Вирус направленный на работу в интернете. [not-a-virus:AdWare.Win32.Tirrip.g, not-a-virus:AdWare.Win32.Tirrip.d ]

[more916 804183220]

Вирус блокирует работу браузеров семейства chromium (Google Chrome, Yandex.Browser, Chromium используемый как встроенный браузер в различных приложениях).
Так например в Yandex.Browser'е страницы не открываются с ошибкой: "Не удается подключиться к прокси-серверу".
В программе Steam, использующей Chromium и в других браузерах (FireFox, Opera) на открытые страницы встраиваются рекламные баннеры (на большинство сайтов встраивается прозрачный банер, растягиваемый на всю страницу, и при клике он пропадает, но открывается новой окно/вкладка со спам страницей).
Да, множество сайтов и так содержат рекламные блоки подобного типа. Но их присутствие на нормальных сайтах, не пытающихся заработать на рекламе (в том числе и на ваш сайт, встраивается блок, открывающий новые окна с рекламой, при клике в любой области странице), а уж тем более в Steam'е, явно указывает на работу вируса.
Кстати, по началу в Google Chrom'e и Yandex.Browser'е интернет работал, но в Yandex.Browser'e все всплывающие окна блокировались приложением ADGUARD, из-за чего я не обратил внимания на работу вируса. Через некоторое время страницы открываться перестали.

---------------
ОС: Windows 7 Максимальная 64-разрядная

[Info_bot]

Уважаемый(ая) more916 804183220, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[regist]

Внимание !!! База поcледний раз обновлялась 23.02.2014 17:04:34 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз). Протокол антивирусной утилиты AVZ версии 4.43.

Пожалуйста обновите базы и сделайте новые логи.

[more916 804183220]

К сожалению, обновление баз данных не возможно из-за блокировки вирусом интернета.
Файл -> Обновление баз, "Пуск". Выдает ошибку: "Ошибка в ходе автоматического обновления - Ошибка загрузки файла с описанием обновления avzupd.zip с http://www.z-oleg.com/secur/avz_up/ [21, 00002EFD]"

- - - Добавлено - - -

А нет, все удалось, изменил источник на virusinfo и в выпадающем меню "Настройки соединения с интернет" выбрал "Прямое соединение с internet".
Сейчас заного выполню сканирование.

[regist]

http://rghost.ru/55994198 здесь AVZ уже со свежими базами.

[more916 804183220]

Новые логи

[regist]

Здравствуйте!

И всё равно логи сделали старой версией .

pirrit - деинсталируйте

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true); 
 QuarantineFile('C:\Windows\adobe flash player\adobe.exe','');
 DeleteFile('C:\Windows\adobe flash player\adobe.exe','32');
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

Прокси как понимаю вы не прописывали? Если не прописывали, то

Профиксите в HijackThis

Код:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:11529

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
со свежими базами AVZ.

[more916 804183220]

А вот это не нужно фиксить?

Код:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *origin.com;*ea.com;*akamaihd.net;<local>

[regist]

А вот это не нужно фиксить?

это не вирусная запись и скорее всего сделана установленной у вас программой.
Игры с этого сайта не ставили? В принципе можно и пофиксить, ничего страшного не произойдёт.

А потом жду карантин и свежие логи со свежими базами AVZ.

[more916 804183220]

вот

[regist]

1) Уберите карантин из сообщения, для этого есть специальная ссылка наверху темы (уже загрузил туда).

2) - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

3) pirrit - деинсталируйте.

4) Отпишитесь, что с проблемой после этого.

[more916 804183220]

Результаты проверки онлайн-сервисом VirusDetector »

3) pirrit - деинсталируйте.

Вы имели ввиду деинсталировать папку 'C:\Program Files (x86)\Pirrit\' ?

[regist]

Вы имели ввиду деинсталировать папку

а можно спросить как это деинсталировать папку?
Я имел ввиду через установку и удаление программ .

[more916 804183220]

Хех... ну да смешно получилось...
В том то все и дело, что в
панель управления -> программы и компоненты -> Приложения Pirrit там нет

[regist]

- Сделайте лог полного сканирования МВАМ.

[more916 804183220]

Так и не смог сделать полное сканирование МВАМ. При быстром сканирование все нормальное, но если выбрать все диски, то сканирование продолжается до бесконечности (дважды по два дня ждал, не заканчивается).

После выполнения в AVZ присланного вами скрипта, вирус действовать перестал, но через некоторое время снова заработал.

Потому присылаю новые логи AVZ и HijackThis.

P.S. а так же присылаю лог стандартного скрипта №3 "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info", так как он нашел подозрительные файлы.

[more916 804183220]

Я и без ссылок уже сообщение написал, просто с логами, все равно на модерацию уходит =(

[regist]

pirrit деинсталируйте

+

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
• Прикрепите отчет к своему следующему сообщению.

[more916 804183220]

отчет

[mike 1]

pirrit деинсталируйте

Нет у него деинсталлятора.

• Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan".
• По окончанию сканирования снимите галочки со следующих строк:
  
  Код:

  Папка Найдено : C:\Program Files (x86)\Mail.Ru
  Папка Найдено : C:\Users\AzZureman\AppData\Local\Mail.Ru
  Папка Найдено : C:\Users\AzZureman\AppData\Local\Yandex
  Папка Найдено : C:\Users\AzZureman\AppData\LocalLow\Yandex
  Папка Найдено : C:\Users\AzZureman\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mail.Ru
  Папка Найдено : C:\Users\AzZureman\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex
  Папка Найдено : C:\Users\AzZureman\AppData\Roaming\Yandex

• Нажмите кнопку "Clean" и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)