Ребят, привет. Помогите, пожалуйста, вирусы победить. Dr.Web Curit определяет его как trojan bplug 123. После удаления файлы опять обнаруживаются. Еще постоянно вылазят рекламные окна в браузере. Файлы проверки прилагаю к сообщению. Спасибо.
Printable View
Ребят, привет. Помогите, пожалуйста, вирусы победить. Dr.Web Curit определяет его как trojan bplug 123. После удаления файлы опять обнаруживаются. Еще постоянно вылазят рекламные окна в браузере. Файлы проверки прилагаю к сообщению. Спасибо.
Уважаемый(ая) [B]all4you[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
[LIST][*]Скачайте [B][URL="http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner"]AdwCleaner (by Xplode)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] ([B]"Сканировать"[/B]) и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[R0].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению.[/LIST]
Готово.
1) - Проведите [url=http://virusinfo.info/content.php?r=290-virus-detector][b]эту[/b][/url] процедуру. Полученную ссылку после загрузки карантина [b]virusinfo_auto_имя_вашего_ПК.zip[/b] через [url=http://virusinfo.info/virusdetector/uploadform.php][b]данную форму[/b][/url] напишите в своём в сообщении здесь.
2) - [url=http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864]Удалите в AdwCleaner[/url] всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите.
3) Сделайте свежий лог virusinfo_syscheck.zip
Все сделал. Единственное там во время проверки avz ругался на тимвивер и эмиадмин, так это я под ними сижу удаленно. И во время чистки AdwCleaner программа завершает свою работу когда доходит до раздела браузеры...
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
Все сделал. Единственное там во время проверки avz ругался на тимвивер и эмиадмин, так это я под ними сижу удаленно. И во время чистки AdwCleaner программа завершает свою работу когда доходит до раздела браузеры...
[quote="regist;1146099"]1) - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.[/quote]
где ?
+ сделайте свежий лог AdwCleaner.
Лог AVZ сейчас посмотрю.
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=130828]- Антивирус и Файрвол[/url]
[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -
[code]
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
QuarantineFile('C:\Users\admin\AppData\Roaming\Identities\Boogoh.exe','');
QuarantineFileF('C:\Users\admin\AppData\Roaming\Identities\','*.exe, *.dll', false,'',0 ,0);
QuarantineFile('C:\Users\admin\AppData\Local\Temp\Adobe\Reader_sl.exe','');
DeleteFile('C:\Users\admin\AppData\Local\Temp\Adobe\Reader_sl.exe','32');
DeleteFile('C:\Users\admin\AppData\Roaming\Identities\Boogoh.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Adobe System Incorporated');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
[/code]
[color=#FF0000]После выполнения скрипта компьютер перезагрузится.[/color]
Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.
[LIST=1][*]Скачайте [B][URL="https://yadi.sk/d/6A65LkI1WEuqC"]Universal Virus Sniffer[/URL][/B] (uVS)[*]Извлеките uVS из [I]архива[/I] или из [I]zip-папки[/I]. [*]Закройте все программы, [B]временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО.[*]Откройте папку с распакованной утилитой [B]uVS[/B] и запустите файл [B]start.exe[/B]. В открывшимся окне выберите пункт "[B]Запустить под текущим пользователем[/B]".[*]Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
[CODE];uVS v3.82 script [http://dsrt.dyndns.org]
adddir %SystemDrive%\USERS\admin\APPDATA\ROAMING
crimg
[/CODE][*]В [B]uVS[/B] выберите пункт меню "[B]Скрипт[/B]" => "[B]Выполнить скрипт находящийся в буфере обмена...[/B]"[*]Нажмите на кнопку "[B]Выполнить[/B]" и дождитесь окончания работы программы.[*]После этого в папке с программой будет создан образ автозапуска название, которого имеет формат [B]"имя_компьютера_дата_сканирования"[/B]. Прикрепите этот образ к следующему сообщению[*][INDENT][SIZE="1"][B]!!! Обратите внимание[/B], что утилиты необходимо запускать от имени Администратора. По умолчанию в [B]Windows XP[/B] так и есть. В [B]Windows Vista[/B] и [B]Windows 7[/B] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [B]Запуск от имени Администратора[/B], при необходимости укажите пароль администратора и нажмите [B]"Да"[/B].[/SIZE][/INDENT][/LIST]
quarantine.zip не получилось загрузить по ссылке вверху, так что прикладываю к сообщению с другими файлами... Файл еще нужно загружать полученный от VirusDetector?
[quote="all4you;1146138"]Файл еще нужно загружать полученный от VirusDetector[/quote]
да, но его нужно загрузить сюда [url]http://virusinfo.info/virusdetector/uploadform.php[/url]
карантин из вложений уберите. Логи сейчас посмотрю.
[QUOTE=regist;1146140]да, но его нужно загрузить сюда [url]http://virusinfo.info/virusdetector/uploadform.php[/url][/QUOTE]
Загружал именно по этой ссылке, мне еще хеш-сумму по окончании загрузки выдали, вот она: AD18546F42BD3027166290D47B86CF0E
Сейчас еще раз загружу, может из-за интернет соединения медленного не получилось что-то...
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
Вот что выдал по окончании загрузки:
Файл успешно загружен
MD5 карантина: AD18546F42BD3027166290D47B86CF0E
Размер файла: 14869931
В ходе анализа файла установлено, что он уже загружался ранее.
Ссылка на результаты анализа:Результаты анализа карантина
Тема для обсуждения результатов анализа: Результаты анализа карантина
[url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS[/url]
[CODE];uVS v3.83 BETA 13 [http://dsrt.dyndns.org]
;Target OS: NTv6.2
BREG
delref HTTP://GO.MAIL.RU/SEARCH?FR=FFTB&Q=
delref HTTP://WWW.SWEET-PAGE.COM/?TYPE=HP&TS=1406411565&FROM=COR&UID=ST1000LM024XHN-M101MBB_S32XJ9AF204465
delref %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\MAIL.RU\AGENT\MRA\DLL\MRAINPLACEVIEWER.DLL
delref %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\MAIL.RU\AGENT\MRA\DLL\MRAMENU.DLL
delref %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\MAIL.RU\AGENT\MRA\DLL\MRATAG.DLL
restart[/CODE]
сделайте свежий лог AdwCleaner
[quote="all4you;1146142"]Загружал именно по этой ссылке, мне еще хеш-сумму по окончании загрузки выдали, вот она:[/quote]вот ваш отчёт [url]http://virusinfo.info/virusdetector/report.php?md5=AD18546F42BD3027166290D47B86CF0E[/url]
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
+ отпишитесь, что с проблемой?
Скрипт выполнил, файл загрузил.
В адресной строке Хрома наберите
[CODE]chrome://settings/[/CODE]В разделе Поиск нажмите Управление поисковыми системами.
Появится список. При наведении мышкой на нужную строку справа появится крестик, нажав на который, эта строка (и поисковая система) удалится из настроек.
Удалите оттуда sweet-page и сделайте свежий лог AdwCleaner
+
[quote="regist;1146147"] отпишитесь, что с проблемой?[/quote]
Не совсем понял в какой программе заходить в раздел поиска, но вроде как в гуглхром окно приветствия стало нормальным. Лог прилагаю...
[quote="all4you;1146160"]Не совсем понял в какой программе заходить в раздел поиска,[/quote]
поправил предыдущее сообщение и судя по последнему логу уже чисто.
Проблема решена?
-----------------
Выполните скрипт в AVZ при наличии доступа в интернет:
[CODE]var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.[/CODE]
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.
Спасибо за помощь. Все сделал.