Открывается ссылка паразит во всех браузерах и периодически происходят попытки подключения с удаленных серверов

[lis35rus]

Добрый день.Проблемма указана в названии темы.Хотелось бы добавить что ссылка открывается через пару переадресованных доменов сначала serch-ok.ru затем yes-traflab.ru пару раз с разными окончаниями такими как yes-traflab.ru/?token=cnwx5 и yes-traflab.ru/rotator,а конечная ссылка на сайт donotbeshy.com.Удаленное подключение происходит по инфе нода из globalstorage1.com/vuupc/stats.php ip adres 52.1.164.138,но помоему еще какие то были другие.система win8.1 64

[Info_bot]

Уважаемый(ая) lis35rus, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[lis35rus]

забыл доложить

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 QuarantineFile('C:\Users\User\AppData\Roaming\Browsers\exe.resworb.bat','');
 QuarantineFile('C:\Users\User\AppData\Roaming\Browsers\exe.erolpxei.bat','');
 QuarantineFile('C:\Users\User\AppData\Roaming\Browsers\exe.emorhc.bat','');
 DeleteFile('C:\Program Files (x86)\XTab\ProtectService.exe','32');
 DeleteFile('C:\Users\User\AppData\Roaming\52507207-1423931300-E311-ADBB-201A06F7AB51\JOSrv.exe','32');
 DeleteFile('C:\Users\User\AppData\Roaming\SoftwareUpdater\SUsrv.exe','32');
 DeleteFile('C:\Program Files (x86)\Torrent Search\Basement\ExtensionUpdaterService.exe','32');
 DeleteFile('C:\Users\User\AppData\Roaming\52507207-1423931300-E311-ADBB-201A06F7AB51\nsb1590.tmp','32');
 DeleteFile('C:\Users\User\AppData\Roaming\Browsers\exe.emorhc.bat','32');
 DeleteFile('C:\Users\User\AppData\Roaming\Browsers\exe.erolpxei.bat','32');
 DeleteFile('C:\Users\User\AppData\Roaming\Browsers\exe.resworb.bat','32');
 DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP1.job','64');
 DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP2.job','64');
 DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP3.job','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\APSnotifierPP1','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\APSnotifierPP2','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\APSnotifierPP3','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\SmartWeb Upgrade Trigger Task','64');
 DeleteService('dyzoceto');
 DeleteService('Update Service for Torrent Search');
 DeleteService('serversu');
 DeleteService('serverjo');
 DeleteService('IHProtect Service');  
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы


Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

1. Скачайте CheckBrowserLnk и сохраните архив с утилитой на Рабочем столе
2. Распакуйте архив с утилитой в отдельную папку
3. Запустите checkbrowserlnk.exe
   Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
4. После окончания работы программы на рабочем столе будет сохранен отчет CheckBrowserLnk.log
5. Прикрепите этот отчет в вашей теме.

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[lis35rus]

вот

[mike 1]

• Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
• Распакуйте архив с утилитой в отдельную папку.
• Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
  
  
  
• Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
• Прикрепите этот отчет к своему следующему сообщению.

[lis35rus]

вот

[mike 1]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что под окном Optional Scan отмечены "List BCD" и "Driver MD5".
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[lis35rus]

вот

[mike 1]

Деинсталлируйте SpyHunter 4

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  Код:

  CreateRestorePoint:
  GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
  FF Plugin: @iqiyi.com/npWebPlayer -> D:\IQIYI Video\LStyle\npWebPlayer.dll No File
  FF Plugin-x32: @iqiyi.com/npWebPlayer -> D:\IQIYI Video\LStyle\npWebPlayer.dll No File
  FF Plugin HKU\S-1-5-21-889989209-2844010215-3705215910-1001: @iqiyi.com/npWebPlayer -> D:\IQIYI Video\LStyle\npWebPlayer.dll No File
  CHR HomePage: Default -> hxxp://www.istartsurf.com/?type=hp&ts=1423921192&from=face&uid=ST500LT012-1DG142_S3P48CLBXXXXS3P48CLB
  CHR Extension: (Стартовая — Яндекс) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\lalfiodohdgaejjccfgfmmngggpplmhp [2015-02-08]
  2015-02-14 20:02 - 2015-02-14 20:02 - 00000258 __RSH () C:\Users\Все пользователи\ntuser.pol
  2015-02-14 20:02 - 2015-02-14 20:02 - 00000258 __RSH () C:\ProgramData\ntuser.pol
  2015-02-14 16:45 - 2015-02-14 16:45 - 00000000 ____D () C:\Users\Все пользователи\TXQMPC
  2015-02-14 16:45 - 2015-02-14 16:45 - 00000000 ____D () C:\ProgramData\TXQMPC
  2015-02-14 16:27 - 2015-02-14 16:42 - 00000000 ____D () C:\Users\User\AppData\Roaming\IQIYI Video
  2015-02-08 21:35 - 2015-02-14 23:04 - 00000000 ____D () C:\Users\User\AppData\Roaming\Torrent Search
  EmptyTemp:
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[lis35rus]

вот

[mike 1]

Что с проблемой?

[lis35rus]

Ссылка больше не дастает.а на счет удаленки пока небыло.если небудет больше атак в течении недели то отпишу.А так огромное спасибо!!!

[mike 1]

1. Скачайте DelFix и сохраните утилиту на Рабочем столе
2. Запустите DelFix
   Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
3. В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup
4. Нажмите на кнопку Run
5. После окончания работы программы автоматически откроется блокнот с отчетом delfix.txt
6. Прикрепите этот отчет в вашей теме.

• Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt

[lis35rus]

вот

[mike 1]

Просил же удалить SpyHunter 4 v.4.18.9.4384. Деинсталлируйте его.

ESET NOD32 Antivirus v.8.0.304.1
Avast Free Antivirus v.10.0.2208

Оставьте какой-нибудь один антивирус, второй антивирус деинсталлируйте.

Обновите:

Google Chrome v.12.0.742.91 Внимание! Скачать обновления

Советы и рекомендации после лечения компьютера

[lis35rus]

Все сделал. гребаный хантер почему то с первого раза не удалился просто...СПАСИБО ОГРОМНОЕ!!!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 3
• В ходе лечения вредоносные программы в карантинах не обнаружены