Перенаправляет на сторонние сайты по клику, появляется вредоносная реклама.
Printable View
Перенаправляет на сторонние сайты по клику, появляется вредоносная реклама.
Уважаемый(ая) [B]Higurt[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Program Files\DealPlyLive\Update\DealPlyLive.exe','');
QuarantineFile('C:\Users\iMango\AppData\Roaming\Dealply\UPDATE~1\UPDATE~1.EXE','');
DeleteFile('C:\Users\iMango\AppData\Roaming\Dealply\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\Program Files\DealPlyLive\Update\DealPlyLive.exe','32');
DeleteFile('C:\Windows\Tasks\DealPlyLiveUpdateTaskMachineCore.job','32');
DeleteFile('C:\Windows\Tasks\Dealply.job','32');
DeleteFile('C:\Windows\Tasks\DealPlyLiveUpdateTaskMachineUA.job','32');
DeleteFile('C:\Windows\system32\Tasks\DealPlyLiveUpdateTaskMachineCore','32');
DeleteFile('C:\Windows\system32\Tasks\DealPlyLiveUpdateTaskMachineUA','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] над первым сообщением в Вашей теме.
Обновите базы AVZ
[B][COLOR="Blue"]Сделайте новые логи по правилам[/COLOR][/B]
Карантин выслал.
Обновить базы AVZ не могу, причина: ошибка в ходе автоматического обновления, ошибка загрузки файла с описанием обновления...
Давайте новые логи без обновления
+ Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].
[img]http://i.imgur.com/B92LqRQ.png[/img][*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
Готово
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
[code]
CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com/?crg=3.1010000.10002&barid={34DF5C5A-24E4-11E2-BB03-0018F360B61D}
HKU\S-1-5-21-3392484306-1964755523-1580703044-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://ru.ask.com/?l=dis&o=15187&apn_ptnrs=^RY&apn_dtid=^YYYYYY^V3^RU&p2=^RY^YYYYYY^V3^RU&apn_dbr=cr_22.0.1229.94&apn_uid=1d5c9a66-208c-4e07-95ac-7e0b50e77cc3&apn_sauid=bc1c146e-0787-46ee-80d6-aafc8b8bc277&hpds=1&hdoi=2012-11-02
HKU\S-1-5-21-3392484306-1964755523-1580703044-1001\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = http://ru.msn.com/?ocid=iehp
SearchScopes: HKLM -> DefaultScope {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10002&barid={34DF5C5A-24E4-11E2-BB03-0018F360B61D}
SearchScopes: HKLM -> {539517DA-321C-7D69-2E49-4A2A59F8C1FF} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3220468
SearchScopes: HKLM -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzutDtDtCzz0FtAyCtD0ByCtC0D0DyCtC0AtN0D0Tzu0CtAtDyBtN1L2XzutBtFtBtFtDtFtAyEyE&cr=2084837813
SearchScopes: HKLM -> {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10002&barid={34DF5C5A-24E4-11E2-BB03-0018F360B61D}
SearchScopes: HKU\S-1-5-21-3392484306-1964755523-1580703044-1001 -> {539517DA-321C-7D69-2E49-4A2A59F8C1FF} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3220468
SearchScopes: HKU\S-1-5-21-3392484306-1964755523-1580703044-1001 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzutDtDtCzz0FtAyCtD0ByCtC0D0DyCtC0AtN0D0Tzu0CtAtDyBtN1L2XzutBtFtBtFtDtFtAyEyE&cr=2084837813
SearchScopes: HKU\S-1-5-21-3392484306-1964755523-1580703044-1001 -> {DE65309C-7ACF-4F04-BACA-D4377CE425D1} URL = http://websearch.ask.com/redirect?client=ie&src=crm&tb=PTV&o=15184&locale=ru_RU&apn_ptnrs=^RY&apn_dtid=^YYYYYY^V3^RU&p2=^RY^YYYYYY^V3^RU&apn_uid=1d5c9a66-208c-4e07-95ac-7e0b50e77cc3&apn_sauid=bc1c146e-0787-46ee-80d6-aafc8b8bc277&hpds=1&hdoi=2012-11-02&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3392484306-1964755523-1580703044-1001 -> {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10002&barid={34DF5C5A-24E4-11E2-BB03-0018F360B61D}
BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
Toolbar: HKU\S-1-5-21-3392484306-1964755523-1580703044-1001 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File
Toolbar: HKU\S-1-5-21-3392484306-1964755523-1580703044-1001 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File
FF Extension: Funmoods.com - C:\Users\iMango\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2012-11-02]
FF SearchPlugin: C:\Users\iMango\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\askcom.xml [2012-11-02]
FF SearchPlugin: C:\Users\iMango\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\Funmoods.xml [2012-11-02]
CHR HKLM\...\Chrome\Extension: [bbjciahceamgodcoidkjpchnokgfpphh] - C:\Users\iMango\AppData\Local\funmoods.crx [2012-11-02]
CHR HKLM\...\Chrome\Extension: [cjpglkicenollcignonpgiafdgfeehoj] - C:\Users\iMango\AppData\Local\funmoods-speeddial_sf.crx [2012-11-02]
CHR HKLM\...\Chrome\Extension: [mphpbdjcljebbcnfopfngmfdackbbdgf] - C:\Program Files\DealPly\DealPly.crx [2013-07-13]
CHR HKU\S-1-5-21-3392484306-1964755523-1580703044-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bbjciahceamgodcoidkjpchnokgfpphh] - C:\Users\iMango\AppData\Local\funmoods.crx [2012-11-02]
CHR HKU\S-1-5-21-3392484306-1964755523-1580703044-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [cjpglkicenollcignonpgiafdgfeehoj] - C:\Users\iMango\AppData\Local\funmoods-speeddial_sf.crx [2012-11-02]
C:\Users\iMango\AppData\Local\Temp\212A.exe
CustomCLSID: HKU\S-1-5-21-3392484306-1964755523-1580703044-1001_Classes\CLSID\{035FBE31-3755-450A-A775-5E6BBD43D344}\InprocServer32 -> C:\Users\iMango\AppData\Local\Google\Update\1.3.21.135\psuser.dll No File
CustomCLSID: HKU\S-1-5-21-3392484306-1964755523-1580703044-1001_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\iMango\AppData\Local\Google\Update\1.3.23.9\psuser.dll No File
CustomCLSID: HKU\S-1-5-21-3392484306-1964755523-1580703044-1001_Classes\CLSID\{62A0D750-DED9-448C-B693-406B34BB0892}\InprocServer32 -> C:\Users\iMango\AppData\Local\Google\Update\1.3.21.145\psuser.dll No File
CustomCLSID: HKU\S-1-5-21-3392484306-1964755523-1580703044-1001_Classes\CLSID\{634059C0-D264-4B2C-AE80-F73E48D33E5B}\InprocServer32 -> C:\Users\iMango\AppData\Local\Google\Update\1.3.21.123\psuser.dll No File
CustomCLSID: HKU\S-1-5-21-3392484306-1964755523-1580703044-1001_Classes\CLSID\{6D7374DE-63AA-473C-8C02-60D9CDCD84C5}\InprocServer32 -> C:\Users\iMango\AppData\Local\Google\Update\1.3.21.153\psuser.dll No File
CustomCLSID: HKU\S-1-5-21-3392484306-1964755523-1580703044-1001_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\iMango\AppData\Local\Google\Update\1.3.24.15\psuser.dll No File
CustomCLSID: HKU\S-1-5-21-3392484306-1964755523-1580703044-1001_Classes\CLSID\{A45426FB-E444-42B2-AA56-419F8FBEEC61}\InprocServer32 -> C:\Users\iMango\AppData\Local\Google\Update\1.3.22.3\psuser.dll No File
CustomCLSID: HKU\S-1-5-21-3392484306-1964755523-1580703044-1001_Classes\CLSID\{A54D478D-4F70-4F72-9A74-17C9986E35AB}\InprocServer32 -> C:\Users\iMango\AppData\Local\Google\Update\1.3.21.165\psuser.dll No File
CustomCLSID: HKU\S-1-5-21-3392484306-1964755523-1580703044-1001_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\iMango\AppData\Local\Google\Update\1.3.26.9\psuser.dll No File
CustomCLSID: HKU\S-1-5-21-3392484306-1964755523-1580703044-1001_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\iMango\AppData\Local\Google\Update\1.3.25.11\psuser.dll No File
CustomCLSID: HKU\S-1-5-21-3392484306-1964755523-1580703044-1001_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\iMango\AppData\Local\Google\Update\1.3.24.7\psuser.dll No File
Task: {A2F094EC-78B8-47DD-B661-5E0928D49D46} - \Программа онлайн-обновления Adobe. No Task File <==== ATTENTION
Reboot:
[/code]
[list][*]Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list]
Готово
Сделайте лог [url="http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657"]полного сканирования МВАМ[/url]
Готово
C:\Windows\System32\rpcss.dll замените чистым с дистрибутива [url]http://virusinfo.info/showthread.php?t=51654[/url] или скопируйте с аналогичной системы
[B]Если этот шаг пройдет успешно[/B], приступайте к следующему: удалите в МВАМ все, [B]кроме[/B]
[CODE]PUP.GameTool, C:\Program Files\ICCup\Launcher\iccwc3.icc, , [9ce710aeeaa00432e6129d0e52ae0cf4],
RiskWare.Tool.CK, C:\Downloads\??N?????N??°????N?\Game Cam Pro 1.3.0.3.rar, , [bec57846d8b2ad8909716b1f827e59a7], [/CODE]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]