Printable View
Система: Windows 8.1 Прфессиональная, 64-разрядная операционная система, процессор x64.
Проблемы:
1. Появляется реклама в браузерах, иногда открываются рекламные вкладки и страницы в отдельном окне.
2. Не открывается пункт "свойства" в контекстном меню "Этот компьютер" (раньше в др. операционных системах назывался "Мой компьютер").
Уважаемый(ая) [B]allextrim[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Здравствуйте!
Закройте все программы, [URL="http://virusinfo.info/showthread.php?t=130828"][B]временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО[/URL].
[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] (Файл - Выполнить скрипт):
[CODE]
begin
ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
QuarantineFile('D:\ProgramData\rvlkl\rvlkl.exe','');
QuarantineFile('C:\Users\allextrim\AppData\Roaming\newSI_23\s_inst.exe','');
QuarantineFile('C:\Users\allextrim\AppData\Roaming\newSI_1\s_inst.exe','');
QuarantineFile('C:\Users\allextrim\AppData\Local\Yandex\YandexBrowser\Application\browser.url','');
QuarantineFile('C:\Program Files (x86)\Internet Explorer\iexplore.url','');
DeleteFile('C:\Program Files (x86)\Internet Explorer\iexplore.url','32');
DeleteFile('C:\Users\allextrim\AppData\Local\Yandex\YandexBrowser\Application\browser.url','32');
DeleteFile('C:\Users\allextrim\AppData\Roaming\newSI_1\s_inst.exe','32');
DeleteFile('C:\WINDOWS\Tasks\newSI_1.job','64');
DeleteFile('C:\WINDOWS\Tasks\newSI_23.job','64');
DeleteFile('C:\Users\allextrim\AppData\Roaming\newSI_23\s_inst.exe','32');
DeleteFile('C:\WINDOWS\system32\Tasks\newSI_1','64');
DeleteFile('C:\WINDOWS\system32\Tasks\newSI_23','64');
DeleteFileMask('C:\Users\allextrim\AppData\Roaming\newSI_23', '*', true, ' ');
DeleteFileMask('C:\Users\allextrim\AppData\Roaming\newSI_1', '*', true, ' ');
DeleteDirectory('C:\Users\allextrim\AppData\Roaming\newSI_23');
DeleteDirectory('C:\Users\allextrim\AppData\Roaming\newSI_1');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(false);
end.
[/CODE]
[B]Внимание![/B] Будет выполнена перезагрузка компьютера. После перезагрузки компьютера [URL="http://virusinfo.info/showthread.php?t=7239"]выполните скрипт[/URL] в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Пришлите карантин согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы
[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] следующие строчки в HiJackThis если они у вас есть.
[CODE]
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
[/CODE]
Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])
[LIST][*]Скачайте [B][URL="http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner"]AdwCleaner (by Xplode)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[R0].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению.[/LIST]
Подробнее читайте в [URL="http://virusinfo.info/showthread.php?t=146192"]этом руководстве[/URL].
Всё сделал по инструкции.
Нашлись обе строки:
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
Пофиксил.
quarantine.zip прислать не смог т. к. страница выдала следующее:
"Результат загрузки
Ошибка загрузки. Данный файл уже был загружен", хотя я ничего не отсылал и внизу реклама forex.
[ATTACH=CONFIG]481764[/ATTACH]
Реклама какая-то пропала, какая-то - нет, новые вкладки с рекламой заработка и игр открываются всё равно.
Вот дополнительные три файла + quarantine.zip
[LIST=1][*]Скачайте [url=http://virusinfo.info/soft/tool.php?tool=SITLog]SITLog[/url] и сохраните архив с утилитой на [b]Рабочем столе[/b][*]Распакуйте архив с утилитой в отдельную папку[*]Запустите [b]sitlog.exe[/b][INDENT][SIZE="1"][B]Обратите внимание[/B], что утилиты необходимо запускать от имени Администратора. По умолчанию в [b]Windows XP[/b] так и есть. В [b]Windows Vista[/b] и [b]Windows 7[/b] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [b]Запуск от имени Администратора[/b], при необходимости укажите пароль администратора и нажмите [b]Да[/b][/SIZE][/INDENT][*]В главном окне программы выберите проверку за последние три месяца и нажмите [B]"Старт"[/B][*]По окончанию работы программы в папке [b]LOG[/b] должны появиться два отчета [B]SITLog.txt[/B] и [B]SITLog_Info.txt[/B][*]Прикрепите эти отчеты в вашей теме.[/LIST]
Результаты работы программы SITLog.
Что в этих папках находится?
[CODE]
27.05.2014 22:28:53 ----D---- C:\ProgramData\TopApp soft
27.05.2014 22:28:34 ----D---- C:\ProgramData\cca86051a48f6f56
[/CODE]
Проблема во всех браузерах? В Internet Explorer наблюдается проблема?
27.05.2014 22:28:53 ----D---- C:\ProgramData\TopApp soft
пустая папка Setup
27.05.2014 22:28:34 ----D---- C:\ProgramData\cca86051a48f6f56
четыре файла, три без расширения, один с расширением .old:
{681002C6-5019-81A2-7871-A43754F71E56} 1,9 Кб 28.05.2014 23:13 -a--
{681002C6-5019-81A2-7871-A43754F71E56}.old 5,4 Кб 28.05.2014 23:13 -a--
{4820778D-AB0D-6D18-C316-52A6A0E1D507} 110,9 Кб 27.05.2014 22:28 -a--
{AD11DADE-C597-45D9-D8C5-1D2EB0B89613} 90,9 Кб 27.05.2014 22:28 -a--
Вот запороленный архив с этими файлами. Пароль "virus"
Я не пользуюсь Internet Explorer. Похоже в нём нет рекламы.
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
Извините, есть ли возможность подключится к моей машине по TeamViewer или Ammyy Admin?
Возможно так Вам будет проще.
[QUOTE]есть ли возможность подключится к моей машине по TeamViewer или Ammyy Admin?[/QUOTE]
Я не буду подключаться удаленно к вашему компьютеру.
Папки удаляйте. В хроме отключите все расширения и проверьте проблему.
Спасибо.
Я хромом не пользуюсь. Папки удалил - результат тот же.
Расширения в браузере отключите. Проверьте проблему.
Я там все подозрительное давно не только отключил, но и удалил.
Проблему решил. Может больше не появиться.
Принудительно удалил 5 или 6 файлов по адресу C:\Users\allextrim\AppData\Roaming\Mozilla\Firefox\Profiles\wzx8fqqo.default\
файлы все по названию были такие prefs.js и prefs.js* (цифры, похожие на дату в длинном формате).
Спасибо за помощь!
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
Но иногда при клике по открытой странице открывается несанкционированная вкладка. Буду бороться.
В каких браузерах сейчас наблюдается проблема?
В Firefox. Но реклама пропала, иногда при клике по открытой странице открывается либо не запрашиваемая страница в отдельном окне или во вкладке с рекламно-информационным содержанием.
Тему можно пометить решенной?
[LIST][*]Загрузите [B]SecurityCheck by glax24[/B] [URL="http://virusinfo.info/soft/tool.php?tool=SecurityCheck"]отсюда[/URL] и сохраните утилиту на [I]Рабочем столе[/I][*]Запустите двойным щелчком мыши (если Вы используете [I]Windows XP[/I]) или из меню по щелчку правой кнопки мыши [I]Запустить от имени администратора[/I] (если Вы используете [I]Windows Vista/7[/I])[*]Если увидите [U]предупреждение от вашего фаервола[/U] относительно программы SecurityCheck, не блокируйте ее работу.[*]Дождитесь окончания сканирования, откроется лог в блокноте с именем [B]SecurityCheck.txt[/B];[*]Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем [I]SecurityCheck[/I], например [I][COLOR="Blue"]C:\SecurityCheck\SecurityCheck.txt[/COLOR][/I][*][/LIST]
Снова появилась реклама, где была раньше. Например; появилась на странице в отдельном окне там, где прикрепляю файл к этому сообщению (правый нижний угол, как было раньше). Т.е. проблема не решена.
Вот первый скрин:
[ATTACH=CONFIG]482013[/ATTACH]
Вот второй, при нажатии на кнопку "Вложение" панели управления в отправке "Ваше сообщение" в расширенном режиме (в браузере firefox открылась не запрпшиваемая пустая вкладка):
[ATTACH=CONFIG]482015[/ATTACH]
[url=http://virusinfo.info/showthread.php?t=121767][b]Сделайте полный образ автозапуска uVS[/b][/url] только программу скачайте [url=http://yadi.sk/d/3KwxKzRHJMq4U]отсюда[/url]
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
[QUOTE]Java(TM) 6 Update 13 v.6.0.130 [color=red][b]Внимание! [url=http://www.oracle.com/technetwork/java/javase/downloads/jre8-downloads-2133155.html]Скачать обновления[/url][/b][/color]
[color=blue][b]^Удалите старую версию и установите новую (jre-8u5-windows-i586.exe)^[/b][/color]
Java 7 Update 55 v.7.0.550 [color=red][b]Внимание! [url=http://www.oracle.com/technetwork/java/javase/downloads/jre8-downloads-2133155.html]Скачать обновления[/url][/b][/color]
[color=blue][b]^Скачайте jre-8u5-windows-i586.exe^[/b][/color]
Java Auto Updater v.2.1.9.8[/QUOTE]
удалите старую Java и если она нужна скачайте и установите новую.
+ QuickTime v.7.74.80.86 [color=red][b]Внимание! [url=http://www.apple.com/ru/quicktime/download/]Скачать обновления[/url][/b][/color]
При повторном открытии этой ссылки дважды открывается разное содержимое.
Первое: вышел на страницу рекламы работы job.ru
Второе: вышел на страницу рекламы быстрого заработка mybinarysystem.com
Скрины приложить не могу т. к. использовал лимит на форуме:
"screenshot03.jpg: 68.6 Кб превысил(а) предел на форуме. <a href="misc.php?do=attachments" target="_blank">Нажмите здесь для просмотра ваших вложений</a>"
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
Не могу отправить файл т. к. исчерпан лимит на размер прикрепленных файлов. Как решить?
образ автозапуска загрузите сюда и дайте ссылку на скачивание [url]http://rghost.ru/[/url]
[url]http://rghost.ru/56658438[/url]
[url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS[/url]
[CODE];uVS v3.82.8 [http://dsrt.dyndns.org]
;Target OS: NTv6.2
delref %SystemDrive%\USERS\ALLEXTRIM\APPDATA\LOCAL\YANDEX\UPDATER\YUPDATE-CTRL.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\ELEMENTS\BARTABHOST.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\ELEMENTS\BARTAB64HOST.DLL
delref %SystemDrive%\USERS\ALLEXTRIM\APPDATA\LOCAL\YANDEX\UPDATER2\BROWSERMANAGERSHOW.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\FASTDIAL\FASTDIAL64HOST.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\FASTDIAL\FASTDIALHOST.DLL
delref HTTP://WWW.YANDEX.RU/?CLID=1917058
delref HTTP://WWW.YANDEX.RU/?WIN=128&CLID=2121023
regt 27
deltmp
restart[/CODE]
проверьте, что с проблемой?
Всё старое обновил и поставил новое (Java и Quicktime).
[QUOTE=regist;1132028][url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS[/url]
проверьте, что с проблемой?[/QUOTE]
скрипт выполнили? Что с проблемой?
Скрипт выполнил, но ZOO не появилось, есть только текстовой лог - 2014-06-30_21-19-36_log.txt. Вот ссылка на архив с ним (пароль "virus"):
[url]http://rghost.ru/56661842[/url]
Рекламы пока нет, а вкладки рекламные открываются, например по нажатию кнопки "Ответ" на этом форуме.
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
Всё, и реклама там же попёрла, извините за сленг.
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
Может что-нибудь более радикальное применить, ну если только без переустановки системы, уж больно много настроенных программ.
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
Ещё жестче стали появляться вкладки, например; при переходе с вкладки на вкладку возникает другая не санкционированная вкладка мимикрирующая под вкладку обновления Mozilla Firefox, при попытке закрыть её появляется модальное диалоговое окно "Уйти со страницы?" с кнопками "да" и "нет", при нажатии "да" окно пропадает, но как только подводишь курсор к "крестику" закрытия вкладки, то оно вновь появляется. Это легко обойти (подвести заранее курсор к "крестику" закрытия вкладки, затем нажать "escape" - окно пропадает, следом "крестик" закрытия), но как это достало уже. Где же так можно заразиться?
[URL="http://www.opera-usb.com/ru/"]скачайте отсюда Оперу[/URL] и проверьте проблему в ней.
Раньше очень любил Оперу. Скачал - поставил - 10 мин. - полёт нормальный. Далее отпишусь.
Что же в Firefoxe так сильно засело?!
Попробовать деинсталировать firefox, потом удалить все системные папки firefox и переустановить? Закладки сохраню в Mozilla Backup. Попробовать?
[quote="allextrim;1132103"]Попробовать деинсталировать firefox, потом удалить все системные папки firefox и переустановить? Закладки сохраню в Mozilla Backup. Попробовать?[/quote]
да, при удаление удаляйте вместе с профилем.
Да, я в курсе. Спасибо.