Добрый день.
при запуске браузеров Chrome или Explorer открываются сайты tutraflab.ru, потом стал открываться megogo, потом goinf.ru
также при открытии различных сайтов всплывает белый квадрат в нижнем правом углу (как реклама, только пустой)
Printable View
Добрый день.
при запуске браузеров Chrome или Explorer открываются сайты tutraflab.ru, потом стал открываться megogo, потом goinf.ru
также при открытии различных сайтов всплывает белый квадрат в нижнем правом углу (как реклама, только пустой)
Уважаемый(ая) [B]Danil Govorushenko[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
DelBHO('{1D355335-BE86-4418-AC98-2436CC3D6D74}');
QuarantineFile('C:\Program Files (x86)\Media Saver\Toolbar32.dll','');
QuarantineFile('C:\iexplore.bat','');
QuarantineFile('C:\Users\Danil\AppData\Local\Google\chrome.bat','');
SetServiceStart('wStLib64', 4);
DeleteService('wStLib64');
SetServiceStart('Update Service for Media Saver', 4);
DeleteService('Update Service for Media Saver');
SetServiceStart('MSLSService', 4);
DeleteService('MSLSService');
QuarantineFile('C:\Windows\system32\drivers\wStLib64.sys','');
TerminateProcessByName('c:\program files (x86)\media saver\basement\mslsservice.exe');
QuarantineFile('c:\program files (x86)\media saver\basement\mslsservice.exe','');
TerminateProcessByName('c:\program files (x86)\media saver\basement\mslserver.exe');
QuarantineFile('c:\program files (x86)\media saver\basement\mslserver.exe','');
TerminateProcessByName('c:\program files (x86)\media saver\basement\extensionupdaterservice.exe');
QuarantineFile('c:\program files (x86)\media saver\basement\extensionupdaterservice.exe','');
DeleteFile('c:\program files (x86)\media saver\basement\extensionupdaterservice.exe','32');
DeleteFile('c:\program files (x86)\media saver\basement\mslserver.exe','32');
DeleteFile('c:\program files (x86)\media saver\basement\mslsservice.exe','32');
DeleteFile('C:\Windows\system32\drivers\wStLib64.sys','32');
DeleteFile('C:\Users\Danil\AppData\Local\Google\chrome.bat','32');
DeleteFile('C:\iexplore.bat','32');
DeleteFile('C:\Program Files (x86)\Media Saver\Toolbar32.dll','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Пофиксите в HiJack
[CODE]R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=f263300f8ee4efcfe3d11314ccbad1af&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=f263300f8ee4efcfe3d11314ccbad1af&text={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=f263300f8ee4efcfe3d11314ccbad1af&text=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=f263300f8ee4efcfe3d11314ccbad1af&text=
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O13 - DefaultPrefix: http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=f263300f8ee4efcfe3d11314ccbad1af&text=[/CODE]
Сделайте новые логи
Сделайте [url="http://virusinfo.info/soft/tool.php?tool=checkbrowserlnk"]такой лог[/url]
Сделайте логи [url="http://virusinfo.info/showthread.php?t=115256"]RSIT[/url]
все указанные действия выполнил
[quote="Danil Govorushenko;1206698"]все указанные действия выполнил[/quote]Нет, не все. Я просил сделать и новые логи по правилам
[list][*]Скачайте [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]ClearLNK[/url] и сохраните архив с утилитой на рабочем столе.[*]Распакуйте архив с утилитой в отдельную папку.[*]Перенесите [B]Check_Browsers_LNK.log[/B] на ClearLNK как показано на рисунке
[img]http://dragokas.com/tools/move.gif[/img]
[*]Отчет о работе [b]ClearLNK-<Дата>.log[/b] будет сохранен в папке [b]LOG[/b].[*]Прикрепите этот отчет к своему следующему сообщению.[/list]
[QUOTE]C:\Users\Danil\AppData\Roaming\Media Saver
C:\iехplоrе.bаt.exe
C:\Program Files (x86)\Media Saver[/QUOTE]удалите вручную
удалил всё кроме C:\iехplоrе.bаt.exe
этот файл не нашёл
[quote="Danil Govorushenko;1206721"]этот файл не нашёл[/quote]Он скрытый
Что с проблемой?
сайты о которых я писал уже не открываются, но белый квадрат всё еще выскакивает.
[list][*]Скачайте [url="http://virusinfo.info/soft/tool.php?tool=SITLog"]SITLog[/url] и сохраните архив с утилитой на [b]Рабочем столе[/b][*]Распакуйте архив с утилитой в отдельную папку[*]Запустите [b]sitlog.exe[/b][indent][size=1][b]Обратите внимание[/b], что утилиты необходимо запускать от имени Администратора. По умолчанию в [b]Windows XP[/b] так и есть. В [b]Windows Vista[/b] и [b]Windows 7[/b] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [b]Запуск от имени Администратора[/b], при необходимости укажите пароль администратора и нажмите [b]Да[/b][/size][/indent][*]В главном окне программы выберите проверку за последние три месяца и нажмите [b]"Старт"[/b][*]По окончанию работы программы в папке [b]LOG[/b] должны появиться два отчета [b]SITLog.txt[/b] и [b]SITLog_Info.txt[/b][*]Прикрепите эти отчеты в вашей теме.[/list]
готово
C:\Users\Danil\AppData\Roaming\Media Saver по-прежнему в логах. Как же Вы ее удаляли-то ))
Расширение Без имени удалите
в прошлый раз удалил содержимое папки. теперь удалил и саму папку C:\Users\Danil\AppData\Roaming\Media Saver
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
не знаю как удалить расширение Без имени
Удалите C:\Users\Danil\AppData\Local\Google\Chrome\User Data\Default\Extensions\dldcbakcjliccckkmfjcblhciilpdcil
Расширение Last updated at $time$ on $date$ тоже под снос. Его адрес C:\Users\Danil\AppData\Local\Google\Chrome\User Data\Default\Extensions\ocifcklkibdehekfnmflempfgjhbedch
удалил.
проблема решена спасибо Вам большое.
последний вопрос. можно ли ставить расширение "AdBlock"?
потому что с появлением данной проблемы AdBlock не работал
Без понятия. Одно могу сказать, что и AdBlock - не панацея
Спасибо ещё раз.
С наступающим!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]