-
Junior Member
- Вес репутации
- 38
Браузер заражен: открывает на свое усмотрение окна левых сайтов, тупит, скачивает сторонние файлы, везде баннеры с рекламой и т.д. [not-a-virus:HEUR:Downloader.Win32.LMN.gen
]
Все началось месяц назад и с каждым днем усугубляется, антивирус Касперский ничего не обнаружил, утилиты тоже ничего не нашли. Но браузер открывает на свое усмотрение окна левых сайтов, тупит, скачивает сторонние файлы, везде баннеры с рекламой, сайты открывает в форме html кодов, фото не прогружает, а если грузит то частями (в половину) и т.д.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) malyshVIP, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Логи AVZ сделайте AVZ 4.43 + прикрепите лог HiJackThis
-
-
Junior Member
- Вес репутации
- 38
Сообщение от
mike 1
Логи AVZ сделайте AVZ 4.43 + прикрепите лог HiJackThis
Вот
Последний раз редактировалось Aleksandra; 27.02.2014 в 16:41.
-
- Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
- Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
- Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
- Прикрепите отчет к своему следующему сообщению.
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
-
-
Junior Member
- Вес репутации
- 38
-
- Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan".
- По окончанию сканирования снимите галочки со следующих строк:
Код:
Folder Found C:\Program Files (x86)\Mail.Ru
Folder Found C:\Users\Владимир\AppData\Local\Mail.Ru
Folder Found C:\Users\Владимир\AppData\Local\Yandex
Folder Found C:\Users\Владимир\AppData\LocalLow\Yandex
Folder Found C:\Users\Владимир\AppData\Roaming\Yandex
- Нажмите кнопку "Clean" и дождитесь окончания удаления.
- Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
- Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.
Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).
Код:
Обнаруженные процессы в памяти: 2
C:\Program Files (x86)\PassShow\PassShow155.exe (PUP.Optional.PassShow.A) -> 1316 -> Действие не было предпринято.
C:\Program Files (x86)\PassShow\PassShow_wd.exe (PUP.Optional.PassShow.A) -> 3920 -> Действие не было предпринято.
Обнаруженные ключи в реестре: 10
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\MediaViewerV1alpha264 (PUP.Optional.Amonetize.A) -> Действие не было предпринято.
HKLM\SYSTEM\CurrentControlSet\Services\PassShow (PUP.Optional.PassShow.A) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\912138fe-a986-4780-ad7a-24960030e414 (PUP.Optional.PassShow.A) -> Действие не было предпринято.
HKLM\SOFTWARE\MediaViewerV1alpha264 (PUP.Optional.MediaViewer.A) -> Действие не было предпринято.
HKCR\CLSID\{7d461074-220b-4567-8670-add0cdff6830} (PUP.Optional.MediaViewer.A) -> Действие не было предпринято.
HKCR\TypeLib\{3d411260-5721-4fa7-9b9b-e4061ce4dacc} (PUP.Optional.MediaViewer.A) -> Действие не было предпринято.
HKCR\Interface\{0302E8C1-1430-4728-92B5-4613B44E87FD} (PUP.Optional.MediaViewer.A) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7D461074-220B-4567-8670-ADD0CDFF6830} (PUP.Optional.MediaViewer.A) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{7D461074-220B-4567-8670-ADD0CDFF6830} (PUP.Optional.MediaViewer.A) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{7D461074-220B-4567-8670-ADD0CDFF6830} (PUP.Optional.MediaViewer.A) -> Действие не было предпринято.
Обнаруженные параметры в реестре: 2
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings|ProxyServer (PUM.Bad.Proxy) -> Параметры: http=127.0.0.1:13828 -> Действие не было предпринято.
HKLM\SOFTWARE\Mozilla\Firefox\Extensions|[email protected] (PUP.Optional.MediaViewer.A) -> Параметры: C:\Program Files (x86)\MediaViewerV1\MediaViewerV1alpha264\ff -> Действие не было предпринято.
Обнаруженные папки: 11
C:\Program Files (x86)\PassShow (PUP.Optional.PassShow.A) -> Действие не было предпринято.
C:\Users\Владимир\AppData\Roaming\smwdgt (PUP.Optional.BetterSmile.A) -> Действие не было предпринято.
C:\Users\Владимир\AppData\Roaming\1H1Q\Aff Packages (PUP.Optional.BundleInstaller.A) -> Действие не было предпринято.
C:\Program Files (x86)\MediaViewerV1\MediaViewerV1alpha264 (PUP.Optional.MediaViewer.A) -> Действие не было предпринято.
C:\Program Files (x86)\MediaViewerV1\MediaViewerV1alpha264\ch (PUP.Optional.MediaViewer.A) -> Действие не было предпринято.
C:\Program Files (x86)\MediaViewerV1\MediaViewerV1alpha264\ff (PUP.Optional.MediaViewer.A) -> Действие не было предпринято.
C:\Program Files (x86)\MediaViewerV1\MediaViewerV1alpha264\ff\chrome (PUP.Optional.MediaViewer.A) -> Действие не было предпринято.
C:\Program Files (x86)\MediaViewerV1\MediaViewerV1alpha264\ff\chrome\content (PUP.Optional.MediaViewer.A) -> Действие не было предпринято.
C:\Program Files (x86)\MediaViewerV1\MediaViewerV1alpha264\ff\chrome\content\icons (PUP.Optional.MediaViewer.A) -> Действие не было предпринято.
C:\Program Files (x86)\MediaViewerV1\MediaViewerV1alpha264\ff\chrome\content\icons\default (PUP.Optional.MediaViewer.A) -> Действие не было предпринято.
C:\Program Files (x86)\MediaViewerV1\MediaViewerV1alpha264\ie (PUP.Optional.MediaViewer.A) -> Действие не было предпринято.
Обнаруженные файлы:
C:\Program Files (x86)\MediaViewerV1\MediaViewerV1alpha264\uninstall.exe (PUP.Optional.Amonetize.A) -> Действие не было предпринято.
C:\Program Files (x86)\PassShow\155.xpi (PUP.Optional.PassShow.A) -> Действие не было предпринято.
C:\Program Files (x86)\PassShow\155.crx (PUP.Optional.PassShow.A) -> Действие не было предпринято.
C:\Program Files (x86)\PassShow\155.dat (PUP.Optional.PassShow.A) -> Действие не было предпринято.
C:\Program Files (x86)\PassShow\a.db (PUP.Optional.PassShow.A) -> Действие не было предпринято.
C:\Program Files (x86)\PassShow\b.db (PUP.Optional.PassShow.A) -> Действие не было предпринято.
C:\Program Files (x86)\PassShow\PassShow155.bin (PUP.Optional.PassShow.A) -> Действие не было предпринято.
C:\Program Files (x86)\PassShow\PassShow155.exe (PUP.Optional.PassShow.A) -> Действие не было предпринято.
C:\Program Files (x86)\PassShow\PassShow155.ini (PUP.Optional.PassShow.A) -> Действие не было предпринято.
C:\Program Files (x86)\PassShow\PassShow_wd.exe (PUP.Optional.PassShow.A) -> Действие не было предпринято.
C:\Program Files (x86)\PassShow\PsUP.exe (PUP.Optional.PassShow.A) -> Действие не было предпринято.
C:\Program Files (x86)\PassShow\Sqlite3.dll (PUP.Optional.PassShow.A) -> Действие не было предпринято.
C:\Program Files (x86)\PassShow\Uninstall.exe (PUP.Optional.PassShow.A) -> Действие не было предпринято.
C:\Users\Владимир\AppData\Roaming\smwdgt\manifest.json (PUP.Optional.BetterSmile.A) -> Действие не было предпринято.
C:\Users\Владимир\AppData\Roaming\smwdgt\128.png (PUP.Optional.BetterSmile.A) -> Действие не было предпринято.
C:\Users\Владимир\AppData\Roaming\smwdgt\16.png (PUP.Optional.BetterSmile.A) -> Действие не было предпринято.
C:\Users\Владимир\AppData\Roaming\smwdgt\48.png (PUP.Optional.BetterSmile.A) -> Действие не было предпринято.
C:\Users\Владимир\AppData\Roaming\smwdgt\content.js (PUP.Optional.BetterSmile.A) -> Действие не было предпринято.
C:\Users\Владимир\AppData\Roaming\smwdgt\gQrIjurInksGZ.js (PUP.Optional.BetterSmile.A) -> Действие не было предпринято.
C:\Users\Владимир\AppData\Roaming\smwdgt\nAuEBEbpFy.js (PUP.Optional.BetterSmile.A) -> Действие не было предпринято.
C:\Users\Владимир\AppData\Roaming\smwdgt\UWuSMLamkYwmupw.html (PUP.Optional.BetterSmile.A) -> Действие не было предпринято.
C:\Users\Владимир\AppData\Roaming\smwdgt\zsOBtEltJPMDu.js (PUP.Optional.BetterSmile.A) -> Действие не было предпринято.
C:\Windows\Tasks\PassShow Update.job (PUP.Optional.PassShow.A) -> Действие не было предпринято.
C:\Users\Владимир\AppData\Roaming\closer.exe (PUP.Optional.Smilapp) -> Действие не было предпринято.
C:\Users\Владимир\AppData\Roaming\1H1Q\Aff Packages\uninstaller.exe (PUP.Optional.BundleInstaller.A) -> Действие не было предпринято.
C:\Program Files (x86)\MediaViewerV1\MediaViewerV1alpha264\ch\MediaViewerV1alpha264.crx (PUP.Optional.MediaViewer.A) -> Действие не было предпринято.
C:\Program Files (x86)\MediaViewerV1\MediaViewerV1alpha264\ff\chrome.manifest (PUP.Optional.MediaViewer.A) -> Действие не было предпринято.
C:\Program Files (x86)\MediaViewerV1\MediaViewerV1alpha264\ff\install.rdf (PUP.Optional.MediaViewer.A) -> Действие не было предпринято.
C:\Program Files (x86)\MediaViewerV1\MediaViewerV1alpha264\ff\chrome\content\ffMediaViewerV1alpha264.js (PUP.Optional.MediaViewer.A) -> Действие не было предпринято.
C:\Program Files (x86)\MediaViewerV1\MediaViewerV1alpha264\ff\chrome\content\ffMediaViewerV1alpha264ffaction.js (PUP.Optional.MediaViewer.A) -> Действие не было предпринято.
C:\Program Files (x86)\MediaViewerV1\MediaViewerV1alpha264\ff\chrome\content\overlay.xul (PUP.Optional.MediaViewer.A) -> Действие не было предпринято.
C:\Program Files (x86)\MediaViewerV1\MediaViewerV1alpha264\ff\chrome\content\icons\Thumbs.db (PUP.Optional.MediaViewer.A) -> Действие не было предпринято.
C:\Program Files (x86)\MediaViewerV1\MediaViewerV1alpha264\ff\chrome\content\icons\default\MediaViewerV1alpha264_32.png (PUP.Optional.MediaViewer.A) -> Действие не было предпринято.
C:\Program Files (x86)\MediaViewerV1\MediaViewerV1alpha264\ie\MediaViewerV1alpha264.dll (PUP.Optional.MediaViewer.A) -> Действие не было предпринято.
После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.
-
-
Junior Member
- Вес репутации
- 38
-
Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
-
-
Junior Member
- Вес репутации
- 38
-
Закройте все программы
Отключите
- Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
QuarantineFile('C:\Users\Владимир\appdata\roaming\funspace\shadow\funspace.update\funspace.update.process.exe','');
DeleteFile('C:\WINDOWS\Tasks\PassShow_wd.job','64');
DeleteFile('C:\WINDOWS\system32\Tasks\PassShow_wd','64');
DeleteFile('C:\Users\Владимир\appdata\roaming\funspace\shadow\funspace.update\funspace.update.process.exe','32');
DeleteFileMask('C:\Users\Владимир\appdata\roaming\funspace\shadow\funspace.update', '*', true, ' ');
DeleteDirectory('C:\Users\Владимир\appdata\roaming\funspace\shadow\funspace.update');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи AVZ.
-
-
Junior Member
- Вес репутации
- 38
Последний раз редактировалось malyshVIP; 04.03.2014 в 01:27.
-
-
-
Junior Member
- Вес репутации
- 38
-
- Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
- Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
- Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
- Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
- Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
- .
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- c:\users\владимир\appdata\roaming\funspace\shadow\ funspace.update\funspace.update.process.exe - not-a-virus:HEUR:Downloader.Win32.LMN.gen
-