В настройках IE постоянно появляется прокси 127.0.0.1 с разными портами.
В настройках IE постоянно появляется прокси 127.0.0.1 с разными портами.
Уважаемый(ая) -brad-, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте!
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:Код:begin ExecuteAVUpdate; ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(true); end; ClearQuarantine; TerminateProcessByName('c:\users\александр\appdata\local\freewarelogstart\freewarelogstart.exe'); TerminateProcessByName('c:\users\александр\appdata\local\freewarelogstart\directxfoldergnu.exe'); SetServiceStart('FreewareLogStart.exe', 4); StopService('FreewareLogStart.exe'); QuarantineFile('C:\Users\александр\appdata\roaming\zbrowser\shadow\zbrowser.update\zbrowser.update.process.exe',''); QuarantineFile('C:\Users\александр\smss.exe',''); QuarantineFile('C:\Users\александр\AppData\Local\Yandex\YandexBrowser\Application\browser.url',''); QuarantineFile('C:\Users\александр\AppData\Local\RecycleSoftwareSprite\RecycleSoftwareSprite.exe',''); QuarantineFile('C:\Users\александр\AppData\Local\PirritSuggestor\PirritService.exe',''); QuarantineFile('C:\Users\александр\AppData\Local\DockFrozenRecycle\DockFrozenRecycle.exe',''); QuarantineFile('C:\Users\александр\AppData\Local\de3bb0c91ec200a56c1ffdf8eb10af41\b792368a46e00b1.exe',''); QuarantineFile('C:\Users\александр\AppData\Local\362c94df8a8c6b76e42047bc8868847b\695c0d1f9d366b0.exe',''); QuarantineFile('C:\Users\александр\AppData\Local\49151fbc39db39e23a548736d673324e\3d4fa6dc93a0e0c.exe',''); QuarantineFile('C:\Program Files\Reimage\Reimage Repair\ReiGuard.exe',''); QuarantineFile('c:\users\александр\appdata\local\freewarelogstart\freewarelogstart.exe',''); QuarantineFile('c:\users\александр\appdata\local\freewarelogstart\directxfoldergnu.exe',''); DeleteFile('c:\users\александр\appdata\local\freewarelogstart\directxfoldergnu.exe','32'); DeleteFile('C:\Users\александр\AppData\Local\FreewareLogStart\FreewareLogStart.exe','32'); DeleteFile('C:\Users\александр\AppData\Local\49151fbc39db39e23a548736d673324e\3d4fa6dc93a0e0c.exe','32'); DeleteFile('C:\Users\александр\AppData\Local\362c94df8a8c6b76e42047bc8868847b\695c0d1f9d366b0.exe','32'); DeleteFile('C:\Users\александр\AppData\Local\de3bb0c91ec200a56c1ffdf8eb10af41\b792368a46e00b1.exe','32'); DeleteFile('C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe','32'); DeleteFile('C:\PROGRA~2\SearchProtect\Main\bin\CltMngSvc.exe','32'); DeleteFile('C:\Program Files (x86)\Movies Toolbar\Datamngr\DatamngrCoordinator.exe','32'); DeleteFile('C:\Users\александр\AppData\Local\DockFrozenRecycle\DockFrozenRecycle.exe','32'); DeleteFile('C:\Users\александр\AppData\Local\PirritSuggestor\PirritService.exe','32'); DeleteFile('C:\Users\александр\AppData\Local\RecycleSoftwareSprite\RecycleSoftwareSprite.exe','32'); DeleteFile('C:\Program Files (x86)\Mobogenie\DaemonProcess.exe','32'); DeleteFile('C:\Program Files (x86)\Movies Toolbar\Datamngr\apcrtldr.dll','32'); DeleteFile('C:\Program Files (x86)\Movies Toolbar\Datamngr\x64\apcrtldr.dll','32'); DeleteFile('C:\Users\александр\AppData\Local\Yandex\YandexBrowser\Application\browser.url','32'); DeleteFile('C:\Users\александр\smss.exe','32'); DeleteFile('C:\windows\Tasks\BonanzaDealsLiveUpdateTaskMachineCore.job','64'); DeleteFile('C:\windows\Tasks\BonanzaDealsLiveUpdateTaskMachineUA.job','64'); DeleteFile('C:\windows\Tasks\Digital Sites.job','64'); DeleteFile('C:\windows\Tasks\DigitalSite.job','64'); DeleteFile('C:\windows\Tasks\SpeedUpMyPC.job','64'); DeleteFile('C:\windows\Tasks\spmonitor.job','64'); DeleteFile('C:\windows\system32\Tasks\Advanced System Protector_startup','64'); DeleteFile('C:\windows\system32\Tasks\BonanzaDealsLiveUpdateTaskMachineCore','64'); DeleteFile('C:\windows\system32\Tasks\BonanzaDealsLiveUpdateTaskMachineUA','64'); DeleteFile('C:\windows\system32\Tasks\BonanzaDealsUpdate','64'); DeleteFile('C:\windows\system32\Tasks\DealPly','64'); DeleteFile('C:\windows\system32\Tasks\DealPlyUpdate','64'); DeleteFile('C:\windows\system32\Tasks\Digital Sites','64'); DeleteFile('C:\windows\system32\Tasks\DigitalSite','64'); DeleteFile('C:\windows\system32\Tasks\DSite','64'); DeleteFile('C:\windows\system32\Tasks\SpeedUpMyPC','64'); DeleteFile('C:\windows\system32\Tasks\spmonitor','64'); DeleteFile('C:\Users\александр\appdata\roaming\zbrowser\shadow\zbrowser.update\zbrowser.update.process.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Advanced System Protector_startup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','mobilegeni daemon'); RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','x64'); RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','x86'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','iLivid'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','smss'); DeleteService('RecycleSoftwareSprite.exe'); DeleteService('PirritDesktop'); DeleteService('DockFrozenRecycle.exe'); DeleteService('DatamngrCoordinator2'); DeleteService('CltMngSvc'); DeleteService('bonanzadealslivem'); DeleteService('bonanzadealslive'); DeleteService('b792368a46e00b1.exe'); DeleteService('695c0d1f9d366b0.exe'); DeleteService('3d4fa6dc93a0e0c.exe'); DeleteService('FreewareLogStart.exe'); DeleteFileMask('c:\users\александр\appdata\local\freewarelogstart', '*', true, ' '); DeleteFileMask('C:\Users\александр\appdata\roaming\zbrowser', '*', true, ' '); DeleteFileMask('C:\Users\александр\AppData\Local\RecycleSoftwareSprite', '*', true, ' '); DeleteFileMask('C:\Users\александр\AppData\Local\PirritSuggestor', '*', true, ' '); DeleteFileMask('C:\Users\александр\AppData\Local\DockFrozenRecycle', '*', true, ' '); DeleteFileMask('C:\Users\александр\AppData\Local\de3bb0c91ec200a56c1ffdf8eb10af41', '*', true, ' '); DeleteFileMask('C:\Users\александр\AppData\Local\362c94df8a8c6b76e42047bc8868847b', '*', true, ' '); DeleteFileMask('C:\Users\александр\AppData\Local\49151fbc39db39e23a548736d673324e', '*', true, ' '); DeleteDirectory('C:\Users\александр\AppData\Local\de3bb0c91ec200a56c1ffdf8eb10af41'); DeleteDirectory('C:\Users\александр\AppData\Local\362c94df8a8c6b76e42047bc8868847b'); DeleteDirectory('C:\Users\александр\AppData\Local\49151fbc39db39e23a548736d673324e'); DeleteDirectory('c:\users\александр\appdata\local\freewarelogstart'); DeleteDirectory('C:\Users\александр\appdata\roaming\zbrowser'); DeleteDirectory('C:\Users\александр\AppData\Local\RecycleSoftwareSprite'); DeleteDirectory('C:\Users\александр\AppData\Local\PirritSuggestor'); DeleteDirectory('C:\Users\александр\AppData\Local\DockFrozenRecycle'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('SCU', 2, 2, true); BC_Activate; ExecuteRepair(9); RebootWindows(false); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.
Код:R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1402596368&from=wpm0612&uid=HitachiXHTS547550A9E384_J112005MF6YNVAF6YNVAX R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=e575182ca082addff45482330760d6e6&text={searchTerms} R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=e575182ca082addff45482330760d6e6&text={searchTerms} R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1402596368&from=wpm0612&uid=HitachiXHTS547550A9E384_J112005MF6YNVAF6YNVAX R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.awesomehp.com/web/?type=ds&ts=1393763585&from=amt&uid=HitachiXHTS547550A9E384_J112005MF6YNVAF6YNVAX&q={searchTerms} R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.awesomehp.com/web/?type=ds&ts=1393763585&from=amt&uid=HitachiXHTS547550A9E384_J112005MF6YNVAF6YNVAX&q={searchTerms} R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?type=hp&ts=1402596368&from=wpm0612&uid=HitachiXHTS547550A9E384_J112005MF6YNVAF6YNVAX R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=e575182ca082addff45482330760d6e6&text= R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=e575182ca082addff45482330760d6e6&text= R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:17029 R3 - URLSearchHook: (no name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - (no file) O2 - BHO: Movies Toolbar (Dist. by Bandoo Media, Inc.) - {3d86a75b-cb6b-4764-885d-ca6336f04ba2} - C:\PROGRA~2\MOVIES~1\Datamngr\SRTOOL~1\IE\searchresultsDx.dll (file missing) O2 - BHO: Funmoods Helper Object - {75EBB0AA-4214-4CB4-90EC-E3E07ECD04F7} - C:\Program Files (x86)\Funmoods\funmoods\1.5.11.16\bh\funmoods.dll (file missing) O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file) O2 - BHO: DealPly - {A6174F27-1FFF-E1D6-A93F-BA48AD5DD448} - C:\Program Files (x86)\DealPly\DealPlyIE.dll (file missing) O2 - BHO: metacrawler Helper Object - {D4EF7D75-52C9-4BCE-B6DC-0976EFAB4B0B} - C:\Program Files (x86)\metaCrawler\1.8.19.0\bh\metacrawler.dll (file missing) O2 - BHO: kikin Plugin - {E601996F-E400-41CA-804B-CD6373A7EEE2} - C:\Program Files (x86)\kikin\ie_kikin.dll (file missing) O2 - BHO: InjectScript - {F6C07882-D703-4DD5-905A-2C4E815A5066} - C:\Users\александр\AppData\Roaming\D394D188-BAC7-4e03-8FAF-389A4D7EC6F4\Shopping Suggestion.dll O2 - BHO: BonanzaDeals - {fe063412-bea4-4d76-8ed3-183be6220d17} - C:\Program Files (x86)\BonanzaDeals\BonanzaDealsIE.dll (file missing) O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing) O3 - Toolbar: metacrawler Toolbar - {7EACAC38-B7F6-4514-9DC1-3428A7964ABD} - C:\Program Files (x86)\metaCrawler\1.8.19.0\metacrawlerTlbr.dll (file missing) O3 - Toolbar: Movies Toolbar (Dist. by Bandoo Media, Inc.) - {3d86a75b-cb6b-4764-885d-ca6336f04ba2} - C:\PROGRA~2\MOVIES~1\Datamngr\SRTOOL~1\IE\searchresultsDx.dll (file missing) O3 - Toolbar: Funmoods Toolbar - {A4C272EC-ED9E-4ACE-A6F2-9558C7F29EF3} - C:\Program Files (x86)\Funmoods\funmoods\1.5.11.16\funmoodsTlbr.dll (file missing) O4 - HKLM\..\Run: [Adobe Flash Player SU] C:\Windows\System32\cmd.exe /k start http://3zz.info/ && exit O4 - HKLM\..\Run: [mobilegeni daemon] C:\Program Files (x86)\Mobogenie\DaemonProcess.exe O4 - HKLM\..\Run: [smss] C:\Users\александр\smss.exe O4 - HKCU\..\Run: [NextLive] C:\windows\SysWOW64\rundll32.exe "C:\Users\александр\AppData\Roaming\newnext.me\nengine.dll",EntryPoint -m l O13 - DefaultPrefix: http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=e575182ca082addff45482330760d6e6&text=
- Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
- Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
- Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
- Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
- Скачайте CheckBrowserLnk и сохраните архив с утилитой на Рабочем столе
- Распакуйте архив с утилитой в отдельную папку
- Запустите checkbrowserlnk.exe
Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да- После окончания работы программы на рабочем столе будет сохранен отчет CheckBrowserLnk.log
- Прикрепите этот отчет в вашей теме.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Скрипт выполнил, карантин отправил. Пофиксил строки и сделал новые логи. Пока всё хорошо, прокси отключил и он не включается больше.
- Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan".
- По окончанию сканирования снимите галочки со следующих строк:
Код:Папка Найдено : C:\Program Files (x86)\Mail.Ru Папка Найдено : C:\Users\александр\AppData\Local\Mail.Ru Папка Найдено : C:\Users\александр\AppData\LocalLow\Mail.Ru Папка Найдено : C:\Users\александр\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mail.Ru- Нажмите кнопку "Clean" и дождитесь окончания удаления.
- Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
- Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.
Подробнее читайте в этом руководстве.
Исправьте ярлыки:
C:\Users\Public\Desktop\Google Chrome.lnk
C:\Users\александр\AppData\Roaming\Microsoft\Inter net Explorer\Quick Launch\Launch Internet Explorer Browser.lnk
C:\Users\александр\AppData\Roaming\Microsoft\Inter net Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Всё сделал, всё нормально. Спасибо.
Отчет AdwCleaner после удаления где?
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 6
- В ходе лечения обнаружены вредоносные программы:
- c:\users\александр\appdata\roaming\zbrowser\shadow \zbrowser.update\zbrowser.update.process.exe - not-a-virus:HEUR:Downloader.Win32.LMN.gen
Уважаемый(ая) -brad-, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.