Браузеры перебрасывают на Yamdex [not-a-virus:RiskTool.Win32.CloseApp.s ]

Printable View

11.09.2014, 12:20
Вит35

Браузеры перебрасывают на Yamdex [not-a-virus:RiskTool.Win32.CloseApp.s ]

Здравствуйте! Все три браузера установленные на компютере перебрасывают на сайт Yamdex, а так же появилась папка на C:\ProgramData\Schedule\timetasks.exe Автозапуск данного файла отключил, но удаление его произвести не получается
11.09.2014, 12:21
Info_bot

Уважаемый(ая) [B]Вит35[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
11.09.2014, 13:07
mike 1

Эту C:\ProgramData\Program status\scheck.exe программу тоже сами себе не устанавливали?

[LIST=1][*]Скачайте [B][URL="https://yadi.sk/d/6A65LkI1WEuqC"]Universal Virus Sniffer[/URL][/B] (uVS)[*]Извлеките uVS из [I]архива[/I] или из [I]zip-папки[/I]. Откройте папку с UVS и запустите файл [B]start.exe[/B]. В открывшимся окне выберите пункт [B]"Запустить под текущим пользователем"[/B].[*]Выберите меню [B]"Файл"[/B] => [B]"Сохранить полный образ автозапуска"[/B]. Программа предложит вам указать место сохранения лога в формате [B]"имя_компьютера_дата_сканирования"[/B]. Лог необходимо сохранить на рабочем столе.
[INDENT][SIZE="1"][B]!!!Внимание.[/B] Если у вас установлены архиваторы [B]WinRAR[/B] или [B]7-Zip[/B], то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.[/SIZE][/INDENT][*]Дождитесь окончания работы программы и прикрепите лог к посту в теме.
[INDENT][SIZE="1"][B]!!! Обратите внимание[/B], что утилиты необходимо запускать от имени Администратора. По умолчанию в [B]Windows XP[/B] так и есть. В [B]Windows Vista[/B] и [B]Windows 7[/B] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [B]Запуск от имени Администратора[/B], при необходимости укажите пароль администратора и нажмите [B]"Да"[/B].[/SIZE][/INDENT][*][/LIST]
11.09.2014, 14:10
Вит35

[QUOTE=mike 1;1158224]Эту C:\ProgramData\Program status\scheck.exe программу тоже сами себе не устанавливали?[/QUOTE]
Возможно был установлен ( скачен с сайта, или занесён другим способом) одним " младшим специалистом" утверждать обратное не буду!
11.09.2014, 14:24
mike 1

[LIST=1][*]Закройте все программы, [URL="http://virusinfo.info/showthread.php?t=130828"][B]временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО[/URL].[*]Откройте папку с распакованной утилитой [B]uVS[/B] и запустите файл [B]start.exe[/B]. В открывшимся окне выберите пункт "[B]Запустить под текущим пользователем[/B]".[*]Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
[CODE]
;uVS v3.83 BETA 31 [http://dsrt.dyndns.org]
;Target OS: NTv5.1

OFFSGNSAVE
breg

delref HTTP://YAMBLER.NET/?IM
delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&IMSID=E5DFA40F7102CFE82E03E58F2B5FB432&TEXT={SEARCHTERMS}
delall %SystemDrive%\DOCUME~1\ADMIN\APPLIC~1\SEARCHYA\UPDATE~1\UPDATE~1.EXE
zoo %SystemDrive%\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.URL
del %SystemDrive%\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.URL
addsgn 1A0A639A5583C58CF42B254E3143FE84C9A2FFF6895927E4C5C34CB1644A314CAA02F3CB7E551454071CC49FCF2361663DDF614F7146F02C4BFBB17F5B462215 8 Tool.CloseApp.11 [DrWeb]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\CLOSER.EXE
bl 2B42CAD90E73705E9BAB5268468E61C2 33280
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\CLOSER.EXE
exec C:\Program Files\SimilarSites\uninstall.exe
exec "C:\Program Files\smwdgt\unins000.exe"
exec "C:\ProgramData\Schedule\uninstall.exe"
exec "C:\ProgramData\Program status\uninstall.exe"
exec C:\Program Files\DolkaRuIePlugin\uninst.exe
regt 28
regt 29
deltmp
chklst
delvir

czoo
restart
[/CODE][*]В [B]uVS[/B] выберите пункт меню "[B]Скрипт[/B]" => "[B]Выполнить скрипт находящийся в буфере обмена...[/B]"[*]Нажмите на кнопку "[B]Выполнить[/B]" и дождитесь окончания работы программы. На удаление программ соглашайтесь. Прошу учесть, что компьютер [B][COLOR="Red"]может быть перезагружен[/COLOR][/B].[*]После выполнения скрипта в папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "[b]Прислать запрошенный карантин[/b]" над над первым сообщением в теме.[/LIST]

Скачайте [url="http://data-cdn.mbamupdates.com/v0/program/data/mbam-setup-2.0.2.1012.exe"]Malwarebytes' Anti-Malware[/url]. Установите (во время установки откажитесь от использования [B]бесплатного тестового периода[/B]), обновите базы, выберите "[b]Custom Scan[/b]" ("[B]Пользовательское сканирование[/B]"), нажмите "[b]Scan Now[/b]" ("[B]Сканировать сейчас[/B]"), отметьте все диски. В выпадающих списках PUP и PUM выберите "[b]Warn user about detections[/b]" ("[B]Предупредить пользователя об обнаружении[/B]"). Нажмите нажмите "[b]Start Scan[/b]" ("[B]Запуск проверки[/B]"). После сканирования нажмите [b]Export Log[/b], сохраните лог в формате txt и прикрепите его к следующему посту.
[B][COLOR="Red"]Самостоятельно ничего не удаляйте!!![/COLOR][/B]
Если лог не открылся, то найти его можно в следующей папке:
[CODE]%appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs[/CODE]
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. [url=http://data.mbamupdates.com/tools/mbam-rules.exe]Загрузить обновление [B]MBAM[/B][/URL].
11.09.2014, 17:20
Вит35

Архив ZOO самостоятельно не создался, появилась папка ZOO которую за архивировал самостоятельно, незнаю точно оно ли это?

Malwarebytes' Anti-Malware просканировал. Лог в тхт формате не создался, переводил из хмl самостоятельно
11.09.2014, 18:04
mike 1

А из журнала MBAM не получается его перевести в txt формат?
11.09.2014, 18:11
Вит35

Так из журнала я его и брал: [B][B]История- Журнал приложения[/B][/B]
В самой программе при выбора формата тхт выбивает ошибку и действий не производит ни каких
11.09.2014, 18:24
mike 1

Поместите в карантин в MBAM все, [B][COLOR="#0000FF"]кроме[/COLOR][/B]:

[CODE]
<data><path>HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER</path><valuename>AntiVirusDisableNotify</valuename><vendor>PUM.Disabled.SecurityCenter</vendor><action></action><valuedata>1</valuedata><baddata>1</baddata><gooddata>0</gooddata><hash>95c93eae85f692a43d97e0134eb612ee</hash></data>
<data><path>HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER</path><valuename>FirewallDisableNotify</valuename><vendor>PUM.Disabled.SecurityCenter</vendor><action></action><valuedata>1</valuedata><baddata>1</baddata><gooddata>0</gooddata><hash>77e700ece09bbd79a5309c5715ef4cb4</hash></data>
<data><path>HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER</path><valuename>UpdatesDisableNotify</valuename><vendor>PUM.Disabled.SecurityCenter</vendor><action></action><valuedata>1</valuedata><baddata>1</baddata><gooddata>0</gooddata><hash>61fdea0288f3c17584520ae9fd07629e</hash></data>

<file><path>C:\Program Files\The Bat!\Keygen.exe</path><vendor>Trojan.Agent.CK</vendor><action></action><hash>4c1233b9e299bf7720004ebcd131a15f</hash></file>
<file><path>C:\Program Files\Adobe\install_flashplayer11x32_mssa_aaa_aih.exe</path><vendor>PUP.Optional.LoadMoney</vendor><action></action><hash>d88698541764f24400594108e71a31cf</hash></file>
<file><path>E:\Телефон Nokia 3110C\піар4ик\VkBot.exe</path><vendor>RiskWare.Tool.Vkbot</vendor><action></action><hash>4f0f5e8e83f84cea1f4d33da689d06fa</hash></file>
<file><path>E:\Телефон Nokia 3110C\піар4ик\пиар 2\VkBot.exe</path><vendor>RiskWare.Tool.Vkbot</vendor><action></action><hash>69f5cc205f1c71c5a0ccf5185baa31cf</hash></file>
[/CODE]
11.09.2014, 18:36
Вит35

Прошу прощения, но как это сделать в реалии? Просканировать повторно и в найденом всё переместить в карантин, кроме указанного Вами?
11.09.2014, 18:54
mike 1

[QUOTE=Вит35;1158382]Просканировать повторно и в найденом всё переместить в карантин, кроме указанного Вами?[/QUOTE]
Да.
11.09.2014, 19:56
Вит35

Файлы которые Malwarebytes Anti-Malware определил как зараженные, переместил в карантин ( кроме тех что были указанны Вами). Удалять их из карантина? Что делать дальше?
11.09.2014, 20:11
mike 1

А что с проблемой?
11.09.2014, 20:56
Вит35

Ещё не пробывал! Щас проверю, напишу

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Всё тоже самое и C:\ProgramData\Schedule\timetasks.exe тоже на месте!

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Ничего не изменилось, комп стал немного быстрее, а в остальном всё тоже. Вирус остался!
11.09.2014, 23:09
mike 1

[LIST=1][*]Скачайте [url=http://virusinfo.info/soft/tool.php?tool=SITLog]SITLog[/url] и сохраните архив с утилитой на [b]Рабочем столе[/b][*]Распакуйте архив с утилитой в отдельную папку[*]Запустите [b]sitlog.exe[/b][INDENT][SIZE="1"][B]Обратите внимание[/B], что утилиты необходимо запускать от имени Администратора. По умолчанию в [b]Windows XP[/b] так и есть. В [b]Windows Vista[/b] и [b]Windows 7[/b] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [b]Запуск от имени Администратора[/b], при необходимости укажите пароль администратора и нажмите [b]Да[/b][/SIZE][/INDENT][*]В главном окне программы выберите проверку за последние три месяца и нажмите [B]"Старт"[/B][*]По окончанию работы программы в папке [b]LOG[/b] должны появиться два отчета [B]SITLog.txt[/B] и [B]SITLog_Info.txt[/B][*]Прикрепите эти отчеты в вашей теме.[/LIST]
12.09.2014, 09:59
Вит35

Сделанно при отключеном "касперском"
12.09.2014, 12:31
mike 1

[URL="http://virusinfo.info/showthread.php?t=165835"]Пофиксите[/URL] следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

[CODE]
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=e5dfa40f7102cfe82e03e58f2b5fb432&text=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=e5dfa40f7102cfe82e03e58f2b5fb432&text=
R3 - URLSearchHook: (no name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - (no file)
O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
O3 - Toolbar: (no name) - {FF284F5C-7CF9-4682-8701-D467C1DBB99F} - (no file)
O3 - Toolbar: (no name) - {FE69C007-C452-4d3e-86D2-1730DF8BC871} - (no file)
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O13 - DefaultPrefix: http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=e5dfa40f7102cfe82e03e58f2b5fb432&text=
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} -
[/CODE]

Что в этой папке находится?

[QUOTE]C:\Documents and Settings\Admin\Application Data\cload2[/QUOTE]

[QUOTE]
Kaspersky Internet Security 2011 [11.0.2.556] ---> MsiExec.exe /I{66F1F013-008F-4875-B283-5A814B820347} - []
[/QUOTE]
Обновите до актуальной версии.
12.09.2014, 16:41
Вит35

Прфиксил.
C:\Documents and Settings\Admin\Application Data\cload2 - Это наверное и есть эта зараза. в середине три файла с расширением.dat
C:\Documents and Settings\All User\[] - папка пустая, но навернека пречастна к прблеме.
12.09.2014, 16:45
mike 1

[QUOTE]C:\Documents and Settings\Admin\Application Data\cload2[/QUOTE]
Удаляйте тогда эту папку. Если проблема с рекламой еще наблюдается в браузере отключите все расширения и проверьте проблему.
12.09.2014, 17:22
Вит35

C:\Documents and Settings\Admin\Application Data\cload2 - Удалилась!
C:\Documents and Settings\All User\[] - Не удаляется

Проверил, в принципе работает всё нормально, на сайт " Yamdex" не перебрасывает, но есть некоторые проблеммы с активацией на сайтах.
Большое спасибо! Тему можно закрыть.
12.09.2014, 18:03
mike 1

Деинсталлируйте MBAM.

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL] в AVZ при наличии доступа в интернет:

[CODE]
var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
[/CODE]

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

[url=http://virusinfo.info/showthread.php?t=121902]Советы и рекомендации после лечения компьютера[/url]
12.09.2014, 18:13
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \zoo\closer.exe._93621633baada99e030f6a440e87b1acb66125f7 - [B]not-a-virus:RiskTool.Win32.CloseApp.s[/B] ( DrWEB: Tool.CloseApp.11, AVAST4: Win32:Malware-gen )[/LIST][/LIST]