Потом тут же идет перенаправление на другие сайты, которые тут же блокируются.
А на других нужных вкладках много рекламы поверх страницы, которые расширение Adguard не может уже блокировать.
Потом тут же идет перенаправление на другие сайты, которые тут же блокируются.
А на других нужных вкладках много рекламы поверх страницы, которые расширение Adguard не может уже блокировать.
Уважаемый(ая) [B]Татьяна Кудрявцева[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
[B][COLOR="#FF0000"]Внимание![/COLOR][/B] Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе [url=http://virusinfo.info/forumdisplay.php?f=46]Лечение компьютерных вирусов[/url] и выполните [url=http://virusinfo.info/content.php?r=136-pravila]Правила оформления запроса о помощи[/url].
Здравствуйте!
Закройте все программы, [URL="http://virusinfo.info/showthread.php?t=130828"][B]временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО[/URL].
[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] (Файл - Выполнить скрипт):
[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
SetServiceStart('{a3f28269-ad17-41a8-b032-3e0313ef8979}Gw', 4);
StopService('{a3f28269-ad17-41a8-b032-3e0313ef8979}Gw');
QuarantineFile('C:\Program Files\suptab\search~2.dll','');
QuarantineFile('C:\Program Files\suptab\search~1.dll','');
QuarantineFile('C:\Users\user\AppData\Roaming\Browsers\exe.erolpxei.bat','');
QuarantineFile('C:\Users\user\AppData\Roaming\Browsers\exe.emorhc.bat','');
QuarantineFile('C:\PROGRA~1\SupTab\SEARCH~1.DLL','');
QuarantineFile('C:\Users\user\Desktop\UdpProxy.exe','');
QuarantineFile('C:\Windows\system32\drivers\{a3f28269-ad17-41a8-b032-3e0313ef8979}w.sys','');
QuarantineFile('C:\Windows\system32\drivers\{a3f28269-ad17-41a8-b032-3e0313ef8979}Gw.sys','');
DeleteFile('C:\PROGRA~1\SupTab\SEARCH~1.DLL','32');
DeleteFile('C:\Users\user\AppData\Roaming\Browsers\exe.emorhc.bat','32');
DeleteFile('C:\Users\user\AppData\Roaming\Browsers\exe.erolpxei.bat','32');
DeleteFile('C:\Windows\Tasks\UpdaterEX.job','32');
DeleteFile('C:\Windows\system32\Tasks\UpdaterEX','32');
DeleteFile('C:\Windows\system32\Drivers\{A3F28269-AD17-41A8-B032-3E0313EF8979}gw.sys','32');
DeleteFile('C:\Windows\system32\Drivers\{A3F28269-AD17-41A8-B032-3E0313EF8979}w.sys','32');
DeleteFile('C:\Program Files\suptab\search~1.dll','32');
DeleteFile('C:\Program Files\suptab\search~2.dll','32');
DeleteService('{a3f28269-ad17-41a8-b032-3e0313ef8979}Gw');
DeleteFileMask('C:\Users\user\AppData\Roaming\Browsers', '*', true, ' ');
DeleteDirectory('C:\Users\user\AppData\Roaming\Browsers');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
[/CODE]
[B]Внимание![/B] Будет выполнена перезагрузка компьютера. После перезагрузки компьютера [URL="http://virusinfo.info/showthread.php?t=7239"]выполните скрипт[/URL] в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Пришлите карантин согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы
[URL="http://virusinfo.info/showthread.php?t=165835"]Пофиксите[/URL] следующие строчки в HiJackThis (некоторые строки могут отсутствовать).
[CODE]
O2 - BHO: (no name) - {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} - (no file)
[/CODE]
Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])
[LIST=1][*]Скачайте [url=http://virusinfo.info/soft/tool.php?tool=checkbrowserlnk]CheckBrowserLnk[/url] и сохраните архив с утилитой на [b]Рабочем столе[/b][*]Распакуйте архив с утилитой в отдельную папку[*]Запустите [b]checkbrowserlnk.exe[/b][INDENT][SIZE="1"][B]Обратите внимание[/B], что утилиты необходимо запускать от имени Администратора. По умолчанию в [b]Windows XP[/b] так и есть. В [b]Windows Vista[/b] и [b]Windows 7[/b] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [b]Запуск от имени Администратора[/b], при необходимости укажите пароль администратора и нажмите [b]Да[/b][/SIZE][/INDENT][*]После окончания работы программы на рабочем столе будет сохранен отчет [b]CheckBrowserLnk.log[/b][*]Прикрепите этот отчет в вашей теме.[/LIST]
Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]https://www.dropbox.com/s/fv5udu0pse3a82g/FRST_canned.png?dl=1[/img] и сохраните на Рабочем столе.
[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что под окном [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].[*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
[img]https://www.dropbox.com/s/bw0sjh213n7646i/FRST.png?dl=1[/img]
Ой, как много всего :) Сейчас постараюсь все сделать.
Файл Addition.txt не создался.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
После всех этих манипуляций, вроде новая вкладка не открывается, но на сайте vk.com все-равно много рекламы, которую Adguard не блокирует, хотя пишет, что заблокировал несколько штук. На других сайтах вроде все нормально стало.
[list][*]Скачайте [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]ClearLNK[/url] и сохраните архив с утилитой на рабочем столе.[*]Распакуйте архив с утилитой в отдельную папку.[*]Перенесите [B]Check_Browsers_LNK.log[/B] на ClearLNK как показано на рисунке
[img]http://dragokas.com/tools/move.gif[/img]
[*]Отчет о работе [b]ClearLNK-<Дата>.log[/b] будет сохранен в папке [b]LOG[/b].[*]Прикрепите этот отчет к своему следующему сообщению.[/list]
Этот Addition.txt лог тоже нужен.
[QUOTE=mike 1;1210405]Этот Addition.txt лог тоже нужен.[/QUOTE]
а как его сделать, если он не сделался?
Еще раз инструкцию по сбору логов Farbar Recovery Scan Tool прочитайте в 3 сообщении.
[QUOTE=mike 1;1210506]Еще раз инструкцию по сбору логов Farbar Recovery Scan Tool прочитайте в 3 сообщении.[/QUOTE]
все-равно не создается. Вот такая ошибка только выскакивает.
Утилиту от имени Администратора запускаете? Антивирус отключали на момент сбора логов?
Да. И отключала антивирус, и от имени администратора запускала. И даже интернет отключала, все-равно выскакивает эта ошибка.
Попробуйте браузеры закрыть перед сбором логов.
Не получилось. И перезагрузилась, и все лишнее отключила вообще. И все-равно эта же ошибка выскакивает.
Перекачайте пожалуйста утилиту Farbar Recovery Scan Tool. Если возникнет снова ошибка, то сделайте пожалуйста новый скриншот с ошибкой.
Не получилось все-равно. (((
Прикрепите пожалуйста лог FRST.txt который у вас получился. Спасибо
Вот.
[LIST][*]Подготовьте лог [B]OTL by OldTimer[/B], как описано на [URL="http://www.cyberforum.ru/viruses-faq/thread230018.html"]этой странице[/URL].[*]Прикрепите полученные логи [B]OTL.txt[/B] и [B]Extra.txt[/B] к своему следующему сообщению.[/LIST]
Вот.
[LIST][*]Запустите повторно [URL="http://oldtimer.geekstogo.com/OTL.exe"]OTL by OldTimer[/URL] или [URL="http://oldtimer.geekstogo.com/OTL.com"]OTL.com[/URL] или [URL="http://oldtimer.geekstogo.com/OTL.scr"]OTL.scr[/URL].
[SIZE="1"]Обратите внимание, что утилиты необходимо запускать от имени [B]Администратора[/B]. По умолчанию в [B]Windows XP[/B] так и есть. В [B]Windows Vista[/B] и [B]Windows 7[/B] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [B]Запуск от имени Администратора[/B], при необходимости укажите пароль администратора и нажмите "[B]Да[/B]".[/SIZE]
[*]В окно [B]Custom Scans/Fixes[/B] скопируйте следующую информацию:
[CODE]:processes
:OTL
DRV - ({a3f28269-ad17-41a8-b032-3e0313ef8979}w) -- system32\drivers\{a3f28269-ad17-41a8-b032-3e0313ef8979}w.sys File not found
IE - HKLM\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = http://search.delta-homes.com/web/?type=ds&ts=1419844208&from=wpm12262&uid=ST9160821AS_5MABZK7Q&q={searchTerms}
IE - HKU\S-1-5-21-1878415870-2146197925-1182045151-1000\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = http://search.delta-homes.com/web/?type=ds&ts=1419844208&from=wpm12262&uid=ST9160821AS_5MABZK7Q&q={searchTerms}
FF - prefs.js..browser.startup.homepage: "http://1knl.org/?src=hp3&subid1=jan"
O2 - BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - No CLSID value found.
O4 - HKLM..\Run: [] File not found
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
[2015.01.09 23:13:46 | 000,000,000 | ---D | C] -- C:\Users\user\AppData\Roaming\SPI
[2014.12.29 12:10:00 | 000,000,000 | ---D | C] -- C:\ProgramData\WindowsMangerProtect
[2014.12.15 22:26:02 | 000,000,000 | -HSD | C] -- C:\Users\user\AppData\Local\EmieBrowserModeList
[2015.01.09 23:14:43 | 000,004,064 | ---- | C] () -- C:\Windows\System32\mintcastnetworks.ini
[2015.01.09 23:14:43 | 000,002,104 | ---- | C] () -- C:\Windows\System32\mintcastnetworksOff.ini
[2014.06.12 09:25:13 | 000,000,450 | RHS- | C] () -- C:\Users\user\ntuser.pol
[2014.06.12 13:10:14 | 000,000,000 | ---D | M] -- C:\Users\user\AppData\Roaming\SupTab
[2014.06.12 13:09:52 | 000,000,000 | ---D | M] -- C:\Users\user\AppData\Roaming\UpdaterEX
:Services
:Files
ipconfig /flushdns /c
:Reg
:Commands
[EMPTYTEMP]
[purity]
[Reboot][/CODE][*]Проверьте, что весь текст скрипта был скопирован / вставлен [U]верно[/U] и нажмите кнопку "[B]Run Fix[/B]"[*][B][I]Компьютер перезагрузится.[/I][/B][*]После перезагрузки откройте папку [b]"C:\_OTL\MovedFiles"[/b], найдите последний .log файл (лог в формате [b]mmddyyyy_hhmmss.log[/b]), откройте и прикрепите его в следующее сообщение.[/LIST]
Что-то я уже утомилась с этим вирусом (((
Хром удалила, переустановила, и он работает нормально. Оперу пока не удаляю, боюсь потерять все закладки, настройки и расширения (((
Вот очередной вам файлик.