Периодический запуск браузера с переходом на игровые сайты
Printable View
Периодический запуск браузера с переходом на игровые сайты
Уважаемый(ая) [B]Марина2514[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Здравствуйте!
Закройте все программы, [URL="http://virusinfo.info/showthread.php?t=130828"][B]временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО[/URL].
[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] (Файл - Выполнить скрипт):
[CODE]
begin
ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
TerminateProcessByName('c:\users\Пользователь\appdata\local\schedule\schedule.exe');
QuarantineFile('C:\Program Files\Zaxar\ZaxarLoader.exe','');
QuarantineFile('c:\users\Пользователь\appdata\local\schedule\schedule.exe','');
DeleteFile('C:\Program Files\Zaxar\ZaxarLoader.exe','32');
DeleteFile('C:\Users\Пользователь\AppData\Local\Schedule\Schedule.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','mobilegeni daemon');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarLoader');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Schedule');
DeleteFileMask('C:\Program Files\Zaxar', '*', true, ' ');
DeleteFileMask('c:\users\Пользователь\appdata\local\schedule', '*', true, ' ');
DeleteFileMask('C:\Users\Пользователь\AppData\Roaming\newnext.me', '*', true, ' ');
DeleteDirectory('C:\Users\Пользователь\AppData\Roaming\newnext.me');
DeleteDirectory('C:\Program Files\Zaxar');
DeleteDirectory('c:\users\Пользователь\appdata\local\schedule');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(false);
end.
[/CODE]
[B]Внимание![/B] Будет выполнена перезагрузка компьютера. После перезагрузки компьютера [URL="http://virusinfo.info/showthread.php?t=7239"]выполните скрипт[/URL] в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Пришлите карантин согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы
[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] следующие строчки в HiJackThis если они у вас есть.
[CODE]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.net
O2 - BHO: Wincore Mediabar - {28387537-e3f9-4ed7-860c-11e69af4a8a0} - C:\PROGRA~1\IMESHA~1\MediaBar\Datamngr\ToolBar\wincoreimdtx.dll
O2 - BHO: DataMngr - {BE7A24F5-69CB-4708-B77B-B1EDA6043B95} - C:\PROGRA~1\IMESHA~1\MediaBar\Datamngr\BROWSE~1.DLL
O3 - Toolbar: Wincore Mediabar - {28387537-e3f9-4ed7-860c-11e69af4a8a0} - C:\PROGRA~1\IMESHA~1\MediaBar\Datamngr\ToolBar\wincoreimdtx.dll
O4 - HKCU\..\Run: [NextLive] C:\Windows\system32\rundll32.exe "C:\Users\Пользователь\AppData\Roaming\newnext.me\nengine.dll",EntryPoint -m l
[/CODE]
Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])
Скачайте [url="http://data-cdn.mbamupdates.com/v0/program/data/mbam-setup-1.75.0.1300.exe"]Malwarebytes' Anti-Malware[/url], установите (во время установки откажитесь от использования [B]Пробной версии[/B]), обновите базы, выберите "[b]Perform Full Scan[/b]" ("[B]Полное сканирование[/B]"), нажмите "[b]Scan[/b]" ("[B]Сканирование[/B]"), после сканирования - [b]Ok[/b] - [b]Show Results[/b] ("[B]Показать результаты[/B]") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
[B][COLOR="Red"]Самостоятельно ничего не удаляйте!!![/COLOR][/B]
Если лог не открылся, то найти его можно в следующей папке:
[CODE]%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs[/CODE] Файл требующегося лога имеет имя [U]mbam-log-[data] (time).txt[/U], например: [I]mbam-log-2013-11-09 (07-32-51).txt[/I]
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. [url=http://data.mbamupdates.com/tools/mbam-rules.exe]Загрузить обновление [B]MBAM[/B].[/URL]
Подробнее читайте в [URL="http://virusinfo.info/showthread.php?t=53070"]руководстве[/URL]
Наконец добрались до компьютера... Все логи сделали
В MBAM удалите все [B]кроме[/B]:
[CODE]
Обнаруженные файлы:
C:\Users\Пользователь\Desktop\Материалы к планир\tematicheskie_planyi_po_russkomu_yazyiku.zip (Trojan.FakeMS.ED) -> Действие не было предпринято.
[/CODE]
После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.
Все удалили, просканировали.
Что с проблемой?
Спасибо огромное за помощь!!! Сейчас ничего не беспокоит!
[LIST][*]Загрузите [B]SecurityCheck by glax24[/B] [URL="http://virusinfo.info/soft/tool.php?tool=SecurityCheck"]отсюда[/URL] и сохраните утилиту на [I]Рабочем столе[/I][*]Запустите двойным щелчком мыши (если Вы используете [I]Windows XP[/I]) или из меню по щелчку правой кнопки мыши [I]Запустить от имени администратора[/I] (если Вы используете [I]Windows Vista/7[/I])[*]Если увидите [U]предупреждение от вашего фаервола[/U] относительно программы SecurityCheck, не блокируйте ее работу.[*]Дождитесь окончания сканирования, откроется лог в блокноте с именем [B]SecurityCheck.txt[/B];[*]Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем [I]SecurityCheck[/I], например [I][COLOR="Blue"]C:\SecurityCheck\SecurityCheck.txt[/COLOR][/I][*][/LIST]
Сделали лог SecurityCheck
[B]Обновите и исправьте:[/B]
MBAM деинсталлируйте
Internet Explorer 9.0.8112.16421 [color=red][b]Внимание! [url=http://windows.microsoft.com/ru-ru/internet-explorer/ie-10-worldwide-languages]Скачать обновления[/url][/b][/color]
[color=red][b]Контроль учётных записей пользователя отключен[/b][/color]
[color=blue][b]^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^[/b][/color]
Adobe Flash Player 13 ActiveX v.13.0.0.214 [color=red][b]Внимание! [url=http://download.macromedia.com/get/flashplayer/current/licensing/win/install_flash_player_14_active_x.exe]Скачать обновления[/url][/b][/color]
Adobe Flash Player 13 Plugin v.13.0.0.214 [color=red][b]Внимание! [url=http://download.macromedia.com/get/flashplayer/current/licensing/win/install_flash_player_14_plugin.exe]Скачать обновления[/url][/b][/color]
Adobe Reader X (10.1.10) - Russian v.10.1.10 [color=red][b]Внимание! [url=http://get.adobe.com/reader/]Скачать обновления[/url][/b][/color]
-------------Browser------------------------------
Opera 12.14 v.12.14.1738 [color=red][b]Внимание! [url=http://ftp.opera.com/pub/opera/win/1217/int/Opera_1217_int_Setup.exe]Скачать обновления[/url][/b][/color]
[url=http://virusinfo.info/showthread.php?t=121902]Советы и рекомендации после лечения компьютера[/url]