Всплывают рекламные баннеры и страницы во всех браузерах. Так же периодически выдается капча при поиске в google, а Яндекс ссылается на подозрительный трафик. Проверка DrWeb Curelt к успеху не привела! Помогите пожалуйста!!!
Всплывают рекламные баннеры и страницы во всех браузерах. Так же периодически выдается капча при поиске в google, а Яндекс ссылается на подозрительный трафик. Проверка DrWeb Curelt к успеху не привела! Помогите пожалуйста!!!
Уважаемый(ая) Mammba, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)
1) Выполните скрипт в АВЗ:
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(true); end; QuarantineFile('C:\WebServers\denwer\Boot.exe',''); QuarantineFile('C:\WINDOWS\system32\zrkbys.exe',''); QuarantineFile('C:\WINDOWS\system32\77483baa.exe',''); QuarantineFile('C:\WINDOWS\system32\60c40539.exe',''); QuarantineFile('C:\Program Files\pchd\PCHDPlayer.exe',''); QuarantineFileF('C:\Program Files\pchd', '*', true, ' ', 0, 0); DeleteFile('C:\Program Files\pchd\PCHDPlayer.exe','32'); DeleteFile('C:\WINDOWS\system32\60c40539.exe','32'); DeleteFile('C:\WINDOWS\system32\77483baa.exe','32'); DeleteFile('C:\WINDOWS\system32\zrkbys.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PCHDPlayer'); DeleteFileMask('C:\Program Files\pchd', '*', true, ' '); DeleteDirectory('C:\Program Files\pchd'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(2); ExecuteRepair(3); ExecuteRepair(4); RebootWindows(true); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
2) Пофиксите следующие строчки в HiJackThis если они у вас есть.
3) Ticno Tabs - удалите через установка и удаление программ. Покер сами ставили?Код:R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://sindex.biz/?company=5 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://philka.ru/forum R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://sindex.biz/?company=5 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\60c40539.exe,C:\WINDOWS\system32\77483baa.exe,C:\WINDOWS\system32\zrkbys.exe, O14 - IERESET.INF: START_PAGE_URL=http://philka.ru
4) Внимание! Официальная поддержка (и выпуск обновлений) для Windows XP SP2 прекращена.
Установите Пакет сетевой установки пакета обновления 3 (SP3) для ОС Windows XP + все последующие обновления.
5) Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
6) Сделайте лог полного сканирования MBAM (http://virusinfo.info/showthread.php?t=53070)
7) По окончанию лечения рекомендуется сменить пароли на веб ресурсы.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Выполненные мною пункты:
1. ВЫПОЛНЕН
2. Профиксил O14 - IERESET.INF: START_PAGE_URL=http://philka.ru остальных не было
3. Ticno Tabs в установка и удаление программ не нашел. Покер устанавливался давно, в установка и удаление программ тоже его нет. Нашел в инете как можно удалить:
A. Нажать пуск и выполить: regsvr32 "%PROGRAMFILES%\Ticno\Tabs\TicnoTabsBho111213. dll" \u
или
regsvr32 "%PROGRAMFILES%\Ticno\Tabs\TicnoTabsBho111217. dll" \u
B. или запустить удаление всего
"%PROGRAMFILES%\Ticno\Tabs\Uninstall.exe"
Стоит ли попробовать один из этих способов?
4. Обновит до SP3 по понятным причинам не могу!!!
5. и 6. Логи прикрепил
7. Имеется ввиду почта, вконтакте, одноклассники и т.д. или доступ в интернет. Надо ли что-то делать с роутером, т.к. информация о подозрительном трафике и капча выскакивают и на мобильных устройствах???
Моя проблема так и не решилась, ответьте пожалуйста...
Сделайте логи RSIT
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
+ Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).
Проверьте эти файлы на virustotalКод:Обнаруженные параметры в реестре: 3 HKLM\SOFTWARE\Microsoft|option_1 (Rootkit.Agent) -> Параметры: ќђђ‹Њ–љЊћ‘›†Сњђ’ -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft|option_2 (Rootkit.Agent) -> Параметры: ќОЗНЗћ‹љСњђ’ -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft|option_3 (Rootkit.Agent) -> Параметры: ќЌ–›“љЌЊСњђ’РОЛ‘Њљ†Л‰€†СЏ—Џ -> Действие не было предпринято. Обнаруженные папки: 1 C:\Program Files\Common Files\wm\keys (Trojan.KeyLog) -> Действие не было предпринято. C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> Действие не было предпринято.
кнопка Выбрать файл (Choose File) - ищите нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.
После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.Код:C:\Program Files\Alawar.ru\Пернатый нянь\Birdies.wrp.exe
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Мои логи!!!
- - - Добавлено - - -
Мои логи!!!
- - - Добавлено - - -
Мои логи!!!
- - - Добавлено - - -
Мои логи!!!
- - - Добавлено - - -
Мои логи!!!
- - - Добавлено - - -
А так же анализ virustotal https://www.virustotal.com/ru/file/d1bdd69278ee7736cd6d14f3e3e110a132713f4927d6ebfbf8 86a8468b508dec/analysis/1375441453/
Сделайте лог ComboFix
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Лог сканирования ComboFix
Жду дальнейших рекомендаций!!!
Что с проблемой?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 10
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) Mammba, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.