Здравствуйте!
При работе с браузерами на всех сайтах при любом клике стали открываться новые вкладки. Вроде бы это всегда сайт tvigle.ru
Пользуемся IE, хромом и оперой.
ПК проверили Dr.Web и AVPTool, проблема осталась.
Пожалуйста, помогите
Здравствуйте!
При работе с браузерами на всех сайтах при любом клике стали открываться новые вкладки. Вроде бы это всегда сайт tvigle.ru
Пользуемся IE, хромом и оперой.
ПК проверили Dr.Web и AVPTool, проблема осталась.
Пожалуйста, помогите
Уважаемый(ая) off-top, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ (как выполнить):
Выполните скрипт в AVZ отсюда:Код:begin ClearHostsFile; end.
http://dataforce.ru/~kad/ScanVuln.txt
Файл avz_log.txt из папки AVZ\LOG приложите в теме.
Пройдите по всем ссылкам (http:...) в avz_log.txt и установите указанные там обновления.
Выполните еще раз скрипт в http://dataforce.ru/~kad/ScanVuln.txt и убедитесь, что обновления установились.
Сделайте заново лог virusinfo_syscheck.zip (пункт 2 раздела "Диагностика" правил) и приложите в теме.
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
Сделано.
AVZ запускали от имени администратора, как по ссылке в скобках?
Если нет, попробуйте еще раз этот же скрипт от имени администратора и сделайте повторный лог.
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
Вроде да.. но на всякий случай сделали еще раз.
А, и обратили внимание, что не только на тот сайт ведут рекламные ссылки, который указали в первом топике, на другие тоже. Не знаю, важно ли это..
HijackThis запустите от имени администратора.
Пофиксите в HijackThis (как пофиксить):
Перезагрузите компьютер.Код:O1 - Hosts: 217.73.57.92 userapi.com O1 - Hosts: 217.73.57.92 st0.userapi.com O1 - Hosts: 217.73.57.92 st1.userapi.com O1 - Hosts: 217.73.57.92 st2.userapi.com O1 - Hosts: 217.73.57.92 st3.userapi.com O1 - Hosts: 217.73.57.92 st4.userapi.com O1 - Hosts: 217.73.57.92 st5.userapi.com O1 - Hosts: 217.73.57.92 st6.userapi.com O1 - Hosts: 217.73.57.92 st7.userapi.com O1 - Hosts: 217.73.57.92 st8.userapi.com O1 - Hosts: 217.73.57.92 st9.userapi.com O1 - Hosts: 217.73.57.92 stg.odnoklassniki.ru O1 - Hosts: 217.73.57.92 img0.imgsmail.ru O1 - Hosts: 217.73.57.92 img1.imgsmail.ru O1 - Hosts: 217.73.57.92 img2.imgsmail.ru O1 - Hosts: 217.73.57.92 img3.imgsmail.ru O1 - Hosts: 217.73.57.92 img4.imgsmail.ru O1 - Hosts: 217.73.57.92 img5.imgsmail.ru O1 - Hosts: 217.73.57.92 img6.imgsmail.ru O1 - Hosts: 217.73.57.92 img7.imgsmail.ru O1 - Hosts: 217.73.57.92 img8.imgsmail.ru O1 - Hosts: 217.73.57.92 img9.imgsmail.ru
Сделайте заново лог HijackThis (пункт 3 раздела "Диагностика" правил) и приложите в теме.
При подключенном интернете выполните скрипт в AVZ (как выполнить):
Скрипт будет выполняться несколько минут (обычно не больше 10), по окончании появится окно с сообщением о успешном выполнении скрипта.Код:begin ClearQuarantine; ExecuteAVUpdate; ExecuteStdScr(4); end.
После этого в папке AVZ\LOG появится файл вида virusinfo_files_<имя вашего компьютера>.zip.
Загрузите этот файл по этой ссылке:
http://virusinfo.info/upload_clean.php
По окончании загрузки скопируйте информацию о загрузке и вставьте ее в ваше следующее сообщение.
Сделайте лог MiniToolBox:
http://virusinfo.info/showthread.php...877#post902877
и приложите в теме.
Эти настройки DNS ваши?
Код:O17 - HKLM\System\CCS\Services\Tcpip\..\{150619CF-0AD1-450D-AD89-9FC0C8F2219C}: NameServer = 85.21.192.5 213.234.192.7
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
Результат загрузки
Файл сохранён как 120909_195730_virusinfo_files_ADMIN-HP_504cf4aa7303f.zip
Размер файла 9476566
MD5 420f3e398d69241799bb01923a326982
Настройки DNS наши, да.
C:\Program Files (x86)\Incredibar.com устанавливали? Если нет то удалите через установку/удаление программ.
- Сделайте лог полного сканирования MBAM.
Incredibar удалили, комп просканировли.
Программа Вам известна? C:\Program Files (x86)\Premiumplay Codec-C
Нет, вроде эту программу не знаю.
Удалите через установку/удаление программ.
- Выполните в АВЗ:
Компьютер перезагрузитсяКод:begin QuarantineFile('C:\Users\admin\0.12562956292990102.exe',''); DeleteFile('C:\Users\admin\0.12562956292990102.exe'); QuarantineFile('C:\Users\admin\AppData\Roaming\oemfpc.dat',''); DeleteFile('C:\Users\admin\AppData\Roaming\oemfpc.dat'); DeleteFileMask('C:\Program Files (x86)\Premiumplay Codec-C','*',true); DeleteDirectory('C:\Program Files (x86)\Premiumplay Codec-C'); RegKeyDel('HKEY_CLASSES_ROOT','CLSID\{11111111-1111-1111-1111-110011041135}'); RegKeyDel('HKEY_CLASSES_ROOT','TypeLib\{44444444-4444-4444-4444-440044044435}'); RegKeyDel('HKEY_CLASSES_ROOT','Interface\{55555555-5555-5555-5555-550055045535}'); RegKeyDel('HKEY_CLASSES_ROOT','CrossriderApp0000435.BHO.1'); RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{11111111-1111-1111-1111-110011041135}'); RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110011041135}'); RegKeyDel('HKEY_CURRENT_USER','SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{11111111-1111-1111-1111-110011041135}'); RegKeyDel('HKEY_CURRENT_USER','SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{11111111-1111-1111-1111-110011041135}'); RegKeyDel('HKEY_CLASSES_ROOT','CrossriderApp0000435.BHO'); RegKeyDel('HKEY_CLASSES_ROOT','CrossriderApp0000435.FBApi'); RegKeyDel('HKEY_CLASSES_ROOT','CrossriderApp0000435.FBApi.1'); RegKeyDel('HKEY_CLASSES_ROOT','CrossriderApp0000435.Sandbox'); RegKeyDel('HKEY_CLASSES_ROOT','CCrossriderApp0000435.Sandbox.1'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После перезагрузки:
- Выполните в АВЗ:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Повторите логи АВЗ.
- Сделайте лог RSIT.
Результат загрузки
Файл сохранён как 120910_135820_quarantine_504df1fc3ef67.zip
Размер файла 25893
MD5 de469d15cc8bed83e7efc55c8102d0a6
- Пофиксите в HijackThis:
Повторите hijackthis.Код:O1 - Hosts: 217.73.57.92 userapi.com O1 - Hosts: 217.73.57.92 st0.userapi.com O1 - Hosts: 217.73.57.92 st1.userapi.com O1 - Hosts: 217.73.57.92 st2.userapi.com O1 - Hosts: 217.73.57.92 st3.userapi.com O1 - Hosts: 217.73.57.92 st4.userapi.com O1 - Hosts: 217.73.57.92 st5.userapi.com O1 - Hosts: 217.73.57.92 st6.userapi.com O1 - Hosts: 217.73.57.92 st7.userapi.com O1 - Hosts: 217.73.57.92 st8.userapi.com O1 - Hosts: 217.73.57.92 st9.userapi.com O1 - Hosts: 217.73.57.92 stg.odnoklassniki.ru O1 - Hosts: 217.73.57.92 img0.imgsmail.ru O1 - Hosts: 217.73.57.92 img1.imgsmail.ru O1 - Hosts: 217.73.57.92 img2.imgsmail.ru O1 - Hosts: 217.73.57.92 img3.imgsmail.ru O1 - Hosts: 217.73.57.92 img4.imgsmail.ru O1 - Hosts: 217.73.57.92 img5.imgsmail.ru O1 - Hosts: 217.73.57.92 img6.imgsmail.ru O1 - Hosts: 217.73.57.92 img7.imgsmail.ru O1 - Hosts: 217.73.57.92 img8.imgsmail.ru O1 - Hosts: 217.73.57.92 img9.imgsmail.ru
Готово.
Да чтож такое)
Откройте файл c:\windows\system32\drivers\etc\hosts в блокноте от имени администратора.
Удалите из него строки:
Сохраните изменения, перезагрузитесь и посмотрите не появились ли эти строки снова.Код:217.73.57.92 userapi.com 217.73.57.92 st0.userapi.com 217.73.57.92 st1.userapi.com 217.73.57.92 st2.userapi.com 217.73.57.92 st3.userapi.com 217.73.57.92 st4.userapi.com 217.73.57.92 st5.userapi.com 217.73.57.92 st6.userapi.com 217.73.57.92 st7.userapi.com 217.73.57.92 st8.userapi.com 217.73.57.92 st9.userapi.com 217.73.57.92 stg.odnoklassniki.ru 217.73.57.92 img0.imgsmail.ru 217.73.57.92 img1.imgsmail.ru 217.73.57.92 img2.imgsmail.ru 217.73.57.92 img3.imgsmail.ru 217.73.57.92 img4.imgsmail.ru 217.73.57.92 img5.imgsmail.ru 217.73.57.92 img6.imgsmail.ru 217.73.57.92 img7.imgsmail.ru 217.73.57.92 img8.imgsmail.ru 217.73.57.92 img9.imgsmail.ru
Упс.. Никак не сохранить изменения..
Пуск - Блокнот - открыть от имени администратора - hosts. Удаляю строки, но файл не сохраняется. т.е. предлагает сохранить отдельным txt-файлом.
То же самое - в безопасном режиме, то же самое с отключенным антивирусом, и поменять в свойствах файла настройки безопасности тоже не получилось
А удалить или переименовать файл дает?
Нет, не дает (( ни удалить, ни переименовать, ни перенести куда-нибудь((
Уважаемый(ая) off-top, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.