Браузерный вирус "lightcoffee.ru"

Добрый день.

Подцепил гадость: при запуске браузера перенаправляет по рекламным сайтам, начиная с lightcoffee.ru.

Спасибо

Уважаемый(ая) [B]Паша Григоришин[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Здравствуйте !!!

[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в HijackThis:[/URL]
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe[/CODE]
Выполните скрипт в AVZ:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\ Windows\System32\winvhi32.dll','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
DeleteFile('C:\WINDOWS\system32\ntos.exe','32');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки выполните скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Загрузите quarantine.zip из папки AVZ по красной ссылке [B]вверху[/B] темы [COLOR="Red"]Прислать запрошенный карантин[/COLOR]

В настройках прокси сервера, сервер proxy:3128, сами прописывали ? [CODE]R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy:3128[/CODE]

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )

Пока без изменений.
Карантин прислал.
Про прокси не отвечу, комп в рабочей сети - возможно сисадминские дела, я просто юзер.

[LIST][*]Скачайте [B][URL="http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner"]AdwCleaner (by Xplode)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[R0].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению.[/LIST]

По поводу прокси, придется узнавать у админов, ее легитимность удаленно по логам мы определить не можем.

А также придется обновлять ОС, несмотря на прекращенную поддержку ХР, то что у Вас в данный момент не установлены, обновления SP3 и последующие, делает систему уязвимой.

- Установите (предварительно выгрузив антивирусное ПО) [URL="http://www.microsoft.com/downloads/ru-ru/details.aspx?familyid=5b33b5a8-5e76-401f-be08-1e1555d4f3d4"]Service Pack 3[/URL] [B]Может потребоватся активация[/B]
- Установите [URL="http://windows.microsoft.com/ru-RU/internet-explorer/downloads/ie-8"]Internet Explorer 8[/URL] (даже если Вы его не используете)
- Установите [URL="http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ru"]последние обновления для Windows[/URL]

Прокси нет, нужно убрать.
Пока пишу,идет обновление виндоус.
Лог прикрепляю.

По ярлыку браузера, которым его запускаете, правой кнопкой мыши - Свойства - закладка Ярлык - поле Объект.
Там проверьте, чтобы кроме пути к исполняемому файлу браузера в кавычках не было ничего лишнего.
Если есть, отредактируйте и нажмите ОК.
Повторите это со всеми вашими браузерами, во всех местах, где есть их ярлыки (рабочий стол, панель быстрого запуска и т.п.)

[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в HijackThis:[/URL]
[CODE]R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy:3128[/CODE]

[LIST][*]Запустите повторно [COLOR="Blue"][B]AdwCleaner (by Xplode)[/B][/COLOR] (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B],
а по окончанию сканирования
[B]Снимите галочки со следующих строк Value Found :
HKCU\Software\Microsoft\Windows\CurrentVersion\Run [MailRuUpdater][/B]
и нажмите кнопку [B]"Clean"[/B] и дождитесь окончания удаления.[*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[S0].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению[/LIST]
[B]Внимание: [COLOR="Red"]Для успешного удаления нужна [U]перезагрузка компьютера[/U]!!![/COLOR][/B].

Ярлыки выглядят следующим образом: "C:\Program Files\Google\Chrome\Application\chrome.exe" "http://lightcoffee.ru"

При попытке удалить лишнее выдает ошибку "Отказано в доступе".
В HijackThis пофиксил. В AdwCleaner тоже.
Лог прикрепляю.

[quote="Паша Григоришин;1111806"]При попытке удалить лишнее выдает ошибку "Отказано в доступе".[/quote]
Учетная запись под которой работаете, обладает правами администратора ? Просто удалить неправильные ярлыки и создать новые на их местах, попробуйте так.

Новые ярлыки решили проблему.
Как думаете, причину устранили?

Думаю, да, устранили.

[URL="http://virusinfo.info/showthread.php?t=121902"][B]Советы и рекомендации после лечения компьютера[/B][/URL]

Спасибо за помощь!

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]