стартовая страница и разные глюки [not-a-virus:AdWare.Win32.Agent.efre ]

Добрый день, скачали торент файл что то запустилось, стартовая страница другая, везде вроде майл.ру, но вроде не он...

Уважаемый(ая) [B]TGR3[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
QuarantineFile('C:\Users\admin\AppData\Local\SystemDir\nethost.exe','');
DelBHO('{2e32cfe5-df92-4ae5-b0be-609ed0df74a6}');
QuarantineFile('C:\Program Files (x86)\SaveSense\SaveSenseIE.dll','');
QuarantineFile('C:\Users\admin\AppData\Local\Kometa\kometaup.exe','');
QuarantineFile('C:\Program Files (x86)\skinapp\allnet.sys','');
TerminateProcessByName('c:\program files (x86)\skinapp\skinapp.exe');
QuarantineFile('c:\program files (x86)\skinapp\skinapp.exe','');
DeleteFile('c:\program files (x86)\skinapp\skinapp.exe','32');
DeleteFile('C:\Program Files (x86)\skinapp\allnet.sys','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','skinapp');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','kometaup');
DeleteFile('C:\Users\admin\AppData\Local\Kometa\kometaup.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ilaqvmjtak');
DeleteFile('C:\Program Files (x86)\SaveSense\SaveSenseIE.dll','32');
DeleteFile('C:\Users\admin\AppData\Local\SystemDir\nethost.exe','32');
DeleteFile('C:\Windows\system32\Tasks\nethost task','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code][b]c:\quarantine.zip[/b] пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин[/b][/u][/color] над первым сообщением темы.

[B][COLOR="Red"]Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи[/COLOR][/B]

[ATTACH=CONFIG]586156[/ATTACH]
[ATTACH=CONFIG]586157[/ATTACH]
Сейчас компа нету под рукой, но есть кое какая инфа. Запуск проверки антивируса полная дал вот что на картинках вверху все удалил, а что майкрософтовский антивир не ловит вирусы? Такая куча или они не активированы и все нормально?

Вы пришли сюда поговорить или будете выполнять то, что Вам написали?

новые логи...
и немного поговорить, в c:\quarantine.zip там вирусы? или тело, а то я случайно открыл и каспер взвыл)))... наверно лучше поменять стандартный пароль?

[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в HijackThis:[/URL]
[CODE]R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ekubosi.ru/?utm_source=startpage03&utm_content=b114da0c3ec8882d443ab608d1f4ead2&utm_term=854DB20917902C4DA5AC0078A8AE960F[/CODE]
[URL="http://virusinfo.info/showthread.php?t=7239"][B]Выполните скрипт в AVZ[/B]:[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Users\admin\appdata\local\temp\startpm.exe','');
QuarantineFileF('C:\Users\admin\appdata\local\temp\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0, 0);
DeleteFile('C:\Users\admin\appdata\local\temp\startpm.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(3);
ExecuteWizard('SCU',2,2,true);
RebootWindows(true);
end.[/CODE]

После перезагрузки выполните скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Загрузите quarantine.zip из папки AVZ по красной ссылке [B]вверху[/B] темы [COLOR="Red"]Прислать запрошенный карантин[/COLOR]
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )

[LIST][*]Скачайте [B][URL="http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner"]AdwCleaner (by Xplode)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[R0].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению.[/LIST]

Подробнее читайте в [URL="http://virusinfo.info/showthread.php?t=146192"]этом руководстве[/URL].

[quote="TGR3;1309800"]наверно лучше поменять стандартный пароль?[/quote]
Стандартный пароль на что ? (учетную запись ПК, архив с карантином и т.д.)

на пароль c:\quarantine.zip я его открыл... каспер взвыл... логи будут сейчас...

[quote="TGR3;1309815"]на пароль c:\quarantine.zip я его открыл... каспер взвыл... логи будут сейчас...[/quote]
не надо его менять. Ждём логи.

скрипт второй завис и не отвечает. ждать когда отвиснить или еще раз запустить?

тут c:\quarantine.zip вирусы компу моему основному нечего не будет? я про это интересуюсь ...

[quote="TGR3;1309826"]скрипт второй завис и не отвечает. ждать когда отвиснить или еще раз запустить?[/quote]
Отвис ? Скрипт отработал ?
[quote="TGR3;1309826"]тут c:\quarantine.zip вирусы компу моему основному нечего не будет? я про это интересуюсь ...[/quote]
Если самостоятельно их из архива не запустите, ничего не произойдет.

да отвис... новые логи...

не запускал, просто открыл архиы (извлек все файлы :) ) и каспер взвыл, вот решил поинтересоваться.

ЗЫ а где нибудь можно почитать как вы анализируете логи, чтоб самому посмотреть, или обычным юзверам-админам ;) туда не лезть лучше?



ЗЫ2 подвисание было не просто так, файл весить 380 метров, через ссылку вверху не проходить... из-за размера куда то в другое место залить?

ЗЫ3 вроде льется, но не знаю как долго... и зальется вообще...

[quote="TGR3;1309838"]ЗЫ2 подвисание было не просто так, файл весить 380 метров, через ссылку вверху не проходить... из-за размера куда то в другое место залить?

ЗЫ3 вроде льется, но не знаю как долго... и зальется вообще...[/quote]
Заливать никуда не надо !!! Удалите с компьютера. Мы против общего доступа к зараженным файлам, выкладывание их в открытый интернет может привести к заражению не в чем не повинных пользователей.


[quote="TGR3;1309838"]ЗЫ а где нибудь можно почитать как вы анализируете логи, чтоб самому посмотреть, или обычным юзверам-админам туда не лезть лучше?[/quote]
[url]http://virusinfo.info/showthread.php?t=96026[/url] по окончанию обучения, все тайны будут ваши ;)

[url=http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864]Удалите в AdwCleaner[/url] всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

у меня пытается залиться по ссылку вверху, но загрузка 0 процентов, но льется.

да тайн то нету... просто иногда быстрее самому посмотреть, знание есть определенные, почему бы это не изучить... новое всегда интереснее :umnik2:

на этом все? что то серьезное было? просто так долго лечили мы его. :(


Я браузер сбросил настройки все и поменял поиск по умолчанию, и думал так отдать, а тут столько зверей)))

[QUOTE][!] Папка Не Удалено : C:\Program Files (x86)\SaveSense[/QUOTE]
Удаляем еще раз все что связано с [URL="https://www.symantec.com/security_response/writeup.jsp?docid=2014-100118-3806-99"][U]SaveSense[/U][/URL], жду новый лог AdwCleaner.

у меня не было этой папки, и в логах ее нету

[quote="TGR3;1309892"]у меня не было этой папки, и в логах ее нету[/quote]
Это из лога AdwCleaner[C1].txt 14 пост в этой теме.

Что с проблемой ?

я понял что из лога, но не нашел сейчас папку, а проблемы мне как казалось и не было, были проблемы со стартовой страницой, но я до лечения сбросил настройки в хроме и вроде все хорошо... еще плюс проверка антивирусом много зверей нашла.. но после этого вы и ув. thyrex помогли почистить до конца... вроде все хорошо... я так понимаю это был не вирус?

[quote="TGR3;1309898"]я так понимаю это был не вирус?[/quote]
Вирус и его последствия.

[URL="http://virusinfo.info/showthread.php?t=121902"][B]Советы и рекомендации после лечения компьютера[/B][/URL]

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files (x86)\savesense\savesenseie.dll - [B]not-a-virus:AdWare.Win32.Agent.efre[/B] ( DrWEB: Adware.Shopper.363 )[*] c:\users\admin\appdata\local\systemdir\nethost.exe - [B]HEUR:Trojan.Win32.Generic[/B][/LIST][/LIST]