Социальные сети и яндекс

При попытки зайти на яндекс перебрасывает на другой сайт, вк требует отправить смс-ку.

Уважаемый(ая) [B]Sohabit[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
DelBHO('{95289393-33EA-4F8D-B952-483415B9C955}');
DelBHO('{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a}');
DelBHO('{09900DE8-1DCA-443F-9243-26FF581438AF}');
DeleteFile('C:\Users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\635110556531403889.exe','32');
DeleteFile('C:\Users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\635111713982151135.exe','32');
DeleteFile('C:\Users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\635119172385028667.exe','32');
DeleteFile('C:\Users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\635127790799275053.exe','32');
DeleteFile('C:\Users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\635129568074710530.exe','32');
DeleteFile('C:\Users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\635131231413619311.exe','32');
DeleteFile('C:\Users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\635134708423631720.exe','32');
DeleteFile('C:\Users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\635135909914250469.exe','32');
DeleteFile('C:\Users\Станислав\Documents\Iterra\cqtmdum.dll','32');
DeleteFile('C:\Windows\system32\Tasks\DSite.job','64');
DeleteFile('C:\Windows\system32\Tasks\PC SpeedUp Service Deactivator.job','64');
DeleteFile('C:\Windows\system32\Tasks\DSite','64');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Adobe Flash Player SU');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Internet Settings','AutoConfigURL');
RegKeyStrParamWrite('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings', 'ProxyServer', '');
RegKeyParamWrite('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings', 'ProxyEnable', 'REG_DWORD', '0');
ExecuteSysClean;
ExecuteRepair(3);
ExecuteRepair(4);
ExecuteWizard('SCU',2,2,true);
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.[/code]Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.

Скачайте утилиту [URL="http://oldtimer.geekstogo.com/OTL.exe"]OTL by OldTimer[/URL]. Запустите OTL.EXE, установите галочки в следующих пунктах настройки:

[B]Scan All Users[/B]
[B]Include 64Bit Scans[/B] - в случае 64-разрядной системы;
Output: [B]Minimal Output[/B];
File Scans: [B]Use Company-Name WhiteList[/B] и [B]Skip Microsoft Files[/B];
[B]Lop Check[/B];
[B]Purity Check[/B];

Остальные параметры оставьте по умолчанию и нажмите [B][COLOR="#0000CD"]Run Scan[/COLOR][/B]. По окончании сканирования программа создаст в той же папке, где находится она сама, два файла: [B]OTL.txt[/B] и [B]Extras.txt[/B]. Упакуйте их в архив и прикрепите к своему следующему сообщению.

Сделано.

Отключите антивирус, запустите OTL, скопируйте скрипт ниже в окно [B]Custom Scans/Fixes [/B]и нажмите [B]Run Fix[/B][CODE]:processes

:OTL
IE:[b]64bit:[/b] - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://searchfunmoods.com/?

f=1&a=iron2&ir=iron2&cd=2XzuyEtN2Y1L1QzuyDyEtDyE0AyCzytAzy0DyDzyyBtBzztDtN0D0Tzu0CtAyCtAtN1L2XzutBtFtBtFtCtFyEtDyB&cr=1942347976
IE:[b]64bit:[/b] - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE:[b]64bit:[/b] - HKLM\..\SearchScopes\{95289393-33EA-4F8D-B952-483415B9C955}: "URL" = http://searchfunmoods.com/results.php?f=4&q={searchTerms}

&a=iron2&ir=iron2&cd=2XzuyEtN2Y1L1QzuyDyEtDyE0AyCzytAzy0DyDzyyBtBzztDtN0D0Tzu0CtAyCtAtN1L2XzutBtFtBtFtCtFyEtDyB&cr=1942347976
IE - HKLM\..\SearchScopes\{95289393-33EA-4F8D-B952-483415B9C955}: "URL" = http://searchfunmoods.com/results.php?f=4&q={searchTerms}

&a=iron2&ir=iron2&cd=2XzuyEtN2Y1L1QzuyDyEtDyE0AyCzytAzy0DyDzyyBtBzztDtN0D0Tzu0CtAyCtAtN1L2XzutBtFtBtFtCtFyEtDyB&cr=1942347976
IE - HKU\S-1-5-21-1886302667-3111511155-805124146-1001\..\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633}: "URL" = http://webalta.ru/search?q={searchTerms}&from=IE
IE - HKU\S-1-5-21-1886302667-3111511155-805124146-1001\..\SearchScopes\{F857121E-A9E5-4fb4-8C54-C2851C5F22C9}: "URL" = http://search.ticno.com/?c=t&q={searchTerms}
[2013.02.21 15:03:44 | 000,023,141 | ---- | M] () (No name found) -- C:\Users\Андрей\AppData\Roaming\mozilla\firefox\profiles\h0i99jb9.default\extensions\staged\{f8e27e00-74cf-472f-b595-688999395a5c}.xpi
O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - No CLSID value found.
O3 - HKU\S-1-5-21-1886302667-3111511155-805124146-1001\..\Toolbar\WebBrowser: (no name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - No CLSID value found.
O3 - HKU\S-1-5-21-1886302667-3111511155-805124146-1001\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found.
O4 - Startup: C:\Users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\635132956285150080.exe ()
O20 - AppInit_DLLs: (C:\Users\Станислав\Documents\Iterra\cqtmdum.dll) - File not found
[2013.10.18 11:53:00 | 000,000,290 | ---- | M] () -- C:\Windows\tasks\DSite.job
[2013.09.05 01:00:52 | 000,000,138 | ---- | C] () -- C:\Windows\SysWow64\operaprefs_fixed.ini
[2013.09.01 02:21:19 | 000,000,045 | ---- | C] () -- C:\Program Files\Common Files\635135909914250469.exe
[2013.08.30 16:19:43 | 000,000,045 | ---- | C] () -- C:\Program Files\Common Files\635134708423631720.exe
[2013.08.28 16:22:09 | 000,000,045 | ---- | C] () -- C:\Program Files\Common Files\635132956285150080.exe
[2013.08.26 15:48:31 | 000,000,045 | ---- | C] () -- C:\Program Files\Common Files\635131231413619311.exe
[2013.08.24 17:30:14 | 000,000,045 | ---- | C] () -- C:\Program Files\Common Files\635129568074710530.exe
[2013.08.22 20:02:58 | 000,000,045 | ---- | C] () -- C:\Program Files\Common Files\635127790799275053.exe
[2013.08.12 16:01:12 | 000,008,247 | ---- | C] () -- C:\Program Files\Common Files\635119172385028667.exe
[2013.08.04 00:03:34 | 000,002,259 | ---- | C] () -- C:\Program Files\Common Files\635111713982151135.exe
[2013.08.02 15:55:19 | 000,002,259 | ---- | C] () -- C:\Program Files\Common Files\635110556531403889.exe
[2013.04.28 01:06:33 | 000,007,320 | ---- | C] () -- C:\Program Files\Common Files\635027049494125673.exe
[2012.11.17 23:45:52 | 000,172,998 | ---- | C] () -- C:\Windows\hpoins28.dat.temp
[2012.11.17 23:36:54 | 000,000,442 | ---- | C] () -- C:\Windows\hpomdl28.dat.temp
[2013.09.05 00:24:45 | 000,000,000 | ---D | M] -- C:\Users\Андрей\AppData\Roaming\DSite
[2013.09.05 00:24:47 | 000,000,000 | ---D | M] -- C:\Users\Андрей\AppData\Roaming\Funmoods
[2013.02.23 17:34:39 | 000,000,000 | ---D | M] -- C:\Users\Отец\AppData\Roaming\Funmoods
@Alternate Data Stream - 149 bytes -> C:\ProgramData\TEMP:D8999815


:Files

recycler /alldrives
ipconfig /flushdns /c
:Reg

:Commands
[EMPTYTEMP]
[EMPTYJAVA]
[EMPTYFLASH]
[purity]
[Reboot][/CODE]
Компьютер перезагрузится и откроет в блокноте лог выполнения скрипта, прикрепите его к своему следующему сообщению.

Что с проблемой?

Проблема исчезла минуты на 3-5, потом вернулась обратно.

[url=http://virusinfo.info/showthread.php?t=121767]Сделайте полный образ автозапуска uVS[/url].

Cделано, но файл слишком велик для вложений, видимо, в этом проблема.

На rghost.ru его и ссылку в тему.

[url]http://rghost.ru/49572157[/url] - сделано.

[url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS:[/url][code];uVS v3.81.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

delref HTTP://SEARCHFUNMOODS.COM/?F=2&A=IRON2&IR=IRON2&CD=2XZUYETN2Y1L1QZUYDYETDYE0AYCZYTAZY0DYDZYYBTBZZTDTN0D0TZU0CTAYCTATN1L2XZUTBTFTBTFTCTFYETDYB&CR=1942347976
setdns Подключение по локальной сети\4\{BC87F5F4-0B35-4D8F-8699-F1CDEAE0FED9}\8.8.8.8,8.8.4.4
delref %SystemDrive%\USERS\C3EA~1\APPDATA\ROAMING\FUNMOODS\UPDATE~1\UPDATE~1.EXE
exec C:\Program Files (x86)\Funmoods\1.5.23.22\uninstall.exe
exec MsiExec.exe /quiet /X{26A24AE4-039D-4CA4-87B4-2F83217005FF}
exec MsiExec.exe /quiet /X{1111706F-666A-4037-7777-211328764D10}
exec C:\Program Files (x86)\Ticno\Tabs\Uninstall.exe
exec C:\Program Files (x86)\Ticno\Multibar\uninstall.exe
exec C:\Program Files (x86)\Ticno\Indexator\Uninstall.exe
exec "C:\Program Files (x86)\metaCrawler\1.8.19.0\uninstall.exe"
dnsreset
deltmp
restart[/code]На вопросы об удалении программ рекомендую соглашаться.
Компьютер перезагрузится.

[NOTICE]Данный скрипт удалит все устаревшие версии Java, т. к. в них имеются критические ошибки, позволяющие выполнить вредоносный код в целевой системе. Проще говоря - при заходе на сайт с вредоносным кодом внедрить в систему без ведома пользователя трояна.
Скачайте и установите [URL="http://www.oracle.com/technetwork/java/javase/downloads/1880261"]Java 7 Update 45[/URL]. Уязвимости Java являются частой причиной взлома и заражения системы и поэтому это потенциальная дыра в безопасности.[/NOTICE]

Проверьте проблему.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]9[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]