В настройках IE постоянно появляется прокси 127.0.0.1 с разными портами.
В настройках IE постоянно появляется прокси 127.0.0.1 с разными портами.
Уважаемый(ая) [B]-brad-[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Здравствуйте!
Закройте все программы, [URL="http://virusinfo.info/showthread.php?t=130828"][B]временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО[/URL].
[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] (Файл - Выполнить скрипт):
[CODE]
begin
ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
TerminateProcessByName('c:\users\александр\appdata\local\freewarelogstart\freewarelogstart.exe');
TerminateProcessByName('c:\users\александр\appdata\local\freewarelogstart\directxfoldergnu.exe');
SetServiceStart('FreewareLogStart.exe', 4);
StopService('FreewareLogStart.exe');
QuarantineFile('C:\Users\александр\appdata\roaming\zbrowser\shadow\zbrowser.update\zbrowser.update.process.exe','');
QuarantineFile('C:\Users\александр\smss.exe','');
QuarantineFile('C:\Users\александр\AppData\Local\Yandex\YandexBrowser\Application\browser.url','');
QuarantineFile('C:\Users\александр\AppData\Local\RecycleSoftwareSprite\RecycleSoftwareSprite.exe','');
QuarantineFile('C:\Users\александр\AppData\Local\PirritSuggestor\PirritService.exe','');
QuarantineFile('C:\Users\александр\AppData\Local\DockFrozenRecycle\DockFrozenRecycle.exe','');
QuarantineFile('C:\Users\александр\AppData\Local\de3bb0c91ec200a56c1ffdf8eb10af41\b792368a46e00b1.exe','');
QuarantineFile('C:\Users\александр\AppData\Local\362c94df8a8c6b76e42047bc8868847b\695c0d1f9d366b0.exe','');
QuarantineFile('C:\Users\александр\AppData\Local\49151fbc39db39e23a548736d673324e\3d4fa6dc93a0e0c.exe','');
QuarantineFile('C:\Program Files\Reimage\Reimage Repair\ReiGuard.exe','');
QuarantineFile('c:\users\александр\appdata\local\freewarelogstart\freewarelogstart.exe','');
QuarantineFile('c:\users\александр\appdata\local\freewarelogstart\directxfoldergnu.exe','');
DeleteFile('c:\users\александр\appdata\local\freewarelogstart\directxfoldergnu.exe','32');
DeleteFile('C:\Users\александр\AppData\Local\FreewareLogStart\FreewareLogStart.exe','32');
DeleteFile('C:\Users\александр\AppData\Local\49151fbc39db39e23a548736d673324e\3d4fa6dc93a0e0c.exe','32');
DeleteFile('C:\Users\александр\AppData\Local\362c94df8a8c6b76e42047bc8868847b\695c0d1f9d366b0.exe','32');
DeleteFile('C:\Users\александр\AppData\Local\de3bb0c91ec200a56c1ffdf8eb10af41\b792368a46e00b1.exe','32');
DeleteFile('C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe','32');
DeleteFile('C:\PROGRA~2\SearchProtect\Main\bin\CltMngSvc.exe','32');
DeleteFile('C:\Program Files (x86)\Movies Toolbar\Datamngr\DatamngrCoordinator.exe','32');
DeleteFile('C:\Users\александр\AppData\Local\DockFrozenRecycle\DockFrozenRecycle.exe','32');
DeleteFile('C:\Users\александр\AppData\Local\PirritSuggestor\PirritService.exe','32');
DeleteFile('C:\Users\александр\AppData\Local\RecycleSoftwareSprite\RecycleSoftwareSprite.exe','32');
DeleteFile('C:\Program Files (x86)\Mobogenie\DaemonProcess.exe','32');
DeleteFile('C:\Program Files (x86)\Movies Toolbar\Datamngr\apcrtldr.dll','32');
DeleteFile('C:\Program Files (x86)\Movies Toolbar\Datamngr\x64\apcrtldr.dll','32');
DeleteFile('C:\Users\александр\AppData\Local\Yandex\YandexBrowser\Application\browser.url','32');
DeleteFile('C:\Users\александр\smss.exe','32');
DeleteFile('C:\windows\Tasks\BonanzaDealsLiveUpdateTaskMachineCore.job','64');
DeleteFile('C:\windows\Tasks\BonanzaDealsLiveUpdateTaskMachineUA.job','64');
DeleteFile('C:\windows\Tasks\Digital Sites.job','64');
DeleteFile('C:\windows\Tasks\DigitalSite.job','64');
DeleteFile('C:\windows\Tasks\SpeedUpMyPC.job','64');
DeleteFile('C:\windows\Tasks\spmonitor.job','64');
DeleteFile('C:\windows\system32\Tasks\Advanced System Protector_startup','64');
DeleteFile('C:\windows\system32\Tasks\BonanzaDealsLiveUpdateTaskMachineCore','64');
DeleteFile('C:\windows\system32\Tasks\BonanzaDealsLiveUpdateTaskMachineUA','64');
DeleteFile('C:\windows\system32\Tasks\BonanzaDealsUpdate','64');
DeleteFile('C:\windows\system32\Tasks\DealPly','64');
DeleteFile('C:\windows\system32\Tasks\DealPlyUpdate','64');
DeleteFile('C:\windows\system32\Tasks\Digital Sites','64');
DeleteFile('C:\windows\system32\Tasks\DigitalSite','64');
DeleteFile('C:\windows\system32\Tasks\DSite','64');
DeleteFile('C:\windows\system32\Tasks\SpeedUpMyPC','64');
DeleteFile('C:\windows\system32\Tasks\spmonitor','64');
DeleteFile('C:\Users\александр\appdata\roaming\zbrowser\shadow\zbrowser.update\zbrowser.update.process.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Advanced System Protector_startup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','mobilegeni daemon');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','x64');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','x86');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','iLivid');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','smss');
DeleteService('RecycleSoftwareSprite.exe');
DeleteService('PirritDesktop');
DeleteService('DockFrozenRecycle.exe');
DeleteService('DatamngrCoordinator2');
DeleteService('CltMngSvc');
DeleteService('bonanzadealslivem');
DeleteService('bonanzadealslive');
DeleteService('b792368a46e00b1.exe');
DeleteService('695c0d1f9d366b0.exe');
DeleteService('3d4fa6dc93a0e0c.exe');
DeleteService('FreewareLogStart.exe');
DeleteFileMask('c:\users\александр\appdata\local\freewarelogstart', '*', true, ' ');
DeleteFileMask('C:\Users\александр\appdata\roaming\zbrowser', '*', true, ' ');
DeleteFileMask('C:\Users\александр\AppData\Local\RecycleSoftwareSprite', '*', true, ' ');
DeleteFileMask('C:\Users\александр\AppData\Local\PirritSuggestor', '*', true, ' ');
DeleteFileMask('C:\Users\александр\AppData\Local\DockFrozenRecycle', '*', true, ' ');
DeleteFileMask('C:\Users\александр\AppData\Local\de3bb0c91ec200a56c1ffdf8eb10af41', '*', true, ' ');
DeleteFileMask('C:\Users\александр\AppData\Local\362c94df8a8c6b76e42047bc8868847b', '*', true, ' ');
DeleteFileMask('C:\Users\александр\AppData\Local\49151fbc39db39e23a548736d673324e', '*', true, ' ');
DeleteDirectory('C:\Users\александр\AppData\Local\de3bb0c91ec200a56c1ffdf8eb10af41');
DeleteDirectory('C:\Users\александр\AppData\Local\362c94df8a8c6b76e42047bc8868847b');
DeleteDirectory('C:\Users\александр\AppData\Local\49151fbc39db39e23a548736d673324e');
DeleteDirectory('c:\users\александр\appdata\local\freewarelogstart');
DeleteDirectory('C:\Users\александр\appdata\roaming\zbrowser');
DeleteDirectory('C:\Users\александр\AppData\Local\RecycleSoftwareSprite');
DeleteDirectory('C:\Users\александр\AppData\Local\PirritSuggestor');
DeleteDirectory('C:\Users\александр\AppData\Local\DockFrozenRecycle');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
ExecuteRepair(9);
RebootWindows(false);
end.
[/CODE]
[B]Внимание![/B] Будет выполнена перезагрузка компьютера. После перезагрузки компьютера [URL="http://virusinfo.info/showthread.php?t=7239"]выполните скрипт[/URL] в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Пришлите карантин согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы
[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] следующие строчки в HiJackThis если они у вас есть.
[CODE]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1402596368&from=wpm0612&uid=HitachiXHTS547550A9E384_J112005MF6YNVAF6YNVAX
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=e575182ca082addff45482330760d6e6&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=e575182ca082addff45482330760d6e6&text={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1402596368&from=wpm0612&uid=HitachiXHTS547550A9E384_J112005MF6YNVAF6YNVAX
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.awesomehp.com/web/?type=ds&ts=1393763585&from=amt&uid=HitachiXHTS547550A9E384_J112005MF6YNVAF6YNVAX&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.awesomehp.com/web/?type=ds&ts=1393763585&from=amt&uid=HitachiXHTS547550A9E384_J112005MF6YNVAF6YNVAX&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?type=hp&ts=1402596368&from=wpm0612&uid=HitachiXHTS547550A9E384_J112005MF6YNVAF6YNVAX
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=e575182ca082addff45482330760d6e6&text=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=e575182ca082addff45482330760d6e6&text=
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:17029
R3 - URLSearchHook: (no name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - (no file)
O2 - BHO: Movies Toolbar (Dist. by Bandoo Media, Inc.) - {3d86a75b-cb6b-4764-885d-ca6336f04ba2} - C:\PROGRA~2\MOVIES~1\Datamngr\SRTOOL~1\IE\searchresultsDx.dll (file missing)
O2 - BHO: Funmoods Helper Object - {75EBB0AA-4214-4CB4-90EC-E3E07ECD04F7} - C:\Program Files (x86)\Funmoods\funmoods\1.5.11.16\bh\funmoods.dll (file missing)
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O2 - BHO: DealPly - {A6174F27-1FFF-E1D6-A93F-BA48AD5DD448} - C:\Program Files (x86)\DealPly\DealPlyIE.dll (file missing)
O2 - BHO: metacrawler Helper Object - {D4EF7D75-52C9-4BCE-B6DC-0976EFAB4B0B} - C:\Program Files (x86)\metaCrawler\1.8.19.0\bh\metacrawler.dll (file missing)
O2 - BHO: kikin Plugin - {E601996F-E400-41CA-804B-CD6373A7EEE2} - C:\Program Files (x86)\kikin\ie_kikin.dll (file missing)
O2 - BHO: InjectScript - {F6C07882-D703-4DD5-905A-2C4E815A5066} - C:\Users\александр\AppData\Roaming\D394D188-BAC7-4e03-8FAF-389A4D7EC6F4\Shopping Suggestion.dll
O2 - BHO: BonanzaDeals - {fe063412-bea4-4d76-8ed3-183be6220d17} - C:\Program Files (x86)\BonanzaDeals\BonanzaDealsIE.dll (file missing)
O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)
O3 - Toolbar: metacrawler Toolbar - {7EACAC38-B7F6-4514-9DC1-3428A7964ABD} - C:\Program Files (x86)\metaCrawler\1.8.19.0\metacrawlerTlbr.dll (file missing)
O3 - Toolbar: Movies Toolbar (Dist. by Bandoo Media, Inc.) - {3d86a75b-cb6b-4764-885d-ca6336f04ba2} - C:\PROGRA~2\MOVIES~1\Datamngr\SRTOOL~1\IE\searchresultsDx.dll (file missing)
O3 - Toolbar: Funmoods Toolbar - {A4C272EC-ED9E-4ACE-A6F2-9558C7F29EF3} - C:\Program Files (x86)\Funmoods\funmoods\1.5.11.16\funmoodsTlbr.dll (file missing)
O4 - HKLM\..\Run: [Adobe Flash Player SU] C:\Windows\System32\cmd.exe /k start http://3zz.info/ && exit
O4 - HKLM\..\Run: [mobilegeni daemon] C:\Program Files (x86)\Mobogenie\DaemonProcess.exe
O4 - HKLM\..\Run: [smss] C:\Users\александр\smss.exe
O4 - HKCU\..\Run: [NextLive] C:\windows\SysWOW64\rundll32.exe "C:\Users\александр\AppData\Roaming\newnext.me\nengine.dll",EntryPoint -m l
O13 - DefaultPrefix: http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=e575182ca082addff45482330760d6e6&text=
[/CODE]
[LIST][*]Скачайте [B][URL="http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner"]AdwCleaner (by Xplode)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[R0].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению.[/LIST]
Подробнее читайте в [URL="http://virusinfo.info/showthread.php?t=146192"]этом руководстве[/URL].
[LIST=1][*]Скачайте [url=http://virusinfo.info/soft/tool.php?tool=checkbrowserlnk]CheckBrowserLnk[/url] и сохраните архив с утилитой на [b]Рабочем столе[/b][*]Распакуйте архив с утилитой в отдельную папку[*]Запустите [b]checkbrowserlnk.exe[/b][INDENT][SIZE="1"][B]Обратите внимание[/B], что утилиты необходимо запускать от имени Администратора. По умолчанию в [b]Windows XP[/b] так и есть. В [b]Windows Vista[/b] и [b]Windows 7[/b] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [b]Запуск от имени Администратора[/b], при необходимости укажите пароль администратора и нажмите [b]Да[/b][/SIZE][/INDENT][*]После окончания работы программы на рабочем столе будет сохранен отчет [b]CheckBrowserLnk.log[/b][*]Прикрепите этот отчет в вашей теме.[/LIST]
Скрипт выполнил, карантин отправил. Пофиксил строки и сделал новые логи. Пока всё хорошо, прокси отключил и он не включается больше.
[LIST][*]Запустите повторно [COLOR="Blue"][B]AdwCleaner (by Xplode)[/B][/COLOR] (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B].[*]По окончанию сканирования снимите галочки со следующих строк:
[CODE]
Папка Найдено : C:\Program Files (x86)\Mail.Ru
Папка Найдено : C:\Users\александр\AppData\Local\Mail.Ru
Папка Найдено : C:\Users\александр\AppData\LocalLow\Mail.Ru
Папка Найдено : C:\Users\александр\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mail.Ru
[/CODE][*] Нажмите кнопку [B]"Clean"[/B] и дождитесь окончания удаления.[*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[S0].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению[/LIST]
[B]Внимание: [COLOR="Red"]Для успешного удаления нужна [U]перезагрузка компьютера[/U]!!![/COLOR][/B].
Подробнее читайте в [URL="http://virusinfo.info/showthread.php?t=146192"]этом руководстве[/URL].
[url=http://virusinfo.info/showthread.php?t=161289]Исправьте[/url] ярлыки:
[QUOTE]
C:\Users\Public\Desktop\Google Chrome.lnk
C:\Users\александр\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk
C:\Users\александр\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk
[/QUOTE]
Всё сделал, всё нормально. Спасибо.
Отчет AdwCleaner после удаления где?
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\users\александр\appdata\roaming\zbrowser\shadow\zbrowser.update\zbrowser.update.process.exe - [B]not-a-virus:HEUR:Downloader.Win32.LMN.gen[/B][/LIST][/LIST]