Тормозит комп, домашняя странца браузера всегда разаная [not-a-virus:AdWare.Win32.Tirrip.s ]

Printable View

22.03.2015, 20:13
zazazu

Тормозит комп, домашняя странца браузера всегда разаная [not-a-virus:AdWare.Win32.Tirrip.s ]

2 файла в avz нет, только карантин
22.03.2015, 20:14
Info_bot

Уважаемый(ая) [B]zazazu[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
22.03.2015, 20:57
mrak74

Здравствуйте !!!

Пофиксите в HijackThis:
[CODE]R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&text={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=fe4ea4dc47214fabbbaf47ad467a5bac&text=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=fe4ea4dc47214fabbbaf47ad467a5bac&text=
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:37026
O2 - BHO: Визуальные закладки - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O3 - Toolbar: (no name) - {10921475-03CE-4E04-90CE-E2E7EF20C814} - (no file)[/CODE]
Выполните скрипт в AVZ:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\programdata\timetasks\timetasks.exe');
QuarantineFile('C:\Program Files\GoforFiles Updater\GFFUpdater.exe ','');
QuarantineFile('c:\program files\browser tab search by ask\safetynut\x64\safetycrt.dll','');
QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\Beeline Network Manager\updater\chp.exe','');
QuarantineFile('C:\ProgramData\TimeTasks\TimeTasksSetup.exe','');
QuarantineFile('C:\Program Files\eDealsPop\eDealsPop.exe','');
QuarantineFile('C:\Program Files\Zaxar\ZaxarLoader.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\JREOfficeSoftware\RegFltrX86.sys','');
QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\1481866bf2e7a0643d578582f1d0167c\c7b478b1a1c33c9.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\4c8075c1cb9660e91b30810afe5b81da\68a646fd8f192fc.exe','');
QuarantineFile('c:\programdata\timetasks\timetasks.exe','');
DeleteFile('c:\program files\browser tab search by ask\safetynut\x64\safetycrt.dll');
DeleteFile('c:\programdata\timetasks\timetasks.exe','32');
DeleteFile('C:\Program Files\Zaxar\ZaxarLoader.exe','32');
DeleteFile('C:\Program Files\eDealsPop\eDealsPop.exe','32');
DeleteFile('C:\ProgramData\TimeTasks\TimeTasksSetup.exe','32');
DelBHO('{D5FEC983-01DB-414a-9456-AF95AC9ED7B5}');
DelBHO('{10921475-03CE-4E04-90CE-E2E7EF20C814}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarLoader');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','eDealsPop');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\eDealsPop','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Timestasks');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
DeleteFileMask('C:\Program Files\Zaxar','*',true);
DeleteDirectory('C:\Program Files\Zaxar');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(4);
ExecuteWizard('SCU',2,2,true);
RebootWindows(true);
end.[/CODE]

После перезагрузки выполните скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Загрузите quarantine.zip из папки AVZ по красной ссылке [B]вверху[/B] темы [COLOR="Red"]Прислать запрошенный карантин[/COLOR]
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )
22.03.2015, 21:41
zazazu

При выполнении скрипта в avz большого появилась маленькое окно ( виндовс диск отсутствует) и варианты продолжить и отмена нажималась только отмена. В программе HijackThis 5 пункт R1 я не нашла.
23.03.2015, 10:19
mrak74

Выполните скрипт в AVZ:
[CODE]begin
ExecuteRepair(2);
ExecuteWizard('TSW',2,2,true);
RebootWindows(true);
end.[/CODE]

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )

[LIST][*]Скачайте [B][URL="http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner"]AdwCleaner (by Xplode)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[R0].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению.[/LIST]

[URL="http://virusinfo.info/showthread.php?t=121767"][B]Сделайте полный образ автозапуска uVS[/B][/URL]
23.03.2015, 19:30
zazazu

)))

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Лог uvs почему то не прикрепился, пишет превышен лимит залила сюда [url]http://rghost.ru/7RCJ6XbNX[/url]
вроде сделала все как надо))):>:>
23.03.2015, 21:09
mrak74

Запустите повторно [B]AdwCleaner (by Xplode) [/B](в [B]Windows Vista/7/8[/B] необходимо запускать через правую кнопку мыши [B]от имени администратора)[/B]), нажмите кнопку [B]Scan[/B], по окончании сканирования уберите галочки на вкладках [B]Folders[/B] и [B]Registry[/B] со всех пунктов, где упоминаются Mail.Ru[B] если используете соответствующую программу[/B].

Затем нажмите [B]Cleaning[/B] и по окончании удаления перезагрузите систему по требованию программы.

После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[S0].txt, прикрепите к своему следующему сообщению.

Выполните скрипт в uVS [URL="http://virusinfo.info/showthread.php?t=121769"]Как выполнить скрипт в uVS[/URL]
[CODE];uVS v3.85.9 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
delref %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\LOCAL SETTINGS\APPLICATION DATA\BEELINE NETWORK MANAGER\UPDATER\BASH-RUN.BAT
delref %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\LOCAL SETTINGS\APPLICATION DATA\BEELINE NETWORK MANAGER\UPDATER\CHP.EXE
delref %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\LOCAL SETTINGS\APPLICATION DATA\4C8075C1CB9660E91B30810AFE5B81DA\68A646FD8F192FC.EXE
delref %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\LOCAL SETTINGS\APPLICATION DATA\1481866BF2E7A0643D578582F1D0167C\C7B478B1A1C33C9.EXE
delref %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\LOCAL SETTINGS\APPLICATION DATA\DESKTOPPROGRAMWINDOWS\DESKTOPPROGRAMWINDOWS.EXE
delref %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\LOCAL SETTINGS\APPLICATION DATA\DESKTOPPUBLICUTILITY\DESKTOPPUBLICUTILITY.EXE
delref %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\LOCAL SETTINGS\APPLICATION DATA\PIRRITSUGGESTOR\PIRRITSERVICE.EXE
delref %SystemDrive%\PROGRAM FILES\GOFORFILES UPDATER\GFFUPDATER.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\LOCAL SETTINGS\APPLICATION DATA\DEBUGKEYBOARDSYNTAX\DEBUGKEYBOARDSYNTAX.EXE
zoo %SystemDrive%\WINDOWS\SYSTEM32\TWILIGHTWELCOME.EXE
deltmp
restart[/CODE]

Сделайте новый полный образ автозапуска uVS.
24.03.2015, 17:10
zazazu

опять превышен лимит [url]http://rghost.ru/7XNSP6lsb[/url]
24.03.2015, 19:26
mrak74

Выполните скрипт в uVS [URL="http://virusinfo.info/showthread.php?t=121769"]Как выполнить скрипт в uVS[/URL]
[CODE];uVS v3.85.9 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\PROGRAMS\ZAXAR GAMES BROWSER\ZАХАR GАMЕS BRОWSЕR.LNK
delref %SystemDrive%\DOCUME~1\9335~1\LOCALS~1\TEMP\DOWNLOADMANAGER.EXE
delall %SystemDrive%\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.BAT
delall %SystemDrive%\PROGRAM FILES\HEWLETT-PACKARD\HP DESKJET ASSISTANT\BIN\BROWSER.BAT
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\MОZILLА FIRЕFОХ.LNK
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.BAT
delref %SystemDrive%\PROGRAM FILES\ZAXAR\ZAXARGAMEBROWSER.BAT
delref %SystemDrive%\PROGRAM FILES\ZAXAR\ZAXARLOADER.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\PROGRAMS\ZAXAR GAMES BROWSER\ZAXAR UPDATE.LNK
deltmp
restart[/CODE]

[url]http://virusinfo.info/showthread.php?t=121769[/url]
[QUOTE]6. Зайдите в папку где распакована UVS найдите архив имя которого отвечает дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2012-08-21_20-05-27.7z) если архив отсутствует, то заархивруйте папку ZOO в zip архив с паролем virus и загрузите по ссылке Прислать запрошенный карантин вверху темы. (в некоторых случаях карантина может не быть - папка ZOO_ не появилась или там только текстовые файлы)[/QUOTE] - Это забыли сделать.

Что с проблемой ?
24.03.2015, 20:10
zazazu

Проблемы нет, все хорошо:):):) вроде пароль поставила с помощью гугла :)
24.03.2015, 20:48
mrak74

[quote="zazazu;1250803"]Проблемы нет[/quote]
Есть.

Выполните скрипт в AVZ:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\documents and settings\Администратор\local settings\application data\debugkeyboardsyntax\debugkeyboardsyntax.exe');
StopService('DebugKeyboardSyntax.exe');
QuarantineFile('c:\documents and settings\Администратор\local settings\application data\debugkeyboardsyntax\debugkeyboardsyntax.exe','');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\DebugKeyboardSyntax\DebugKeyboardSyntax.exe','32');
DeleteService('DebugKeyboardSyntax.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки выполните скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Загрузите quarantine.zip из папки AVZ по красной ссылке [B]вверху[/B] темы [COLOR="Red"]Прислать запрошенный карантин[/COLOR]
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )
24.03.2015, 21:21
zazazu

Так быстро стал компьютер перезагружаться:):):>
24.03.2015, 21:33
mrak74

Теперь порядок. [URL="http://www.piriform.com/ccleaner/download"]CCleaner[/URL] Free версией почистите систему, удалите отсутствующие "мертвые" ссылки на те файлы которых уже нет. Лечение окончено.
24.03.2015, 21:43
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]27[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\администратор\local settings\application data\debugkeyboardsyntax\debugkeyboardsyntax.exe - [B]not-a-virus:AdWare.Win32.Tirrip.s[/B] ( DrWEB: Adware.Downware.6417, BitDefender: Adware.Agent.OIJ, AVAST4: Win32:Adware-gen [Adw] )[/LIST][/LIST]