-e3c3d6bb0ddb}w64', 4);
 DeleteService('{664f7cae-01d9-48b5-bc90-e3c3d6bb0ddb}w64');
 SetServiceStart('Util WebConnect', 4);
 DeleteService('Util WebConnect');
 SetServiceStart('Util NetCrawl', 4);
 DeleteService('Util NetCrawl');
 SetServiceStart('Update WebConnect', 4);
 DeleteService('Update WebConnect');
 SetServiceStart('Update NetCrawl', 4);
 DeleteService('Update NetCrawl');
 QuarantineFile('C:\Windows\system32\dmwu.exe','');
 QuarantineFile('C:\Windows\system32\drivers\nethfdrv.sys','');
 QuarantineFile('c:\windows\syswow64\mjcm\dnkt.exe','');
 QuarantineFile('C:\Windows\System32\tprb\dnkt.exe','');
 DeleteFile('C:\Windows\system32\drivers\nethfdrv.sys','32');
 DeleteFile('C:\Windows\system32\drivers\{664f7cae-01d9-48b5-bc90-e3c3d6bb0ddb}w64.sys','32');
 DeleteFile('C:\Users\111\AppData\Roaming\Bonanza\UpdateProc\UpdateTask.exe','32');
 DeleteFile('C:\Windows\Tasks\Bonanza.job','64');
 DeleteFile('C:\Windows\Tasks\Digital Sites.job','64');
 DeleteFile('C:\Users\111\AppData\Roaming\DigitalSites\UpdateProc\UpdateTask.exe','32');
 DeleteFile('C:\Windows\Tasks\DigitalSite.job','64');
 DeleteFile('C:\Windows\Tasks\MetaCrawler.job','64');
 DeleteFile('C:\Users\111\AppData\Roaming\MetaCrawler\UpdateProc\UpdateTask.exe','32');
 DeleteFile('C:\Windows\Tasks\Update Bonanza.job','64');
 DeleteFile('C:\Windows\Tasks\UpdaterEX.job','64');
 DeleteFile('C:\Users\111\AppData\Roaming\UpdaterEX\UpdateProc\UpdateTask.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Bonanza','64');
 DeleteFile('C:\Windows\system32\Tasks\Digital Sites','64');
 DeleteFile('C:\Windows\system32\Tasks\DigitalSite','64');
 DeleteFile('C:\Windows\system32\Tasks\MetaCrawler','64');
 DeleteFile('C:\Windows\system32\Tasks\Update Bonanza','64');
 DeleteFile('C:\Windows\system32\Tasks\UpdaterEX','64');
 DeleteFile('C:\Windows\system32\hfpapi.dll','32');
 DeleteFile('C:\Windows\syswow64\hfpapi.dll','32');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

Пофиксите в HiJack

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = socks=127.0.0.1:9050

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

Сделайте лог полного сканирования МВАМ

[goldenalex789]

Делаю уже второй раз полное сканирование программой "Malwarebytes' Anti-Malware", в обоих случаях сканирование не идёт дальше файла C\Windows\ServiceProfailes\NetworkService\Ntuser.D AT{c82c9382-9f60-11e.......... Что делать?

[mike 1]

Попробуйте сделать лог в безопасном режиме.

[goldenalex789]

Пытаюсь сделать лог сканирования в безопасном режиме, результат тот же: зависание сканирования на файле, дальше не идёт. Что делать?

[mike 1]

Деинсталлируйте новую версию MBAM. Далее скачайте Malwarebytes' Anti-Malware, установите (во время установки откажитесь от использования Пробной версии), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:

Код:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве

[goldenalex789]

Лог полного сканирования выслал.

[thyrex]

прикрепите его к следующему посту.

а не засылайте в карантин

[goldenalex789]

Извините, но я не понимаю, как прикрепить файл.

[mike 1]

Перейдите в расширенный режим, найдите кнопку в виде скрепки, нажмите на нее и у вас появится возможность загрузить файлы.

[goldenalex789]

Прикрепил лог

- - - Добавлено - - -

Что делать с обнаруженными вредоносными программами в MBAM? Не могу долго держать комп. включённым, а при закрытии потеряются все данные сканирования В MBAM.

[mike 1]

В MBAM удалите все кроме:

Код:

Обнаруженные файлы:
C:\Program Files (x86)\WebMoney Advisor\tbhelper.dll (PUP.Optional.Softomate.A) -> Действие не было предпринято.
C:\Program Files (x86)\WebMoney Advisor\tbcore3.dll (PUP.Optional.BestToolbar.A) -> Действие не было предпринято.
C:\Users\111\Desktop\ЯРЛЫКИ\ADOBE.DREAMWEAVER.CS6.ESD.LS6.WIN\Adobe amtlib.dll\32-bit\amtlib.dll (PUP.RiskwareTool.CK) -> Действие не было предпринято.
C:\Users\111\Desktop\ЯРЛЫКИ\ADOBE.DREAMWEAVER.CS6.ESD.LS6.WIN\Adobe amtlib.dll\64-bit\amtlib.dll (PUP.RiskwareTool.CK) -> Действие не было предпринято.
C:\Users\111\Desktop\ЯРЛЫКИ\ADOBE.DREAMWEAVER.CS6.ESD.LS6.WIN-2\Adobe amtlib.dll\32-bit\amtlib.dll (PUP.RiskwareTool.CK) -> Действие не было предпринято.
C:\Users\111\Desktop\ЯРЛЫКИ\ADOBE.DREAMWEAVER.CS6.ESD.LS6.WIN-2\Adobe amtlib.dll\64-bit\amtlib.dll (PUP.RiskwareTool.CK) -> Действие не было предпринято.
C:\Users\111\Documents\!!!!!!!!!!!!!!!-1millionclub\!!!-Запись коучинга Валентина Мазепина\Camtasia Studio\keygen.exe (Backdoor.RBot) -> Действие не было предпринято.
C:\Users\111\Documents\+ON-LINE\СОЗДАНИЕ САЙТА\MOЙ САЙТ-1\Закачка-инф по моему САЙТ-1\Activ E-Book v 4.22 (делатель электронных книг)\Кряк\PCNFO.EXE (RiskWare.Tool.HCK) -> Действие не было предпринято.
C:\Users\111\Documents\+ПРОГРАММЫ\upgrade_keygen_1.0.rar (RiskWare.Tool.CK) -> Действие не было предпринято.
C:\Users\111\Documents\+ПРОГРАММЫ\+wrar40b4krus-устан.на 40 дней\CoRE Keygen.exe (PUP.RiskwareTool.CK) -> Действие не было предпринято.
C:\Users\111\Documents\+ПРОГРАММЫ\Dreamweaver CS6\Adobe_Dreamweaver_CS6_Crack\32-bit\amtlib.dll (PUP.RiskwareTool.CK) -> Действие не было предпринято.
C:\Users\111\Documents\+ПРОГРАММЫ\Dreamweaver CS6\Adobe_Dreamweaver_CS6_Crack\64-bit\amtlib.dll (PUP.RiskwareTool.CK) -> Действие не было предпринято.
C:\Users\111\Documents\+ПРОГРАММЫ\Программы с флэшки\upgrade_keygen_1.0.rar (RiskWare.Tool.CK) -> Действие не было предпринято.
C:\Users\111\Documents\+ПРОГРАММЫ\Программы с флэшки\+wrar40b4krus-устан.на 40 дней\CoRE Keygen.exe (PUP.RiskwareTool.CK) -> Действие не было предпринято.
C:\Users\111\Documents\+ПРОГРАММЫ\Программы с флэшки\обновление Windows по интернету\Se7en Activator v3.exe (RiskWare.Tool.CK) -> Действие не было предпринято.
C:\Users\111\Documents\+ПРОГРАММЫ\Программы с флэшки\обновление Windows по интернету\Windows 7 Anytime Upgrade Keygen.exe (PUP.RiskwareTool.CK) -> Действие не было предпринято.
C:\Users\111\Downloads\3D-книга.zip_13123343_80_letC.exe (Trojan.Onlinegames) -> Действие не было предпринято.
C:\Users\111\Downloads\998Z.rar_16332675_48_letF.exe (Trojan.Onlinegames) -> Действие не было предпринято.
C:\Users\111\Downloads\ImageResizerSetup (1).exe (PUP.Optional.InstallCore) -> Действие не было предпринято.
C:\Users\111\Downloads\MediaGet_id4625046ids1s.exe (PUP.Adware.MediaGet) -> Действие не было предпринято.
C:\Users\111\Downloads\SoftonicDownloader_for_dspeech.exe (PUP.Optional.Softonic.A) -> Действие не было предпринято.
C:\Users\111\Downloads\ZelandTranserfing5.rar_14273063_70_letF.exe (Trojan.Onlinegames) -> Действие не было предпринято.
C:\Users\111\Downloads\!!!-ВСЕ ЗАКАЧКИ\balabolka_skachat_besplatno_programmu_balabolka_250525_id4075373id.exe (PUP.Adware.MediaGet) -> Действие не было предпринято.
C:\Users\111\Downloads\!!!-ВСЕ ЗАКАЧКИ\skachat_nishioaikidovideokursnishioajkido[2007gajkidodvdrip]torrent_bez_registracii_id2299401id.exe (PUP.Adware.MediaGet) -> Действие не было предпринято.
C:\Users\111\Downloads\!!!-ВСЕ ЗАКАЧКИ\skachat_nishioaikidovideokursnishioajkido[2007gajkidodvdrip]torrent_bez_registracii_id2299634id.exe (PUP.Adware.MediaGet) -> Действие не было предпринято.
C:\Users\111\Downloads\!!!-ВСЕ ЗАКАЧКИ\VuuPC_Setup.exe (PUP.Optional.InstallCore) -> Действие не было предпринято.
C:\Users\111\Downloads\!!!-ВСЕ ЗАКАЧКИ\[unionpeerorg]_c58562742b92fa0ef347557bf8325fb0torrent_id2342617id.exe (PUP.Adware.MediaGet) -> Действие не было предпринято.

После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

[goldenalex789]

Новый лог

[mike 1]

Вы внимательно читали 13 сообщение? Просили удалить все кроме указанных записей в 13 сообщении, а вы удалили записи из 13 сообщения.

[goldenalex789]

Да удалил, т. к. комп. нужно было выключать. Неужели что-то нужное удалил? А 13 сообщение пришло позже. Благодарю за помощь!

[regist]

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
• Прикрепите отчет к своему следующему сообщению.

- - - Добавлено - - -

Да удалил, т. к. комп. нужно было выключать. Неужели что-то нужное удалил?

Если удалённые файлы вам нужны можете восстановить по этой иструкции http://virusinfo.info/showthread.php?t=53070&p=1035397&viewfull=1#post10 35397

[goldenalex789]

Скан AdwCleaner[R0].txt

[regist]

- Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите.


сделайте новый лог сканирования MBAM.

[goldenalex789]

Новый лог сканирования MBAM.