Помогите, пожалуйста, во всех браузерах вылезает реклама, все становится ссылками, появляются всплывающие окна, на вирусы проверял и Доктором вебом, и Касперским на полную в безопасном режиме - ничего не находит.
Помогите, пожалуйста, во всех браузерах вылезает реклама, все становится ссылками, появляются всплывающие окна, на вирусы проверял и Доктором вебом, и Касперским на полную в безопасном режиме - ничего не находит.
Уважаемый(ая) Алексей Майоров, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ:Компьютер перезагрузится.Код:begin DeleteFileMask('C:\PROGRA~3\b2304aaa', '*', true); DeleteDirectory('C:\PROGRA~3\b2304aaa'); ExecuteFile('schtasks.exe', '/delete /TN "{AEF07741-AA22-DC82-6977-2A00C502100D}" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Soft installer" /F', 0, 15000, true); ExecuteFile('ipconfig.exe', '/flushdns', 0, 15000, true); ExecuteRepair(21); ExecuteWizard('SCU', 2, 2, true); RebootWindows(false); end.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).
WBR,
Vadim
Охренеть.. после выполнения вкрипта комп грузанулся и у меня пропали почти что все программы, как будто откат сис-мы сделали или только что винду переустановил..
Не мог скрипт привести к таким последствиям. Делайте лог FRST.
WBR,
Vadim
Видать какой-то глюк был, перезагрузил комп снова и все вернулось. Выполнил скрипт заново - не помогло - вирус остался. Лог FRST приложил.
Какие настройки DNS в роутере?
WBR,
Vadim
Настройка DNS WAN:
Получить IP-адрес WAN автоматически? :: Да
DNS-сервер 1: Пусто
DNS-сервер 2: Пусто
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.Код:CreateRestorePoint: Tcpip\Parameters: [NameServer] 82.163.142.7 95.211.158.134 Tcpip\..\Interfaces\{396e1d29-1de8-4248-8c76-e79234a2571e}: [DhcpNameServer] 82.163.142.7 Tcpip\..\Interfaces\{844dedee-9e5e-4298-af2a-85c30a711a18}: [DhcpNameServer] 82.163.142.7 Tcpip\..\Interfaces\{e23b490a-cb53-422f-824b-726b16fb2a25}: [DhcpNameServer] 82.163.142.7 HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION HKU\S-1-5-21-2866255032-3484500435-3182989268-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION SearchScopes: HKU\S-1-5-21-2866255032-3484500435-3182989268-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B7EA62D9A-79A4-4687-B58B-8E62F3151C7C%7D&gp=821698 CHR HomePage: Profile 1 -> hxxp://www.istartpageing.com/?type=hp&ts=1459268061&z=8d1ee8b9ea532d51fa3cf78g5z1wdt9o8qab9g2t4o&from=wnf&uid=TOSHIBAXMK6476GSX_32HRT0WFTXX32HRT0WFT CHR StartupUrls: Profile 1 -> "hxxp://www.istartpageing.com/?type=hp&ts=1459268061&z=8d1ee8b9ea532d51fa3cf78g5z1wdt9o8qab9g2t4o&from=wnf&uid=TOSHIBAXMK6476GSX_32HRT0WFTXX32HRT0WFT" CHR HKLM-x32\...\Chrome\Extension: [ahkmpjnmnhjkpkacdhkliipnncobgkhk] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [cncgohepihcekklokhbhiblhfcmipbdh] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [fbkdlibjhnblcbjjecnlpkldhbkedfhj] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [gehngeifmelphpllncobkmimphfkckne] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [mdeldjolamfbcgnndjmjjiinnhbnbnla] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx 2016-05-07 20:51 - 2016-05-08 17:05 - 00000000 ____D C:\ProgramData\002a7768-37e1-0 2016-05-07 20:46 - 2016-05-08 17:05 - 00000000 ____D C:\ProgramData\002a7768-62b7-0 2016-05-07 20:46 - 2016-05-08 17:05 - 00000000 ____D C:\ProgramData\{0ff1e64e-412c-0} 2016-05-07 20:46 - 2016-05-08 17:05 - 00000000 ____D C:\ProgramData\{0a0d53d1-112c-1} 2016-04-15 20:50 - 2016-05-07 20:47 - 00000000 ____D C:\ProgramData\e22d5575-48a3-1 2016-04-15 20:50 - 2016-05-07 20:46 - 00000000 ____D C:\ProgramData\e22d5575-4a73-0 2016-04-15 20:35 - 2016-04-16 12:33 - 00000000 ____D C:\Users\Сергей\AppData\Local\Hostinstaller 2016-04-15 20:35 - 2016-04-16 00:00 - 00000000 ____D C:\Program Files (x86)\IObit 2016-04-15 20:35 - 2016-04-15 20:36 - 00000000 ____D C:\Users\Сергей\AppData\Roaming\IObit 2016-04-15 20:35 - 2016-04-15 20:36 - 00000000 ____D C:\Users\Все пользователи\IObit 2016-04-15 20:35 - 2016-04-15 20:35 - 00000000 ____D C:\Users\Сергей\AppData\LocalLow\IObit 2016-04-15 20:35 - 2016-04-15 20:35 - 00000000 ____D C:\Users\Все пользователи\ProductData 2016-04-15 20:35 - 2016-04-15 20:35 - 00000000 ____D C:\Users\Все пользователи\{BAF091CA-86C4-4627-ADA1-897E2621C1B0} 2016-04-15 20:34 - 2016-05-08 00:39 - 00000000 ____D C:\Users\Сергей\AppData\Local\Mail.Ru 2016-04-15 20:34 - 2016-04-15 23:20 - 00000000 ____D C:\Users\Сергей\AppData\LocalLow\Unity 2016-04-15 20:34 - 2016-04-15 23:20 - 00000000 ____D C:\Users\Сергей\AppData\Local\Unity 2016-04-15 20:34 - 2016-04-15 23:13 - 00000000 ____D C:\Users\Сергей\AppData\Roaming\ImageCropResize 2016-04-15 20:34 - 2016-04-15 20:36 - 00000000 ____D C:\Users\Сергей\AppData\Roaming\MailProducts 2016-04-15 20:34 - 2016-04-15 20:36 - 00000000 ____D C:\ProgramData\Mail.Ru 2016-04-15 20:33 - 2016-04-15 20:34 - 00000000 ____D C:\Users\Сергей\AppData\Local\Amigo C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat CustomCLSID: HKU\S-1-5-21-2866255032-3484500435-3182989268-1000_Classes\CLSID\{19170A69-A883-40D5-AF97-F6DC41495F15}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-2866255032-3484500435-3182989268-1000_Classes\CLSID\{97836AB9-12C5-4C30-A128-B75196DD1787}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-2866255032-3484500435-3182989268-1000_Classes\CLSID\{ECF41531-0840-4361-955F-1157A091842F}\InprocServer32 -> no filepath Task: {84EDB921-9582-4575-BAFE-CC1D8D3767D8} - \DNSLOCKINGTON -> No File <==== ATTENTION 2016-04-15 20:35 - 2016-04-15 20:35 - 00000000 ____D C:\WINDOWS\Tasks\ImCleanDisabled C:\Users\Сергей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk FirewallRules: [{DAD7CF3E-68CA-43AD-A458-1636D0A7EDE9}] => (Allow) C:\program files (x86)\common files\baidu\bddownload\107\bddownloader.exe CMD: ipconfig /flushdns EmptyTemp: Reboot:
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Сообщите, что с проблемой.
WBR,
Vadim
Большое спасибо, очень выручили! Вирусов больше не заметил. Удалились все куки браузера, видать в них был вирус.
Лог файл приложил.
Главная причина - DNS серверы прописаны были левые.
Смените пароль на веб-интерфейс роутера на сложный.
Обновите прошивку роутера, если есть для вашей модели.
Удалите папку C:\FRST со всем содержимым.
Отключите временно антивирус.
Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.
Приложите этот файл к своему следующему сообщению.
WBR,
Vadim
Спасибо, сделал
Java обязательно нужно держать актуальной версии.Java 8 Update 66 v.8.0.660.18 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u92-windows-i586.exe)^
В остальном - порядок.
WBR,
Vadim
Большое спасибо за помощь!
Выполните рекомендации после лечения.
Уважаемый(ая) Алексей Майоров, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.