Племянник по скачивал игры и после этого я обнаружил на ноуте массу программ (амиго, яндексы и тд) стартовая страница во всех браузерах стала деньги в интернете, комп тормозить. Прошёлся курелтом он нашел 23 вируса поместил их в карантин.
Printable View
Племянник по скачивал игры и после этого я обнаружил на ноуте массу программ (амиго, яндексы и тд) стартовая страница во всех браузерах стала деньги в интернете, комп тормозить. Прошёлся курелтом он нашел 23 вируса поместил их в карантин.
Уважаемый(ая) [B]Митя Бревнов[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Здравствуйте!
Закройте все программы, [URL="http://virusinfo.info/showthread.php?t=130828"][B]временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО[/URL].
[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] (Файл - Выполнить скрипт):
[CODE]
begin
ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
QuarantineFile('C:\Users\1\appdata\roaming\digita~1\update~1\update~1.exe','');
QuarantineFile('C:\Users\1\AppData\Local\safebrowser.exe','');
QuarantineFile('C:\ProgramData\Kbrowser utility\kbrowser-updater-utility.exe','');
DeleteFile('C:\Users\1\AppData\Local\safebrowser.exe','32');
DeleteFile('C:\Windows\Tasks\Digital Sites.job','64');
DeleteFile('C:\Windows\system32\Tasks\Digital Sites','64');
DeleteFile('C:\Windows\system32\Tasks\kbrowser-updater-utility','64');
DeleteFile('C:\Windows\system32\Tasks\Safebrowser','64');
DeleteFile('C:\Windows\system32\Tasks\{9B00CE56-8ED7-431B-8DEE-093A3B75D796}','64');
DeleteFile('C:\Windows\system32\Tasks\{9DB837FA-106C-4218-B447-FE4DB37B17A2}','64');
DeleteFile('C:\Users\1\appdata\roaming\digita~1\update~1\update~1.exe','32');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(false);
end.
[/CODE]
[B]Внимание![/B] Будет выполнена перезагрузка компьютера. После перезагрузки компьютера [URL="http://virusinfo.info/showthread.php?t=7239"]выполните скрипт[/URL] в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Пришлите карантин согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы
[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] следующие строчки в HiJackThis если они у вас есть.
[CODE]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=0be6ea0f2411b50e2a74fe1ff5c4c942&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1
O2 - BHO: Визуальные закладки - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O3 - Toolbar: (no name) - {98889811-442D-49dd-99D7-DC866BE87DBC} - (no file)
O4 - Startup: Safebrowser.lnk = 1\AppData\Local\safebrowser.exe
O4 - Global Startup: kbrowser-updater-utility.lnk = C:\ProgramData\Kbrowser utility\kbrowser-updater-utility.exe
[/CODE]
[LIST=1][*]Скачайте [url=http://virusinfo.info/soft/tool.php?tool=checkbrowserlnk]CheckBrowserLnk[/url] и сохраните архив с утилитой на [b]Рабочем столе[/b][*]Распакуйте архив с утилитой в отдельную папку[*]Запустите [b]checkbrowserlnk.exe[/b][INDENT][SIZE="1"][B]Обратите внимание[/B], что утилиты необходимо запускать от имени Администратора. По умолчанию в [b]Windows XP[/b] так и есть. В [b]Windows Vista[/b] и [b]Windows 7[/b] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [b]Запуск от имени Администратора[/b], при необходимости укажите пароль администратора и нажмите [b]Да[/b][/SIZE][/INDENT][*]После окончания работы программы на рабочем столе будет сохранен отчет [b]CheckBrowserLnk.log[/b][*]Прикрепите этот отчет в вашей теме.[/LIST]
[LIST][*]Скачайте [B][URL="http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner"]AdwCleaner (by Xplode)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[R0].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению.[/LIST]
Подробнее читайте в [URL="http://virusinfo.info/showthread.php?t=146192"]этом руководстве[/URL].
сделал
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
в хикджеке не нашёл строчку
O4 - Global Startup: kbrowser-updater-utility.lnk = C:\ProgramData\Kbrowser utility\kbrowser-updater-utility.exe
высылаю на всякий случай новый лог
[url=http://virusinfo.info/showthread.php?t=161289]Исправьте[/url] ярлыки:
[QUOTE]
C:\Users\1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yandex.lnk
C:\Users\1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk
C:\Users\1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk
C:\Users\1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk
C:\Users\1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera 18.lnk
C:\Users\1\Desktop\Google Chrome.lnk
[/QUOTE]
[LIST][*]Запустите повторно [COLOR="Blue"][B]AdwCleaner (by Xplode)[/B][/COLOR] (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B].[*]По окончанию сканирования снимите галочки со следующих строк:
[CODE]
Папка Найдено : C:\Program Files (x86)\Mail.Ru
Папка Найдено : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mail.Ru
Папка Найдено : C:\ProgramData\Yandex
Папка Найдено : C:\Users\1\AppData\Local\Mail.Ru
Папка Найдено : C:\Users\1\AppData\Local\Yandex
Папка Найдено : C:\Users\1\AppData\LocalLow\Mail.Ru
Папка Найдено : C:\Users\1\AppData\LocalLow\Yandex
Папка Найдено : C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mail.Ru
Папка Найдено : C:\Users\1\AppData\Roaming\Yandex
[/CODE][*] Нажмите кнопку [B]"Clean"[/B] и дождитесь окончания удаления.[*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[S0].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению[/LIST]
[B]Внимание: [COLOR="Red"]Для успешного удаления нужна [U]перезагрузка компьютера[/U]!!![/COLOR][/B].
Подробнее читайте в [URL="http://virusinfo.info/showthread.php?t=146192"]этом руководстве[/URL].
Сделал, только в адв слеанере, случайно нажал удалить не сняв галочки
ещё проблем теперь в контакте слева где обычно реклама, теперь реклама не контактовская какая то хрень, про браслеты и дедушкины методы лечения всего и вся. и она не закрываеться ( нету крестика)
1. Новый лог CheckBrowserLnk сделайте.
2. Сделайте новые логи AVZ
3. [LIST=1][*]Скачайте [url=http://virusinfo.info/soft/tool.php?tool=SITLog]SITLog[/url] и сохраните архив с утилитой на [b]Рабочем столе[/b][*]Распакуйте архив с утилитой в отдельную папку[*]Запустите [b]sitlog.exe[/b][INDENT][SIZE="1"][B]Обратите внимание[/B], что утилиты необходимо запускать от имени Администратора. По умолчанию в [b]Windows XP[/b] так и есть. В [b]Windows Vista[/b] и [b]Windows 7[/b] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [b]Запуск от имени Администратора[/b], при необходимости укажите пароль администратора и нажмите [b]Да[/b][/SIZE][/INDENT][*]В главном окне программы выберите проверку за последние три месяца и нажмите [B]"Старт"[/B][*]По окончанию работы программы в папке [b]LOG[/b] должны появиться два отчета [B]SITLog.txt[/B] и [B]SITLog_Info.txt[/B][*]Прикрепите эти отчеты в вашей теме.[/LIST]
зделал
Скачайте [url="http://data-cdn.mbamupdates.com/v0/program/data/mbam-setup-1.75.0.1300.exe"]Malwarebytes' Anti-Malware[/url], установите (во время установки откажитесь от использования [B]Пробной версии[/B]), обновите базы, выберите "[b]Perform Full Scan[/b]" ("[B]Полное сканирование[/B]"), нажмите "[b]Scan[/b]" ("[B]Сканирование[/B]"), после сканирования - [b]Ok[/b] - [b]Show Results[/b] ("[B]Показать результаты[/B]") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
[B][COLOR="Red"]Самостоятельно ничего не удаляйте!!![/COLOR][/B]
Если лог не открылся, то найти его можно в следующей папке:
[CODE]%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs[/CODE] Файл требующегося лога имеет имя [U]mbam-log-[data] (time).txt[/U], например: [I]mbam-log-2013-11-09 (07-32-51).txt[/I]
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. [url=http://data.mbamupdates.com/tools/mbam-rules.exe]Загрузить обновление [B]MBAM[/B].[/URL]
Подробнее читайте в [URL="http://virusinfo.info/showthread.php?t=53070"]руководстве[/URL]
Сделал
Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "[b]Remove Selected[/b]" ("[B]Удалить выделенные[/B]" - [B][COLOR="Red"]смотрите, что удаляете[/COLOR][/B]).
[CODE]
Обнаруженные ключи в реестре: 6
HKCR\CLSID\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.Optional.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.Optional.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.Optional.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\click-n-mark (PUP.Optional.ClickNMark.A) -> Действие не было предпринято.
HKCU\Software\AppDataLow\Software\click-n-mark (PUP.Optional.ClickNMark.A) -> Действие не было предпринято.
HKCU\SOFTWARE\WINXGZ (Trojan.Agent) -> Действие не было предпринято.
Обнаруженные параметры в реестре: 1
HKCU\Software\winxgz|exerunner (Trojan.Agent) -> Параметры: was -> Действие не было предпринято.
Обнаруженные папки: 2
C:\Users\1\AppData\Roaming\archsoft (Trojan.Agent) -> Действие не было предпринято.
C:\Program Files (x86)\s1\s1 (Backdoor.Bot.ooo) -> Действие не было предпринято.
Обнаруженные файлы:
C:\Users\1\AppData\Roaming\Real\Update\UpgradeHelper\RealPlayer\10.40\agent\stub_data\stubinst_pkg_en-eu.cab (PUP.Optional.OpenCandy) -> Действие не было предпринято.
C:\Users\1\AppData\Roaming\archsoft\rubashka.css (Trojan.Agent) -> Действие не было предпринято.
C:\Users\1\AppData\Roaming\archsoft\a.htm (Trojan.Agent) -> Действие не было предпринято.
C:\Users\1\AppData\Roaming\archsoft\dir.png (Trojan.Agent) -> Действие не было предпринято.
C:\Users\1\AppData\Roaming\archsoft\dot.gif (Trojan.Agent) -> Действие не было предпринято.
C:\Users\1\AppData\Roaming\archsoft\foot.png (Trojan.Agent) -> Действие не было предпринято.
C:\Users\1\AppData\Roaming\archsoft\htmlayout.dll (Trojan.Agent) -> Действие не было предпринято.
C:\Users\1\AppData\Roaming\archsoft\logo.png (Trojan.Agent) -> Действие не было предпринято.
C:\Users\1\AppData\Roaming\archsoft\logo2.png (Trojan.Agent) -> Действие не было предпринято.
C:\Users\1\AppData\Roaming\archsoft\logo2m.png (Trojan.Agent) -> Действие не было предпринято.
C:\Users\1\AppData\Roaming\archsoft\sb-h-scroll-next.png (Trojan.Agent) -> Действие не было предпринято.
C:\Users\1\AppData\Roaming\archsoft\sb-h-scroll-prev.png (Trojan.Agent) -> Действие не было предпринято.
C:\Users\1\AppData\Roaming\archsoft\sb-scroll-back.png (Trojan.Agent) -> Действие не было предпринято.
C:\Users\1\AppData\Roaming\archsoft\sb-scroll-base.png (Trojan.Agent) -> Действие не было предпринято.
C:\Users\1\AppData\Roaming\archsoft\sb-scroll-slider.png (Trojan.Agent) -> Действие не было предпринято.
C:\Users\1\AppData\Roaming\archsoft\sb-v-scroll-next.png (Trojan.Agent) -> Действие не было предпринято.
C:\Users\1\AppData\Roaming\archsoft\sb-v-scroll-prev.png (Trojan.Agent) -> Действие не было предпринято.
C:\Users\1\AppData\Roaming\archsoft\scroll.css (Trojan.Agent) -> Действие не было предпринято.
C:\Users\1\AppData\Roaming\archsoft\wfont.ttf (Trojan.Agent) -> Действие не было предпринято.
C:\Users\1\AppData\Roaming\archsoft\xsendexe.tmp (Trojan.Agent) -> Действие не было предпринято.
C:\Users\1\AppData\Roaming\archsoft\_todel.png (Trojan.Agent) -> Действие не было предпринято.
C:\Users\1\AppData\Roaming\archsoft\_todel2.png (Trojan.Agent) -> Действие не было предпринято.
C:\Users\1\AppData\Roaming\archsoft\_todel3.png (Trojan.Agent) -> Действие не было предпринято.
C:\Users\1\AppData\Roaming\archsoft\_todel4.png (Trojan.Agent) -> Действие не было предпринято.
C:\Users\1\AppData\Roaming\archsoft\_todel5.png (Trojan.Agent) -> Действие не было предпринято.
C:\Users\1\AppData\Roaming\archsoft\_todel6.png (Trojan.Agent) -> Действие не было предпринято.
C:\Users\1\AppData\Roaming\archsoft\_todel7.png (Trojan.Agent) -> Действие не было предпринято.
C:\Users\1\AppData\Roaming\archsoft\_todel8.png (Trojan.Agent) -> Действие не было предпринято.
C:\Program Files (x86)\s1\s1\compressor.bat (Backdoor.Bot.ooo) -> Действие не было предпринято.
C:\Program Files (x86)\s1\s1\p.txt (Backdoor.Bot.ooo) -> Действие не было предпринято.
C:\Program Files (x86)\s1\s1\photo.jpg (Backdoor.Bot.ooo) -> Действие не было предпринято.
[/CODE]
После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.
Выполнил
Что с проблемой?
Сделайте новые логи SITLog
Левая реклама в контакте осталась. В остальном вроде всё в порядке.
Эти программы вам знакомы?
[CODE]
08.06.2014 16:56:06 ----D---- C:\ProgramData\Kbrowser utility
08.06.2014 16:56:01 ----D---- C:\Program Files (x86)\Kinoroom Browser
08.06.2014 16:45:04 ----D---- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FlvPlayer
08.06.2014 16:37:57 ----A---- C:\Users\1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Video Converter.lnk
08.06.2014 16:37:57 ----D---- C:\Program Files (x86)\VideoConverter
[/CODE]
[QUOTE]Левая реклама в контакте осталась.[/QUOTE]
Проблема во всех браузерах? В Internet Explorer проблема наблюдается?
программы эти я не ставил. В експлоере проблемы нету, в остальных браузерах есть ( опере, мозиле, хроме)
[list=1][*]Скачайте [url=http://oldtimer.geekstogo.com/OTM.exe]OTM by OldTimer[/url] или с [url=http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/]зеркала[/url] и сохраните на рабочий стол.[*]Запустите [B]OTM by OldTimer[/B] (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B])[*][url=http://virusinfo.info/showthread.php?t=130828]временно выключите антивирус, firewall и другое защитное программное обеспечение[/url]. Выделите и скопируйте текст ниже (Ctrl+C)
[code]
:Processes
:Services
:Files
C:\Program Files (x86)\VideoConverter
C:\Users\1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Video Converter.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FlvPlayer
C:\Program Files (x86)\Kinoroom Browser
C:\ProgramData\Kbrowser utility
:Reg
:Commands
[purity]
[emptytemp]
[Reboot]
[/code][*]В OTM под панелью [b]"Paste Instructions for Items to be Moved"[/b] (под [color=yellow][b]желтой[/b][/color] панелью) вставьте скопированный текст и нажмите кнопку [b]"MoveIt!"[/b]. [*][B][I]Компьютер перезагрузится.[/I][/B][*]После перезагрузки откройте папку [b]"C:\_OTM\MovedFiles"[/b], найдите последний .log файл (лог в формате [b]mmddyyyy_hhmmss.log[/b]), откройте и прикрепите его в следующее сообщение.[/list]
Потом в браузере отключите все расширения и проверьте проблему.
В гугле и опере отключи и реклама пропала, там было дополнение асгугл. В фаирфоксе все отключал не помогло. и этого дополнения не ту.
Сделайте скриншот окна дополнений (расширений) в Firefox.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]