Добрый день.
Подцепил гадость: при запуске браузера перенаправляет по рекламным сайтам, начиная с lightcoffee.ru.
Спасибо
Добрый день.
Подцепил гадость: при запуске браузера перенаправляет по рекламным сайтам, начиная с lightcoffee.ru.
Спасибо
Уважаемый(ая) Паша Григоришин, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте !!!
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
После перезагрузки выполните скрипт:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\ Windows\System32\winvhi32.dll',''); QuarantineFile('C:\WINDOWS\system32\ntos.exe',''); DeleteFile('C:\WINDOWS\system32\ntos.exe','32'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','userinit'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','userinit'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантинКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
В настройках прокси сервера, сервер proxy:3128, сами прописывали ?- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )Код:R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy:3128
Пока без изменений.
Карантин прислал.
Про прокси не отвечу, комп в рабочей сети - возможно сисадминские дела, я просто юзер.
- Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
- Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
- Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
- Прикрепите отчет к своему следующему сообщению.
По поводу прокси, придется узнавать у админов, ее легитимность удаленно по логам мы определить не можем.
А также придется обновлять ОС, несмотря на прекращенную поддержку ХР, то что у Вас в данный момент не установлены, обновления SP3 и последующие, делает систему уязвимой.
- Установите (предварительно выгрузив антивирусное ПО) Service Pack 3 Может потребоватся активация
- Установите Internet Explorer 8 (даже если Вы его не используете)
- Установите последние обновления для Windows
Прокси нет, нужно убрать.
Пока пишу,идет обновление виндоус.
Лог прикрепляю.
По ярлыку браузера, которым его запускаете, правой кнопкой мыши - Свойства - закладка Ярлык - поле Объект.
Там проверьте, чтобы кроме пути к исполняемому файлу браузера в кавычках не было ничего лишнего.
Если есть, отредактируйте и нажмите ОК.
Повторите это со всеми вашими браузерами, во всех местах, где есть их ярлыки (рабочий стол, панель быстрого запуска и т.п.)
Пофиксите в HijackThis:
Код:R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy:3128
- Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan",
а по окончанию сканирования
Снимите галочки со следующих строк Value Found :
HKCU\Software\Microsoft\Windows\CurrentVersion\Run [MailRuUpdater]
и нажмите кнопку "Clean" и дождитесь окончания удаления.- Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
- Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.
Ярлыки выглядят следующим образом: "C:\Program Files\Google\Chrome\Application\chrome.exe" "http://lightcoffee.ru"
При попытке удалить лишнее выдает ошибку "Отказано в доступе".
В HijackThis пофиксил. В AdwCleaner тоже.
Лог прикрепляю.
Новые ярлыки решили проблему.
Как думаете, причину устранили?
Думаю, да, устранили.
Советы и рекомендации после лечения компьютера
Спасибо за помощь!
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 5
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) Паша Григоришин, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.