при загрузке любого из браузеров открывается опера [not-a-virus:Downloader.Win32.Agent.awjz ]

Printable View

09.11.2013, 12:27
Ctydent

при загрузке любого из браузеров открывается опера [not-a-virus:Downloader.Win32.Agent.awjz ]

При загрузке любого из браузеров открывается опера со страницей yafinder.com. Антивирус McAfee ничего не находит. Что можно сделать чтобы исправить данную проблему?
09.11.2013, 12:29
Info_bot

Уважаемый(ая) [B]Ctydent[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
09.11.2013, 12:50
Techno

Сделайте логи по [URL="http://virusinfo.info/pravila.html"]правилам[/URL] (раздел [I]диагностика[/I] п.1-3)
10.11.2013, 02:54
Ctydent

Вложений: 2

есть все кроме AVZ - virusinfo_syscheck.zip
10.11.2013, 11:16
thyrex

[quote="Ctydent;1058689"]есть все кроме AVZ - virusinfo_syscheck.zip[/quote]А что помешало выполнить п. 2? :)

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\Пользователь\appdata\roaming\closer.exe','');
QuarantineFile('C:\Users\Пользователь\AppData\Local\SwvUpdater\Updater.exe','');
QuarantineFile('C:\PROGRA~2\MOVIES~1\Datamngr\x64\mgrldr.dll','');
QuarantineFile('C:\PROGRA~2\MOVIES~1\Datamngr\mgrldr.dll','');
TerminateProcessByName('c:\program files (x86)\movies toolbar\datamngr\datamngrui.exe');
QuarantineFile('c:\program files (x86)\movies toolbar\datamngr\datamngrui.exe','');
TerminateProcessByName('c:\program files (x86)\movies toolbar\datamngr\datamngrcoordinator.exe');
QuarantineFile('c:\program files (x86)\movies toolbar\datamngr\datamngrcoordinator.exe','');
DeleteFile('c:\program files (x86)\movies toolbar\datamngr\datamngrcoordinator.exe','32');
DeleteFile('c:\program files (x86)\movies toolbar\datamngr\datamngrui.exe','32');
DeleteFile('C:\PROGRA~2\MOVIES~1\Datamngr\mgrldr.dll','32');
DeleteFile('C:\PROGRA~2\MOVIES~1\Datamngr\x64\mgrldr.dll','32');
DeleteFile('C:\Users\Пользователь\AppData\Local\SwvUpdater\Updater.exe','32');
DeleteFile('C:\windows\Tasks\AmiUpdXp.job','64');
DeleteFile('C:\windows\system32\Tasks\AmiUpdXp','64');
DeleteFile('C:\Users\Пользователь\appdata\roaming\closer.exe','32');
DeleteFileMask('c:\program files (x86)\movies toolbar', '*', true);
DeleteDirectory('c:\program files (x86)\movies toolbar');
DeleteFileMask('C:\Users\Пользователь\AppData\Local\SwvUpdater', '*', true);
DeleteDirectory('C:\Users\Пользователь\AppData\Local\SwvUpdater');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Пересоздайте ярлыки запуска браузеров

Сделайте новые логи
10.11.2013, 14:54
Ctydent

Вложений: 3

вот новые логи
10.11.2013, 16:04
thyrex

Ярлык запуска IE не исправили
10.11.2013, 17:14
Ctydent

[QUOTE=thyrex;1058824]Ярлык запуска IE не исправили[/QUOTE]

а как это сделать?)
10.11.2013, 19:03
Techno

[quote="Ctydent;1058844"]а как это сделать?)[/quote]
Удалить и заново создать ярлык файла C:\Program Files (x86)\Internet Explorer\iexplore.exe

Файл C:\Program Files (x86)\Internet Explorer\iexplore.url - удалить.
10.11.2013, 20:03
Ctydent

[QUOTE=Techno;1058883]Удалить и заново создать ярлык файла C:\Program Files (x86)\Internet Explorer\iexplore.exe

Файл C:\Program Files (x86)\Internet Explorer\iexplore.url - удалить.[/QUOTE]

огромное спасибо, это помогло) осталась еще одна проблемка: всплывают окна
10.11.2013, 20:59
thyrex

[url]http://virusinfo.info/showthread.php?t=146192&p=1041844&viewfull=1#post1041844[/url] сделайте
11.11.2013, 04:02
Ctydent

Вложений: 1

сделал
11.11.2013, 10:34
Techno

- [URL="http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864"]Удалите в AdwCleaner[/URL]
11.11.2013, 10:49
Ctydent

Вложений: 1

реклама все равно вылезает
11.11.2013, 15:32
Techno

- [URL="http://virusinfo.info/showthread.php?t=128635"]Очистите кеш и куки браузеров[/URL]

Посмотрите нет ли незнакомых Вам расширений в браузерах.
12.11.2013, 01:43
Ctydent

[QUOTE=Techno;1059140]- [URL="http://virusinfo.info/showthread.php?t=128635"]Очистите кеш и куки браузеров[/URL]

Посмотрите нет ли незнакомых Вам расширений в браузерах.[/QUOTE]

не помогло(
12.11.2013, 09:54
Ctydent

не помогло, все равно реклама осталась
12.11.2013, 10:22
Techno

???
[quote="Techno;1059140"]Посмотрите нет ли незнакомых Вам расширений в браузерах.[/quote]

Проблема во всех браузерах?

Подключение через роутер?
12.11.2013, 11:14
Ctydent

я сижу через оперу. вконтакте выскакивают оповещения что мне написал человек, хотя такого небыло и еще реклама висит постоянно. подключение через роутер
12.11.2013, 11:21
Techno

Смотрите настройки роутера на предмет наличия вредоносных DNS.
12.11.2013, 11:24
Ctydent

все появилось после установки dll файла на комп
12.11.2013, 11:39
Techno

Какого файла?

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните в АВЗ:[/URL]
[CODE]begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
QuarantineFile('C:\PROGRA~3\Wincert\WIN32C~1.DLL','');
DeleteFile('C:\PROGRA~3\Wincert\WIN32C~1.DLL');
DeleteFileMask('C:\PROGRA~3\Wincert','*',true);
DeleteDirectory('C:\PROGRA~3\Wincert');
executerepair(9);
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]

[COLOR="#FF0000"]Компьютер перезагрузится[/COLOR]

[B]После перезагрузки:[/B]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [B]quarantine.zip[/B] из папки AVZ загрузите по ссылке "[COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR]" вверху темы.

- Повторите логи [B]virusinfo_syscheck.zip[/B] и [B]hijackthis.log[/B].
13.11.2013, 01:01
Ctydent

Вложений: 2

вот

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

[QUOTE=Techno;1059467]Какого файла?

xlive.dll для fallaut 3 скачивал, так как она выдавала ошибку данного файла
13.11.2013, 09:23
Techno

[quote="Ctydent;1059726"]xlive.dll[/quote]
Проверьте файл на [url]https://www.virustotal.com/[/url]

Лог hijackthis где?

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните в АВЗ:[/URL]
[CODE]begin
DeleteFile('C:\Program Files (x86)\Internet Explorer\iexplore.url','32');
DeleteFile('C:\Program Files (x86)\Google\Chrome\Application\chrome.url','32');
ExecuteSysClean;
end.[/CODE]

Пересоздайте ярлыки браузеров.

Что с проблемами?
14.11.2013, 05:56
Ctydent

Вложений: 1

а сделать откат системы не поможет?
14.11.2013, 09:50
Techno

[quote="Ctydent;1060005"]а сделать откат системы не поможет?[/quote]
Не уверен.

Какие проблемы остались?

Файл xlive.dll проверили на [url]https://www.virustotal.com/[/url] ?
14.11.2013, 15:59
Ctydent

нет, там был архив с этим файлом, найти его не могу...
14.11.2013, 16:12
Techno

///
[quote="Techno;1060034"]Какие проблемы остались?[/quote]
14.11.2013, 16:15
Ctydent

файл чистый. проблемы все те же. иногда бывает еще нажимаешь открыть что-нибудь в другой вкладке, а он открывает в другом окне и какую-то левую страницу
14.11.2013, 21:34
Techno

- [URL="http://virusinfo.info/showthread.php?t=58309"]Сделайте лог ComboFix[/URL].
15.11.2013, 03:23
Ctydent

Вложений: 1

вот
15.11.2013, 10:59
Techno

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на диск C:.
[code]
KillAll::

File::

Driver::

NetSvc::

Folder::
c:\users\Пользователь\AppData\Local\Mobogenie
c:\users\Пользователь\AppData\Local\cache
c:\users\Пользователь\AppData\Roaming\smwdgt
c:\program files (x86)\emwg
c:\programdata\Datamngr

Registry::

FileLook::

DirLook::
Reboot::
[/code]
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
[IMG]http://safezone.cc/images/cfscript.gif[/IMG]
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
16.11.2013, 05:31
Ctydent

Вложений: 1

вот
16.11.2013, 11:41
Techno

Удалите папки:
[CODE]c:\users\Пользователь\AppData\Local\Mobogenie
c:\users\Пользователь\AppData\Local\cache
c:\users\Пользователь\AppData\Roaming\smwdgt
c:\program files (x86)\emwg
c:\programdata\Datamngr
[/CODE]

Проблема только в одном браузере или во всех?
16.11.2013, 13:24
Ctydent

удалил все перечисленные папки, проблема осталась. во всех браузерах
16.11.2013, 19:52
Techno

Проверили?
[quote="Techno;1059465"]Смотрите настройки роутера на предмет наличия вредоносных DNS.[/quote]
16.11.2013, 20:02
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\program files (x86)\\movies toolbar\\datamngr\\apcrtldr.dll - [B]not-a-virus:Downloader.Win32.Agent.awjz[/B][*] c:\\program files (x86)\\movies toolbar\\datamngr\\x64\\apcrtldr.dll - [B]not-a-virus:Downloader.Win32.Agent.awjz[/B][/LIST][/LIST]