Племянник по скачивал игры и после этого я обнаружил на ноуте массу программ (амиго, яндексы и тд) стартовая страница во всех браузерах стала деньги в интернете, комп тормозить. Прошёлся курелтом он нашел 23 вируса поместил их в карантин.
Племянник по скачивал игры и после этого я обнаружил на ноуте массу программ (амиго, яндексы и тд) стартовая страница во всех браузерах стала деньги в интернете, комп тормозить. Прошёлся курелтом он нашел 23 вируса поместил их в карантин.
Уважаемый(ая) Митя Бревнов, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте!
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:Код:begin ExecuteAVUpdate; ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(true); end; ClearQuarantine; QuarantineFile('C:\Users\1\appdata\roaming\digita~1\update~1\update~1.exe',''); QuarantineFile('C:\Users\1\AppData\Local\safebrowser.exe',''); QuarantineFile('C:\ProgramData\Kbrowser utility\kbrowser-updater-utility.exe',''); DeleteFile('C:\Users\1\AppData\Local\safebrowser.exe','32'); DeleteFile('C:\Windows\Tasks\Digital Sites.job','64'); DeleteFile('C:\Windows\system32\Tasks\Digital Sites','64'); DeleteFile('C:\Windows\system32\Tasks\kbrowser-updater-utility','64'); DeleteFile('C:\Windows\system32\Tasks\Safebrowser','64'); DeleteFile('C:\Windows\system32\Tasks\{9B00CE56-8ED7-431B-8DEE-093A3B75D796}','64'); DeleteFile('C:\Windows\system32\Tasks\{9DB837FA-106C-4218-B447-FE4DB37B17A2}','64'); DeleteFile('C:\Users\1\appdata\roaming\digita~1\update~1\update~1.exe','32'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(false); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.
Код:R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=0be6ea0f2411b50e2a74fe1ff5c4c942&text={searchTerms} R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1 O2 - BHO: Визуальные закладки - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file) O3 - Toolbar: (no name) - {98889811-442D-49dd-99D7-DC866BE87DBC} - (no file) O4 - Startup: Safebrowser.lnk = 1\AppData\Local\safebrowser.exe O4 - Global Startup: kbrowser-updater-utility.lnk = C:\ProgramData\Kbrowser utility\kbrowser-updater-utility.exe
- Скачайте CheckBrowserLnk и сохраните архив с утилитой на Рабочем столе
- Распакуйте архив с утилитой в отдельную папку
- Запустите checkbrowserlnk.exe
Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да- После окончания работы программы на рабочем столе будет сохранен отчет CheckBrowserLnk.log
- Прикрепите этот отчет в вашей теме.
- Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
- Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
- Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
- Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
сделал
- - - Добавлено - - -
в хикджеке не нашёл строчку
O4 - Global Startup: kbrowser-updater-utility.lnk = C:\ProgramData\Kbrowser utility\kbrowser-updater-utility.exe
высылаю на всякий случай новый лог
Исправьте ярлыки:
C:\Users\1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yandex.lnk
C:\Users\1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk
C:\Users\1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk
C:\Users\1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk
C:\Users\1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera 18.lnk
C:\Users\1\Desktop\Google Chrome.lnk
- Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan".
- По окончанию сканирования снимите галочки со следующих строк:
Код:Папка Найдено : C:\Program Files (x86)\Mail.Ru Папка Найдено : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mail.Ru Папка Найдено : C:\ProgramData\Yandex Папка Найдено : C:\Users\1\AppData\Local\Mail.Ru Папка Найдено : C:\Users\1\AppData\Local\Yandex Папка Найдено : C:\Users\1\AppData\LocalLow\Mail.Ru Папка Найдено : C:\Users\1\AppData\LocalLow\Yandex Папка Найдено : C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mail.Ru Папка Найдено : C:\Users\1\AppData\Roaming\Yandex- Нажмите кнопку "Clean" и дождитесь окончания удаления.
- Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
- Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.
Подробнее читайте в этом руководстве.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Сделал, только в адв слеанере, случайно нажал удалить не сняв галочки
ещё проблем теперь в контакте слева где обычно реклама, теперь реклама не контактовская какая то хрень, про браслеты и дедушкины методы лечения всего и вся. и она не закрываеться ( нету крестика)
1. Новый лог CheckBrowserLnk сделайте.
2. Сделайте новые логи AVZ
3.
- Скачайте SITLog и сохраните архив с утилитой на Рабочем столе
- Распакуйте архив с утилитой в отдельную папку
- Запустите sitlog.exe
Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да- В главном окне программы выберите проверку за последние три месяца и нажмите "Старт"
- По окончанию работы программы в папке LOG должны появиться два отчета SITLog.txt и SITLog_Info.txt
- Прикрепите эти отчеты в вашей теме.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
зделал
Скачайте Malwarebytes' Anti-Malware, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txtКод:%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Сделал
Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).
После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.Код:Обнаруженные ключи в реестре: 6 HKCR\CLSID\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.Optional.ToolBar.WA) -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.Optional.ToolBar.WA) -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.Optional.ToolBar.WA) -> Действие не было предпринято. HKCU\SOFTWARE\click-n-mark (PUP.Optional.ClickNMark.A) -> Действие не было предпринято. HKCU\Software\AppDataLow\Software\click-n-mark (PUP.Optional.ClickNMark.A) -> Действие не было предпринято. HKCU\SOFTWARE\WINXGZ (Trojan.Agent) -> Действие не было предпринято. Обнаруженные параметры в реестре: 1 HKCU\Software\winxgz|exerunner (Trojan.Agent) -> Параметры: was -> Действие не было предпринято. Обнаруженные папки: 2 C:\Users\1\AppData\Roaming\archsoft (Trojan.Agent) -> Действие не было предпринято. C:\Program Files (x86)\s1\s1 (Backdoor.Bot.ooo) -> Действие не было предпринято. Обнаруженные файлы: C:\Users\1\AppData\Roaming\Real\Update\UpgradeHelper\RealPlayer\10.40\agent\stub_data\stubinst_pkg_en-eu.cab (PUP.Optional.OpenCandy) -> Действие не было предпринято. C:\Users\1\AppData\Roaming\archsoft\rubashka.css (Trojan.Agent) -> Действие не было предпринято. C:\Users\1\AppData\Roaming\archsoft\a.htm (Trojan.Agent) -> Действие не было предпринято. C:\Users\1\AppData\Roaming\archsoft\dir.png (Trojan.Agent) -> Действие не было предпринято. C:\Users\1\AppData\Roaming\archsoft\dot.gif (Trojan.Agent) -> Действие не было предпринято. C:\Users\1\AppData\Roaming\archsoft\foot.png (Trojan.Agent) -> Действие не было предпринято. C:\Users\1\AppData\Roaming\archsoft\htmlayout.dll (Trojan.Agent) -> Действие не было предпринято. C:\Users\1\AppData\Roaming\archsoft\logo.png (Trojan.Agent) -> Действие не было предпринято. C:\Users\1\AppData\Roaming\archsoft\logo2.png (Trojan.Agent) -> Действие не было предпринято. C:\Users\1\AppData\Roaming\archsoft\logo2m.png (Trojan.Agent) -> Действие не было предпринято. C:\Users\1\AppData\Roaming\archsoft\sb-h-scroll-next.png (Trojan.Agent) -> Действие не было предпринято. C:\Users\1\AppData\Roaming\archsoft\sb-h-scroll-prev.png (Trojan.Agent) -> Действие не было предпринято. C:\Users\1\AppData\Roaming\archsoft\sb-scroll-back.png (Trojan.Agent) -> Действие не было предпринято. C:\Users\1\AppData\Roaming\archsoft\sb-scroll-base.png (Trojan.Agent) -> Действие не было предпринято. C:\Users\1\AppData\Roaming\archsoft\sb-scroll-slider.png (Trojan.Agent) -> Действие не было предпринято. C:\Users\1\AppData\Roaming\archsoft\sb-v-scroll-next.png (Trojan.Agent) -> Действие не было предпринято. C:\Users\1\AppData\Roaming\archsoft\sb-v-scroll-prev.png (Trojan.Agent) -> Действие не было предпринято. C:\Users\1\AppData\Roaming\archsoft\scroll.css (Trojan.Agent) -> Действие не было предпринято. C:\Users\1\AppData\Roaming\archsoft\wfont.ttf (Trojan.Agent) -> Действие не было предпринято. C:\Users\1\AppData\Roaming\archsoft\xsendexe.tmp (Trojan.Agent) -> Действие не было предпринято. C:\Users\1\AppData\Roaming\archsoft\_todel.png (Trojan.Agent) -> Действие не было предпринято. C:\Users\1\AppData\Roaming\archsoft\_todel2.png (Trojan.Agent) -> Действие не было предпринято. C:\Users\1\AppData\Roaming\archsoft\_todel3.png (Trojan.Agent) -> Действие не было предпринято. C:\Users\1\AppData\Roaming\archsoft\_todel4.png (Trojan.Agent) -> Действие не было предпринято. C:\Users\1\AppData\Roaming\archsoft\_todel5.png (Trojan.Agent) -> Действие не было предпринято. C:\Users\1\AppData\Roaming\archsoft\_todel6.png (Trojan.Agent) -> Действие не было предпринято. C:\Users\1\AppData\Roaming\archsoft\_todel7.png (Trojan.Agent) -> Действие не было предпринято. C:\Users\1\AppData\Roaming\archsoft\_todel8.png (Trojan.Agent) -> Действие не было предпринято. C:\Program Files (x86)\s1\s1\compressor.bat (Backdoor.Bot.ooo) -> Действие не было предпринято. C:\Program Files (x86)\s1\s1\p.txt (Backdoor.Bot.ooo) -> Действие не было предпринято. C:\Program Files (x86)\s1\s1\photo.jpg (Backdoor.Bot.ooo) -> Действие не было предпринято.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Выполнил
Что с проблемой?
Сделайте новые логи SITLog
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Левая реклама в контакте осталась. В остальном вроде всё в порядке.
Эти программы вам знакомы?
Код:08.06.2014 16:56:06 ----D---- C:\ProgramData\Kbrowser utility 08.06.2014 16:56:01 ----D---- C:\Program Files (x86)\Kinoroom Browser 08.06.2014 16:45:04 ----D---- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FlvPlayer 08.06.2014 16:37:57 ----A---- C:\Users\1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Video Converter.lnk 08.06.2014 16:37:57 ----D---- C:\Program Files (x86)\VideoConverterПроблема во всех браузерах? В Internet Explorer проблема наблюдается?Левая реклама в контакте осталась.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
программы эти я не ставил. В експлоере проблемы нету, в остальных браузерах есть ( опере, мозиле, хроме)
- Скачайте OTM by OldTimer или с зеркала и сохраните на рабочий стол.
- Запустите OTM by OldTimer (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора)
- временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)
Код::Processes :Services :Files C:\Program Files (x86)\VideoConverter C:\Users\1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Video Converter.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FlvPlayer C:\Program Files (x86)\Kinoroom Browser C:\ProgramData\Kbrowser utility :Reg :Commands [purity] [emptytemp] [Reboot]- В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!".
- Компьютер перезагрузится.
- После перезагрузки откройте папку "C:\_OTM\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и прикрепите его в следующее сообщение.
Потом в браузере отключите все расширения и проверьте проблему.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
В гугле и опере отключи и реклама пропала, там было дополнение асгугл. В фаирфоксе все отключал не помогло. и этого дополнения не ту.
Сделайте скриншот окна дополнений (расширений) в Firefox.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Уважаемый(ая) Митя Бревнов, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.