Китайский вирус Baidu

[regist]

И вот эти вирусы, которые обнаружил SpyHunter.

Где именно он их нашёл можете написать?

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

[WebDeveloper]

Все выполнил.

[regist]

SpyHunter4_20141230_011047.log
(191.2 Кб, 0 просмотров)

как смотреть этот лог я не знаю. Для меня там какая-то абракаадабра. Если можете скажите, как по этому логу узнать что и где он у вас нашёл?

- - - - -Добавлено - - - - -

AlterGeo Magic Scanner и MBAM - деинсталируйте.Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.

Код:

start
start
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
URLSearchHook: [S-1-5-21-1386350983-3281516047-4223706411-1000] ATTENTION ==> Default URLSearchHook is missing.
BHO-x32: AlterGeoBHO Class -> {9BFBA68E-E21B-458E-AE12-FE85E903D2C1} -> C:\Program Files (x86)\AlterGeo\AlterGeo Magic Scanner\3.3.2.779\AlterGeo.BrowserPlugin.dll No File
Toolbar: HKLM - No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
Toolbar: HKU\S-1-5-21-1386350983-3281516047-4223706411-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
EmptyTemp:
Reboot:
end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.


Переустановите браузере с удалением пользовательских настроек и после этого проверьте снова проблему.

+ скачайте отсюда Оперу и проверьте проблему в ней.

[WebDeveloper]

Ничего не изменилось Все по-прежнему.

[regist]

+ скачайте отсюда Оперу и проверьте проблему в ней.

???

[WebDeveloper]

Я скачал. Там тоже реклама.
Скажите, может вручную удалить все инфекции, которые обнаружил SpyHunter?
Еще, я посмотрел путь всех инфекций, они все находятся в HKLM и HKCR.

И ещё раз дополню. Почитал, что taskmgr.exe(вирус имеется ввиду) может грузить систему и качать трафик. Находиться он у меня в: HKLM\software\microsoft\windows nt\currentversion\image file execution options\taskmgr.exe

[regist]

они все находятся в HKLM и HKCR.

там и всё остальное находится. Это примерно тоже самое, что просказать, что находится у вас в компе.

Почитал, что taskmgr.exe(вирус имеется ввиду) может грузить систему и качать трафик. Находиться он у меня в: HKLM\software\microsoft\windows nt\currentversion\image file execution options\taskmgr.exe

не трогайте легал.

Я скачал. Там тоже реклама.

Интернет через роутер? К нему другие устройства подключены?

- - - - -Добавлено - - - - -

Скачайте утилиту MiniToolBox и сохраните на рабочем столе.
Запустите, отметьте следующие пункты:

• Список настроек прокси Internet Explorer
• Список настроек прокси Firefox
• Список из файла Hosts
• Список настроек IP
• Список настроек Winsock
• Список последних 10 записей журнала событий
• Список установленных программ
• Только проблемных

и нажмите Старт.

После завершения сбора информации откроется отчет Result.txt, прикрепите его к своему сообщению. Если вы закрыли отчет утилиты, он будет находиться в той же папке, откуда была запущена утилита.

[WebDeveloper]

Интернет через модем.

[regist]

К нему другие устройства подключены?

??
Проблема на всех сайтах? Скриншот можно?

[WebDeveloper]

Вложение 520655Вложение 520656
Реклама не на всех сайтах. Другие устройства кроме модема и мышки не подключены.

[regist]

Реклама не на всех сайтах.

у меня на этих сайтах в этих же местах такая же реклама. Это реклама самого сайта, либо пишите админу сайта, либо настраивайте блокировку рекламы.

Вирусов у вас нет.

- - - - -Добавлено - - - - -

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Советы и рекомендации после лечения компьютера

- - - - -Добавлено - - - - -

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Советы и рекомендации после лечения компьютера

[WebDeveloper]

Хм, а что тогда с трафиком? в чем проблема может быть?
Потому что, трафик начал несоразмерно расходоваться после выполнения одного из скриптов ( в AVZ кажется ).
Для прогрузки одного сайта расходуется от 1мб.

Кстати, если что, просто прикреплю скрин скана в SpyHunter (правда толку не будет, но все же).
Вложение 520657

[regist]

Хм, а что тогда с трафиком? в чем проблема может быть?

Выполните загрузку в безопасном режиме. Если проблема не наблюдается, причина кроется в сторонней службе или программе. В этом случае выполните следующие действия.
Пуск - Поиск / Выполнить - msconfig - ОК и перейдите на вкладку Службы. Установите флажок Не отображать службы Microsoft.
Отключите все отображенные службы (имеются в виду только не принадлежащие Microsoft) и перезагрузитесь. Если проблема не появляется, причина в одной из этих служб.

Далее действуйте методом "половинного деления". Включите половину служб и снова перезагрузитесь. Если проблема не появляется, причина в оставшихся отключенных службах. Если проблема воспроизводится, причина во включенных службах - отключите половину из них и снова перезагрузитесь. Действуя таким образом, вы сможете выявить службу, являющуюся причиной проблемы, и определить программу, которой она принадлежит.
Аналогичным образом можно поступить на вкладке Автозагрузка.
Здесь тоже не следует отключать пункты, производителем которых является Microsoft. Отключение программ других производителей может привести к неправильной работе устройств в том случае, если вы отключите их драйверы. Поэтому программы производителей вашего аппаратного обеспечения (например, Intel) лучше не отключать, либо отключать в самую последнюю очередь.

Далее можно порекомендовать лишь обновление программы до последней версии или ее удаление.

Подробнее об этой диагностике читайте здесь.

[WebDeveloper]

Мониторил в Process Hacker, самое больше потребляет svchost.exe и csrss.exe . И находятся они в C:\windows\system32
А так все перепробовал, ничего не помогает.

[regist]

svchost.exe и csrss.exe . И находятся они в C:\windows\system32

это легальные процессы.

Повторюсь вирусов у вас нет. А остальными программами если хотите разобраться совет в предыдущем посте.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 5
• Обработано файлов: 138
• В ходе лечения вредоносные программы в карантинах не обнаружены