Добрый день.
При установке программы установился так же и sweet-page. После очистки своими силами компьютера и его перезагрузке, sweet-page появляется снова. При проверке dr.web cureit находит 1 вредоносную программу, но вылечить не может.
Printable View
Добрый день.
При установке программы установился так же и sweet-page. После очистки своими силами компьютера и его перезагрузке, sweet-page появляется снова. При проверке dr.web cureit находит 1 вредоносную программу, но вылечить не может.
Уважаемый(ая) [B]Kril[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\ProgramData\WPM\wprotectmanager.exe','');
QuarantineFile('C:\ProgramData\IePluginService\PluginService.exe','');
QuarantineFile('C:\Users\Kril\appdata\roaming\digita~1\update~1\update~1.exe','');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Flash Player SU','command');
DeleteFile('C:\Users\Kril\appdata\roaming\digita~1\update~1\update~1.exe','32');
DeleteFile('C:\ProgramData\IePluginService\PluginService.exe','32');
DeleteFile('C:\ProgramData\WPM\wprotectmanager.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи
Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]
После 5 секунд выполнения скрипта, выбиват в синий экран.:?
Антивирус и другое защитное ПО отключаете? Делайте лог МВАМ
Антивирус был отключен. Надеюсь правильно сделал лог.
[url="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/url] все, [b]кроме[/b] [code]
PUP.Optional.OpenCandy, C:\Users\Kril\AppData\Local\Temp\is40051056\4905089_stp.EXE, , [ac93e9633f3c61d593e44119c63e3fc1],
Trojan.Banload, C:\Users\Kril\Downloads\naughty_boy_feat._sam_smith_-_la_la_la_(zaycev.net).exe, , [0b34cc80364546f0e68659a7f60bf60a],
Trojan.Banload, C:\Users\Kril\Downloads\valday_-_ty_stanesh_mamoy_(zaycev.net).exe, , [f44b212bea9193a3aebeaf51738eaa56],
Trojan.Banload, C:\Users\Kril\Downloads\dan_balan_-_lendo_calendo_feat._tany_vander_and_brasco_(zaycev.net).exe, , [251ab6963d3e8ea85c10e31d51b09967],
PUP.Optional.OpenCandy, C:\Users\Kril\Downloads\DTLite4491-0356.exe, , [49f6301c2b503ff71265b7a31be9c43c], [/code]
Инструкция и интерфейс в моей версии программы МВАМ отличаются. По этому сделал по своему. Просканировал, удалил, затем снова просканировал и создал лог.
После перезагрузки компьютера, sweet-page вернулся.
Сделайте лог [url="http://virusinfo.info/showpost.php?p=493610&postcount=1"]ComboFix[/url]
лог
Скопируйте текст ниже в Блокнот и сохраните как файл с названием [B]CFScript.txt[/B] [B][COLOR="#0000CD"]в корень диска С[/COLOR][/B]
[code]KillAll::
File::
Driver::
Folder::
c:\users\Kril\AppData\Roaming\SupTab
c:\programdata\WPM
c:\program files (x86)\WiseEnhance
Registry::
FileLook::
DirLook::[/code]
После сохранения переместите [B]CFScript.txt[/B] на пиктограмму ComboFix.exe.
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
лог
Что с проблемой?
Без изменений. =(
В каком браузере проблема?
Хром
Переустанавливать пробовали? Неизвестные расширения для браузера есть?
Переустановил браузер, перезагрузился. Признаков sweet-page и подобных, не наблюдаю.
Благодарю за помощь.:thumbs:
[url="http://virusinfo.info/showpost.php?p=500136&postcount=2"]Удалите ComboFix[/url]
После удаления ComboFix и очистке с дальнейшей перезагрузкой, sweet-page появился снова. :O
[quote="Kril;1112566"]При установке программы установился так же и sweet-page[/quote]Что за программа?
DAEMON Tools
Поиск в реестре по sweet-page выполните
Все найденное удалите
Чистил изначально так. Сейчас повторил, результат тот же. После перезаргузки, все появляется снова.
Тогда как вариант удалить Daemon Tools и проверить, будет ли появляться проблема
Удалил DT, проверил реестр на наличие sweet-page. В реестре чисто. Перезагрузил, проблемма не исчезла, но в реестре следов sweet-page нет.
Неизвестные расширения для браузеров есть?
[QUOTE=thyrex;1113252]Неизвестные расширения для браузеров есть?[/QUOTE]
Нет. И путь к хрому верный.
Попробуйте отключить все расширения для браузера и проверить наличие проблемы
[QUOTE=thyrex;1113298]Попробуйте отключить все расширения для браузера и проверить наличие проблемы[/QUOTE]
Безрезультатно.
[LIST][*]Скачайте [B][URL="http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner"]AdwCleaner (by Xplode)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[R0].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению.[/LIST]
Подробнее читайте в [URL="http://virusinfo.info/showthread.php?t=146192"]этом руководстве[/URL].
Отчет
[LIST][*]Запустите повторно [COLOR="Blue"][B]AdwCleaner (by Xplode)[/B][/COLOR] (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B].[*]По окончанию сканирования снимите галочки со следующих строк:
[CODE]
Папка Найдено : C:\Program Files (x86)\Yandex
Папка Найдено : C:\Users\Kril\AppData\Local\Mail.Ru
Папка Найдено : C:\Users\Kril\AppData\Local\Yandex
Папка Найдено : C:\Users\Kril\AppData\LocalLow\Mail.Ru
Папка Найдено : C:\Users\Kril\AppData\LocalLow\Yandex
Папка Найдено : C:\Users\Kril\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mail.Ru
Папка Найдено : C:\Users\Kril\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex
Папка Найдено : C:\Users\Kril\AppData\Roaming\Yandex
Файл Найдено : C:\Users\Kril\AppData\Roaming\Microsoft\Internet Explorer\qipsearchbar.dll
[/CODE][*] Нажмите кнопку [B]"Clean"[/B] и дождитесь окончания удаления.[*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[S0].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению[/LIST]
[B]Внимание: [COLOR="Red"]Для успешного удаления нужна [U]перезагрузка компьютера[/U]!!![/COLOR][/B].
Подробнее читайте в [URL="http://virusinfo.info/showthread.php?t=146192"]этом руководстве[/URL].
Очистил, перезагрузил, проблема не исчезла.
[LIST][*]Подготовьте лог [B]OTL by OldTimer[/B], как описано на [URL="http://www.cyberforum.ru/viruses-faq/thread230018.html"]этой странице[/URL].[*]Прикрепите полученные логи [B]OTL.txt[/B] и [B]Extra.txt[/B] к своему следующему сообщению.[*]Если логи не прикрепляются [B][COLOR="Blue"]запакуйте их в архив[/COLOR][/B].[/LIST]
Логи
[LIST][*]Запустите повторно [URL="http://oldtimer.geekstogo.com/OTL.exe"]OTL by OldTimer[/URL] или [URL="http://oldtimer.geekstogo.com/OTL.com"]OTL.com[/URL] или [URL="http://oldtimer.geekstogo.com/OTL.scr"]OTL.scr[/URL].
[SIZE="1"]Обратите внимание, что утилиты необходимо запускать от имени [B]Администратора[/B]. По умолчанию в [B]Windows XP[/B] так и есть. В [B]Windows Vista[/B] и [B]Windows 7[/B] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [B]Запуск от имени Администратора[/B], при необходимости укажите пароль администратора и нажмите "[B]Да[/B]".[/SIZE]
[*]В окно [B]Custom Scans/Fixes[/B] скопируйте следующую информацию:
[CODE]
:OTL
O18:[b]64bit:[/b] - Protocol\Handler\msdaipp - No CLSID value found
O18:[b]64bit:[/b] - Protocol\Handler\msdaipp\0x00000001 - No CLSID value found
O18:[b]64bit:[/b] - Protocol\Handler\msdaipp\oledb - No CLSID value found
O18:[b]64bit:[/b] - Protocol\Handler\ms-help - No CLSID value found
O18:[b]64bit:[/b] - Protocol\Handler\ms-itss - No CLSID value found
O18:[b]64bit:[/b] - Protocol\Handler\mso-offdap - No CLSID value found
O18:[b]64bit:[/b] - Protocol\Handler\mso-offdap11 - No CLSID value found
O18:[b]64bit:[/b] - Protocol\Handler\skype4com - No CLSID value found
O18:[b]64bit:[/b] - Protocol\Handler\skype-ie-addon-data - No CLSID value found
O18:[b]64bit:[/b] - Protocol\Filter\text/xml - No CLSID value found
O21:[b]64bit:[/b] - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
[2012.06.15 14:37:40 | 000,004,140 | ---- | C] () -- C:\ProgramData\mtbjfghn.xbe
:Services
:Files
C:\ProgramData\mtbjfghn.xbe
recycler /alldrives
ipconfig /flushdns /c
:Reg
:Commands
[EMPTYTEMP]
[purity]
[Reboot][/CODE][*]Проверьте, что весь текст скрипта был скопирован / вставлен [U]верно[/U] и нажмите кнопку "[B]Run Fix[/B]"[*][B][I]Компьютер перезагрузится.[/I][/B][*]После перезагрузки откройте папку [b]"C:\_OTL\MovedFiles"[/b], найдите последний .log файл (лог в формате [b]mmddyyyy_hhmmss.log[/b]), откройте и прикрепите его в следующее сообщение.[/LIST]
Лог
Проблема наблюдается только в Хроме?
[QUOTE=mike 1;1114012]Проблема наблюдается только в Хроме?[/QUOTE]
Да. Удаление и переустановка Хрома результатов не дает.