# Форум на русском языке  > Помогите!  >  Что то блокирует интернет и изменяет прокси сервера на 127.0.0.1 9880 во всех браузерах, реклама в стиме. [not-a-virus:AdWare.Win32.Tirrip.d, not-a-virus:AdWare.Win32.Tirrip.e
 > ]

## Aferkin

Что то блокирует интернет и изменяет прокси сервера на 127.0.0.1 9880 во всех браузерах, реклама в стиме.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Info_bot

Уважаемый(ая) *Aferkin*, спасибо за обращение на наш форум! 

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

 Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

----------


## mike 1

Здравствуйте! 

Закройте все программы, *временно* выгрузите антивирус, файрволл и прочее защитное ПО.

1. *Важно!* на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):



```
begin
 ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 TerminateProcessByName('c:\users\user\appdata\local\temp\is-inv0v.tmp\pirritupdater.tmp');
 TerminateProcessByName('c:\windows\temp\pirritupdater.exe');
 TerminateProcessByName('c:\users\user\appdata\local\pirritsuggestor\pirritservice.exe');
 TerminateProcessByName('c:\users\user\appdata\local\pirritsuggestor\pirritdesktop.exe');
 TerminateProcessByName('c:\program files (x86)\gamesrs\gupdater.exe');
 SetServiceStart('PirritDesktop', 4);
 SetServiceStart('GamesRS', 4);
 StopService('PirritDesktop');
 StopService('GamesRS');
 QuarantineFile('C:\Users\user\AppData\Local\Yandex\YandexBrowser\Application\browser.url','');
 QuarantineFile('c:\users\user\appdata\local\temp\is-inv0v.tmp\pirritupdater.tmp','');
 QuarantineFile('c:\windows\temp\pirritupdater.exe','');
 QuarantineFile('c:\users\user\appdata\local\pirritsuggestor\pirritservice.exe','');
 QuarantineFile('c:\users\user\appdata\local\pirritsuggestor\pirritdesktop.exe','');
 QuarantineFile('c:\program files (x86)\gamesrs\gupdater.exe','');
 DeleteFile('c:\users\user\appdata\local\pirritsuggestor\pirritdesktop.exe','32');
 DeleteFile('c:\windows\temp\pirritupdater.exe','32');
 DeleteFile('c:\users\user\appdata\local\temp\is-inv0v.tmp\pirritupdater.tmp','32');
 DeleteFile('C:\Users\user\AppData\Local\PirritSuggestor\PirritService.exe','32');
 DeleteFile('C:\Program Files (x86)\GamesRS\GUpdater.exe','32');
 DeleteFile('C:\Users\user\AppData\Local\Yandex\YandexBrowser\Application\browser.url','32');
 DeleteFile('C:\Windows\system32\Tasks\DealPly','64');
 DeleteFile('C:\Windows\system32\Tasks\DSite','64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 DeleteService('PirritDesktop');
 DeleteService('GamesRS');
 DeleteFileMask('c:\users\user\appdata\local\pirritsuggestor', '*', true, ' ');
 DeleteFileMask('c:\program files (x86)\gamesrs', '*', true, ' ');
 DeleteDirectory('c:\users\user\appdata\local\pirritsuggestor');      
 DeleteDirectory('c:\program files (x86)\gamesrs');             
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
 ExecuteRepair(13);    
RebootWindows(false);
end.
```

*Внимание!* Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:



```
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
```

2. Пришлите карантин согласно Приложения 2 правил по красной ссылке *Прислать запрошенный карантин* вверху темы

3. *Важно!* на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.



```
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&text={searchTerms}
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:9880
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O2 - BHO: delta Helper Object - {C1AF5FA5-852C-4C90-812E-A7F75E011D87} - C:\Program Files (x86)\Delta\delta\1.8.10.0\bh\delta.dll
O3 - Toolbar: Delta Toolbar - {82E1477C-B154-48D3-9891-33D83C26BCD3} - C:\Program Files (x86)\Delta\delta\1.8.10.0\deltaTlbr.dll
```

4. Скачайте *AdwCleaner (by Xplode)* и сохраните его на *Рабочем столе*.Запустите его (в ОС *Windows Vista/Seven* необходимо запускать через правую кн. мыши *от имени администратора*), нажмите кнопку *"Scan"* и дождитесь окончания сканирования.Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: *C:\AdwCleaner\AdwCleaner[R0].txt*.Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве. 

5. Скачайте CheckBrowserLnk и сохраните архив с утилитой на *Рабочем столе*Распакуйте архив с утилитой в отдельную папкуЗапустите *checkbrowserlnk.exe**Обратите внимание*, что утилиты необходимо запускать от имени Администратора. По умолчанию в *Windows XP* так и есть. В *Windows Vista* и *Windows 7* администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать *Запуск от имени Администратора*, при необходимости укажите пароль администратора и нажмите *Да*После окончания работы программы на рабочем столе будет сохранен отчет *CheckBrowserLnk.log*Прикрепите этот отчет в вашей теме.

----------

Aferkin

----------


## Aferkin

AdwCleaner[R0].txtCheckBrowserLnk.log



после окончания сканирования в AdwCleaner,нечайно нажал очистить, потом востановил их.

- - - Добавлено - - -

Что дальше делать?

- - - Добавлено - - -

Что дальше делать?

----------


## thyrex

Исправляйте ярлыки


```
C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk [C:\Program Files\Internet Explorer\iexplore.exe "http://pwgamers.ru" ]
C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk [C:\Program Files\Internet Explorer\iexplore.exe "http://pwgamers.ru" ]
```

----------


## mike 1

Инструкция как исправить ярлык у браузера?

----------


## Aferkin

куда мне этот код вставить? я посмотрел с ярлыками все впорядке

----------


## thyrex

Значит только я вижу в ярлыках лишние приписки  :Smiley: 

Ссылка, как это исправить, в сообщении №6

----------


## Aferkin

вот скрин, нету лишних прописок

- - - Добавлено - - -

подскажите :Sad:

----------


## thyrex

Вам  же ясно написали, какие ярлыки нужно смотреть

----------


## Aferkin

изменил, опера и Internet Explorer запускаюся , заходят в интернет, но так же невозможно зайти с яндекса, Steam не видит интернета и остальные игры.

----------


## thyrex

Новые логи AVZ и HiJack сделайте

Сделайте лог полного сканирования МВАМ

----------


## Aferkin

вот

----------


## thyrex

Удалите в МВАМ (поместите в Карантин) всё, кроме


```
PUP.Adware.MediaGet, C:\Users\user\Desktop\??N??·N?N????°\MediaGet_id2169135ids2s.exe, , [aecf449a166453e382309db8ed13e719], 
PUP.Optional.Zona, C:\Users\user\Desktop\??N??·N?N????°\nfs_underground_2.exe, , [bbc24e90eb8fad89d6e1008310f19d63],
```

Выполните скрипт в AVZ


```
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 DeleteService('RegFltrX64');
 DeleteFile('C:\Users\user\AppData\Local\PirritSuggestor\RegFltrX64.sys','32');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
```

Компьютер перезагрузится.

Сделайте новые логи

----------


## Aferkin

вот

----------


## thyrex

Что с проблемой?

----------


## Aferkin

всё так же,одна опера видит интернет, остальные браузеры нет, стим тоже не видит сети. только ноут быстрее стал загружаться. может что надо прописывать в браузере прокси?

- - - Добавлено - - -

с этой проблемой так же перестал работать антивирус нортон, запустить не могу

- - - Добавлено - - -

нортон.jpg

- - - Добавлено - - -

как дальше быть?

----------


## Aferkin

больше помощи не будет??

----------


## thyrex

Сделайте логи RSIT

----------


## Aferkin

Пишу с тел, на ноуте теперь везде перестал работать интернет, последний лог не могу сделать вылетает ошибка

- - - Добавлено - - -

Заметил после перезагрузки интернет появляется везде на 2 мин и пропадает и так каждый раз

----------


## thyrex

Попробуйте сделать лог в безопасном режиме

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## CyberHelper

Статистика проведенного лечения:
Получено карантинов: *1*Обработано файлов: *4*В ходе лечения обнаружены вредоносные программы:
 c:\program files (x86)\gamesrs\gupdater.exe - *not-a-virus:AdWare.Win32.Tirrip.f* ( DrWEB: Adware.Pirrit.2, BitDefender: Application.Generic.639028, AVAST4: Win32:PirritSuggestor-A [Adw] ) c:\users\user\appdata\local\pirritsuggestor\pirrit  desktop.exe - *not-a-virus:AdWare.Win32.Tirrip.a* ( DrWEB: Adware.Downware.4352, AVAST4: Win32:PirritSuggestor-B [Adw] ) c:\users\user\appdata\local\pirritsuggestor\pirrit  service.exe - *not-a-virus:AdWare.Win32.Tirrip.d* ( DrWEB: Adware.Downware.4353 ) c:\windows\temp\pirritupdater.exe - *not-a-virus:AdWare.Win32.Tirrip.e* ( BitDefender: Adware.PirritSuggestor.A )

----------

