В браузерах на всех сайтах появляется реклама. И на рабочем столе появляются иконки. И пропали часы и всё что рядом с ними, кроме языковой панели
Printable View
В браузерах на всех сайтах появляется реклама. И на рабочем столе появляются иконки. И пропали часы и всё что рядом с ними, кроме языковой панели
Уважаемый(ая) [B]Сергей Никишин[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
[url="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/url] в HijackThis (в [B]Windows Vista/7/8[/B] необходимо запускать через правую кнопку мыши [B]Запуск от имени администратора)[/B]):[code]R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://picity.ru/?utm_source=startpage03&utm_content=d18b8f17313edd364b8e8b43094d921c&utm_term=45508C7A67B5D6E1C428A51202B7DE42
O4 - HKCU\..\Run: [divdedkyhe] explorer "http://picity.ru/?utm_source=uoua03&utm_content=87262761bfa2d56a7809cc5c266592cd&utm_term=45508C7A67B5D6E1C428A51202B7DE42"[/code]
[NOTICE]Сканирование запущено в 24.12.2014 14:46:18[/NOTICE]
Обновите базы AVZ и сделайте свежие логи.
Логи
[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
ClearQuarantine;
QuarantineFile('C:\Users\Администратор\appdata\local\systemdir\nethost.exe', '');
DeleteFile('C:\Users\Администратор\appdata\local\systemdir\nethost.exe', '32');
DeleteFileMask('C:\Users\Администратор\appdata\local\systemdir', '*', true);
DeleteDirectory('C:\Users\Администратор\appdata\local\systemdir');
ExecuteFile('schtasks.exe', '/delete /TN "nethost task" /F', 0, 15000, true);
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
RebootWindows(false);
end.[/code]Компьютер перезагрузится.
Выполните в AVZ скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).
Карантин выслал.
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:[CODE]CreateRestorePoint:
HKU\S-1-5-21-2468592409-3805283828-4096902204-500\...\Run: [Zoom] => [X]
SearchScopes: HKU\S-1-5-21-2468592409-3805283828-4096902204-500 -> DefaultScope {A06ED961-D98F-4CF9-A89B-80AB11DB149C} URL = http://go-search.ru/search?q={searchTerms}
SearchScopes: HKU\S-1-5-21-2468592409-3805283828-4096902204-500 -> {A06ED961-D98F-4CF9-A89B-80AB11DB149C} URL = http://go-search.ru/search?q={searchTerms}
FF DefaultSearchEngine: GoSearch
FF SelectedSearchEngine: GoSearch
FF Homepage: hxxp://picity.ru/?utm_source=startpage03&utm_content=d18b8f17313edd364b8e8b43094d921c&utm_term=45508C7A67B5D6E1C428A51202B7DE42
FF NetworkProxy: "user_pref("extensions.browsec.backup.network.proxy.autoconfig_url", "http://vulticulus.ignorelist.com/proxy.pac");
FF NetworkProxy: "autoconfig_url", "http://vulticulus.ignorelist.com/proxy.pac"
FF SearchPlugin: C:\Users\Администратор\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\GoSearch.xml [2015-07-16]
CHR Extension: (No Name) - C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\fcimjkehglmijlhnpbmjbpoiamjiegod [2015-07-15]
CHR Extension: (Mail.Ru) - C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\ilamgbdaebkbpkkmfmmfbnaamkhijdek [2015-07-15]
CHR HKLM-x32\...\Chrome\Extension: [aminlpmkfcdibgpgfajlgnamicjckkjf] - http://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [cncgohepihcekklokhbhiblhfcmipbdh] - http://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gehngeifmelphpllncobkmimphfkckne] - http://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gfimgicdombnijnjgpckdjhnjmaapafj] - http://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gkbehdibccccaklbchjdjkpifikjiclo] - http://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ilamgbdaebkbpkkmfmmfbnaamkhijdek] - https://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [jdkihdhlegcdggknokfekoemkjjnjhgi] - http://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [mdeldjolamfbcgnndjmjjiinnhbnbnla] - http://clients2.google.com/service/update2/crx
2015-07-15 19:11 - 2015-07-15 19:11 - 00000000 ____D C:\Users\Администратор\AppData\Local\Вoйти в Интeрнет
2015-07-15 19:02 - 2015-07-15 19:02 - 00000000 ____D C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\skinapp
2015-07-15 19:01 - 2015-07-15 19:01 - 00000000 ____D C:\Users\Администратор\AppData\Local\Поиcк в Интeрнете
2015-07-15 18:58 - 2015-07-15 18:58 - 00000000 ____D C:\Users\Администратор\AppData\Roaming\MailProducts
AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A
AlternateDataStreams: C:\ProgramData\TEMP:A064CECC
C:\Users\Администратор\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт.lnk
C:\Users\Администратор\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk
InternetURL: C:\Users\Администратор\Favorites\Links\Интернет.url
EmptyTemp:
Reboot:[/CODE]
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. [U]При сохранении выберите кодировку [B]Юникод[/B]![/U]
Отключите до перезагрузки антивирус, [U]закройте все браузеры[/U], запустите FRST, нажмите [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Сообщите, что с рекламой, если осталась - в каких именно браузерах.
Реклама осталась во всех браузерах
DNS сервер 195.22.104.5 - ваш, или Вашего провайдера? Это Ухта, как я понимаю.
[QUOTE=Vvvyg;1295119]DNS сервер 195.22.104.5 - ваш, или Вашего провайдера? Это Ухта, как я понимаю.[/QUOTE]
Наверное провайдера. Да УХта
Деинсталлируйте программу [I]Windows CSS styles for sites - SkinApp[/I].
[URL="http://virusinfo.info/showthread.php?t=128635"]Очистите кэш и cookies-файлы браузеров[/URL] и сообщите, что с проблемой.
[QUOTE=Vvvyg;1295124]Деинсталлируйте программу [I]Windows CSS styles for sites - SkinApp[/I].
[URL="http://virusinfo.info/showthread.php?t=128635"]Очистите кэш и cookies-файлы браузеров[/URL] и сообщите, что с проблемой.[/QUOTE]
Спасибо реклама пропала
Удалите папку C:\FRST со всем содержимым.
Выполните [url="http://virusinfo.info/showthread.php?t=121902"]рекомендации после лечения[/url].
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\users\администратор\appdata\local\systemdir\nethost.exe - [B]HEUR:Trojan.Win32.Generic[/B][/LIST][/LIST]