постоянные атаки вирусов

**пупсик** · 24.02.2015, 17:32

24.02.2015 19:36:32 Фильтр HTTP файл [удалено] модифицированный Win32/InstallCore.PO приложение соединение прервано - изолирован LEO\Леонид Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\Users\Леонид\AppData\Roaming\ASPackage\ASPackag e.exe.

и т.д.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 24.02.2015, 17:34

Уважаемый(ая) пупсик, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**thyrex** · 24.02.2015, 18:40

http://virusinfo.info/pravila.html

**пупсик** · 24.02.2015, 21:58

логи

**пупсик** · 25.02.2015, 16:30

**mike 1** · 25.02.2015, 16:42

Скачайте CheckBrowserLnk и сохраните архив с утилитой на Рабочем столе
Распакуйте архив с утилитой в отдельную папку
Запустите checkbrowserlnk.exe
Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
После окончания работы программы на рабочем столе будет сохранен отчет CheckBrowserLnk.log
Прикрепите этот отчет в вашей теме.

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

**пупсик** · 25.02.2015, 17:57

сделал

**mike 1** · 25.02.2015, 20:34

Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
Распакуйте архив с утилитой в отдельную папку.
Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
Прикрепите этот отчет к своему следующему сообщению.

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

**пупсик** · 25.02.2015, 21:40

сделал

**mike 1** · 25.02.2015, 22:00

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD" и "Driver MD5".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

**пупсик** · 25.02.2015, 22:24

сделал

**mike 1** · 26.02.2015, 01:43

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKU\S-1-5-21-1317798741-3504583483-281311687-1028\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
HKU\S-1-5-21-1317798741-3504583483-281311687-1028\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://yambler.net/?iq&uid=30ee86ab5dbe3d8f876587013a318114&iid=24565755
HKU\S-1-5-21-1317798741-3504583483-281311687-1028\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
HKU\S-1-5-21-1317798741-3504583483-281311687-1028\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
HKU\S-1-5-21-1317798741-3504583483-281311687-1030\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
HKU\S-1-5-21-1317798741-3504583483-281311687-1030\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://yambler.net/?iq&uid=30ee86ab5dbe3d8f876587013a318114&iid=24565755
HKU\S-1-5-21-1317798741-3504583483-281311687-1030\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
HKU\S-1-5-21-1317798741-3504583483-281311687-1030\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
URLSearchHook: HKU\S-1-5-21-1317798741-3504583483-281311687-1000 - (No Name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} -  No File
SearchScopes: HKU\S-1-5-21-1317798741-3504583483-281311687-1000 -> {70D46D94-BF1E-45ED-B567-48701376298E} URL = http://127.0.0.1:4664/search&s=0jCK6cnPz8Wdz556ZqC2hMkgJIE?q={searchTerms}
SearchScopes: HKU\S-1-5-21-1317798741-3504583483-281311687-1028 -> {70D46D94-BF1E-45ED-B567-48701376298E} URL = http://127.0.0.1:4664/search&s=0jCK6cnPz8Wdz556ZqC2hMkgJIE?q={searchTerms}
SearchScopes: HKU\S-1-5-21-1317798741-3504583483-281311687-1030 -> {61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} URL = http://webalta.ru/search?q={searchTerms}&from=IE
SearchScopes: HKU\S-1-5-21-1317798741-3504583483-281311687-1030 -> {70D46D94-BF1E-45ED-B567-48701376298E} URL = http://127.0.0.1:4664/search&s=0jCK6cnPz8Wdz556ZqC2hMkgJIE?q={searchTerms}
Toolbar: HKLM - No Name - {0BF43445-2F28-4351-9252-17FE6E806AA0} -  No File
Toolbar: HKLM - No Name - {daf5b34c-1aa3-4c33-ae24-766a370635d2} -  No File
Toolbar: HKU\S-1-5-21-1317798741-3504583483-281311687-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
Toolbar: HKU\S-1-5-21-1317798741-3504583483-281311687-1028 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} -  No File
Toolbar: HKU\S-1-5-21-1317798741-3504583483-281311687-1028 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-1317798741-3504583483-281311687-1028 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
Toolbar: HKU\S-1-5-21-1317798741-3504583483-281311687-1030 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} -  No File
Toolbar: HKU\S-1-5-21-1317798741-3504583483-281311687-1030 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-1317798741-3504583483-281311687-1030 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
FF Extension: Smiles+ v13.8.20 - C:\Users\Леонид\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2013-08-20]
CHR Extension: (Домашняя страница Mail.Ru) - C:\Users\Леонид\AppData\Local\Google\Chrome\User Data\Default\Extensions\gdknicmnhbaajdglbinpahhapghpakch [2015-02-12]
CHR Extension: (Домашняя страница – Mail.Ru) - C:\Users\Леонид\AppData\Local\Google\Chrome\User Data\Default\Extensions\pldbienodkpgkccocelidinmciedjdok [2014-09-30]
R2 qrsvc_1.10.0.9; C:\Program Files\QuickRef_1.10.0.9\Service\qrsvc.exe [278592 2015-02-07] (Quick Ref)
S2 serveras; C:\Users\Леонид\AppData\Roaming\ASPackage\ASSrv.exe [X]
2015-02-13 00:35 - 2015-02-13 00:35 - 00000155 ____H () C:\Users\Леонид\AppData\Local\BrowserManager.bat
2015-02-13 00:35 - 2015-02-13 00:35 - 00000114 ____H () C:\Program Files\unins000.bat
2015-02-13 00:35 - 2015-02-13 00:35 - 00000102 ____H () C:\iexplore.bat
2015-02-13 00:35 - 2015-02-13 00:35 - 00000093 ____H () C:\opera.bat
2015-02-13 00:35 - 2014-10-16 22:13 - 00757976 ____H (Microsoft Corporation) C:\iехplоrе.bаt.exe
2015-02-13 00:35 - 2014-07-22 14:00 - 00876328 ____H (Yandex LLC) C:\Users\Леонид\AppData\Local\ВrоwsеrМаnаgеr.bаt.exe
2015-02-13 00:35 - 2012-12-16 18:08 - 00878480 ____H (Opera Software) C:\оpеrа.bаt.exe
2015-02-13 00:35 - 2012-08-26 22:38 - 00714526 ____H () C:\Program Files\unins000.bаt.exe
2015-02-13 00:34 - 2015-02-13 00:35 - 00000114 ____H () C:\Program Files\Launcher.bat
2015-02-13 00:34 - 2014-12-23 00:58 - 00431168 ____H () C:\Program Files\Lаunсhеr.bаt.exe
2015-02-13 00:35 - 2015-02-13 00:35 - 0000114 ____H () C:\Program Files\unins000.bat
2015-02-13 00:35 - 2012-08-26 22:38 - 0714526 ____H () C:\Program Files\unins000.bаt.exe
2013-08-20 22:17 - 2013-08-20 22:17 - 0000040 _____ () C:\Program Files\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys
C:\Program Files\QuickRef_1.10.0.9
AlternateDataStreams: C:\Users\Леонид\Local Settings:wa
AlternateDataStreams: C:\Users\Леонид\Desktop\08062008028-002.mp4:TOC.WMV
AlternateDataStreams: C:\Users\Леонид\Desktop\08072008031-003.mp4:TOC.WMV
AlternateDataStreams: C:\Users\Леонид\Desktop\Message14240805270000000060.eml:OECustomProperty
AlternateDataStreams: C:\Users\Леонид\Desktop\V.2-АТБАСАР!.3gp:TOC.WMV
AlternateDataStreams: C:\Users\Леонид\AppData\Local:wa
AlternateDataStreams: C:\Users\Леонид\AppData\Local\Application Data:wa
EmptyTemp:
Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

**пупсик** · 26.02.2015, 15:46

сделал

**mike 1** · 26.02.2015, 18:10

Что с проблемой?

**пупсик** · 26.02.2015, 18:37

Сообщение от mike 1

Что с проблемой?

антивирус больше не выдает предупреждения постоянные, новые вкладки при нажатии перестали вроде выскакивать, сейчас нету, но утром еще выскакивала новая вкладка с рекламой

**mike 1** · 26.02.2015, 19:19

Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt

**пупсик** · 26.02.2015, 21:58

сделал

**mike 1** · 27.02.2015, 01:22

Контроль учётных записей пользователя отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^

Обновите:

JavaFX 2.1.0 v.2.1.0 Внимание! Скачать обновления
^Скачайте javafx-2_2_21-windows-i586.exe^
Java 7 Update 51 v.7.0.510 Внимание! Скачать обновления
^Скачайте jre-7u76-windows-i586.exe^
Java Auto Updater v.2.1.9.8
-------------AdobeProduction----------------------
Adobe Flash Player 16 ActiveX v.16.0.0.305
Adobe Reader 8.1.0 v.8.1.0 Внимание! Скачать обновления
-------------Browser------------------------------
Google Chrome v.40.0.2214.115
Opera 12.11 v.12.11.1661 Внимание! Скачать обновления

**пупсик** · 27.02.2015, 13:33

Не удается найти "UserAccountControlSettings" проверьте правильность ввода и повторите попытку.
обновления тоже скачать не дает - "Sorry, you must accept the License Agreement before downloading"
Тем не менее, проблема прекратила наблюдаться, хром обновлен, опера тоже.
Атак нод больше не выдает, доп окна перестали выскакивать

**mike 1** · 27.02.2015, 13:38

Не удается найти "UserAccountControlSettings" проверьте правильность ввода и повторите попытку.
обновления тоже скачать не дает - "Sorry, you must accept the License Agreement before downloading"

По этой http://windows.microsoft.com/ru-ru/w...#1TC=windows-7 инструкции включите его тогда.

Советы и рекомендации после лечения компьютера