Рекламы на каждом сайте и прочее.

[Rafal]

Вообщем месяц назад я лазил по сайтам и что-то словил. Сначала это были обычные рекламы, позже это были рекламы которые не могли закрываться, всяческие задержки, ну и сегодня у меня на пол видео вылезла реклама которая не могла закрыться.

[Info_bot]

Уважаемый(ая) Rafal, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[regist]

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.


PirritSuggestor - деинсталируйте.

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true); 
 TerminateProcessByName('c:\extension\update.exe');
 QuarantineFile('c:\users\Администратор\appdata\local\5049256b738fbb86817c6d2cdf8cb58b\5049256b738fbb86817c6d2cdf8cb58b.exe','');
 QuarantineFile('c:\users\Администратор\appdata\local\5049256b738fbb86817c6d2cdf8cb58b\guiindexmysql.exe','');
 QuarantineFile('c:\program files\winrst\winrst.exe','');
 QuarantineFile('c:\extension\update.exe','');
 DeleteFile('c:\extension\update.exe','32');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 ClearHostsFile;
BC_ImportAll;
ExecuteSysClean;
 ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

Профиксите в HijackThis

Код:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:20195

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
• Прикрепите отчет к своему следующему сообщению.

[Rafal]

http://virusinfo.info/showthread.php?t=162161 - virusinfo_auto_INFINITI.zip
http://virusinfo.info/showthread.php?t=162162 - quarantine.zip
Вот

[regist]

- Удалите в AdwCleaner всё кроме папок от mail.ru и Yandex - если программами от mail.ru и Yandex не пользуетесь, то их тоже удалите.

[Rafal]

Не помогло, рекламы остались.
Вот отчёт удаления.

[regist]

- Сделайте лог полного сканирования МВАМ.

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

[Rafal]

Вот

[regist]

Удалите в MBAM всё кроме

Код:

Registry Data: 3
PUM.Disabled.SecurityCenter, HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER|FirewallDisableNotify, 1, Good: (0), Bad: (1),,[ad3d06752c4f2d092bd741e99d6734cc]
PUM.Disabled.SecurityCenter, HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER|UpdatesDisableNotify, 1, Good: (0), Bad: (1),,[5793f48790eba49231d20f1be024867a]
PUM.Disabled.SecurityCenter, HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER|AntiVirusDisableNotify, 1, Good: (0), Bad: (1),,[6d7d017ab4c741f555ac77b3b74dd12f]

PUP.Optional.OpenCandy, C:\Users\????????????N?N?N??°N???N?\Downloads\DTLite4413-0173.exe, , [e604a9d2df9c1323598d9eb33acafd03], 
Trojan.Onlinegames, C:\Users\????????????N?N?N??°N???N?\Downloads\LAN-Broadcom-November-2013.exe_16649733_39_let1.exe, , [ca2091ea5823f343755ed04a788a51af], 
PUP.Optional.Bandoo, C:\Users\????????????N?N?N??°N???N?\Downloads\iLividSetup-r1250-n-bc (1).exe, , [02e87308b9c2999d6d3670dbbc4540c0], 
PUP.Optional.Bandoo, C:\Users\????????????N?N?N??°N???N?\Downloads\iLividSetup-r1250-n-bc.exe, , [29c1a1dafa812a0c1b88d5763cc58878], 
Trojan.KillAV, C:\Program Files\7-Zip\GUI_7zS.exe, , [1dcdb2c9cbb0a39327b7589411f29c64],

Файл

Код:

C:\Program Files\7-Zip\GUI_7zS.exe

Заархивируйте в zip архив с паролем virus и загрузите по ссылке Прислать запрошенный карантин вверху темы.

- - - Добавлено - - -

+

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true); 
 TerminateProcessByName('c:\users\Администратор\appdata\local\5049256b738fbb86817c6d2cdf8cb58b\guiindexmysql.exe');
 TerminateProcessByName('c:\users\Администратор\appdata\local\5049256b738fbb86817c6d2cdf8cb58b\5049256b738fbb86817c6d2cdf8cb58b.exe');
 SetServiceStart('WinRST', 4);
 StopService('WinRST');
 QuarantineFile('C:\Program Files\WinRST\WinRST.exe','');
QuarantineFile('C:\Program Files\7-Zip\GUI_7zS.exe','');
 QuarantineFile('c:\users\Администратор\appdata\local\5049256b738fbb86817c6d2cdf8cb58b\guiindexmysql.exe','');
 QuarantineFile('c:\users\Администратор\appdata\local\5049256b738fbb86817c6d2cdf8cb58b\5049256b738fbb86817c6d2cdf8cb58b.exe','');
 DeleteFile('c:\users\Администратор\appdata\local\5049256b738fbb86817c6d2cdf8cb58b\5049256b738fbb86817c6d2cdf8cb58b.exe','32');
 DeleteFile('C:\Program Files\WinRST\WinRST.exe','32');
 DeleteFile('c:\users\Администратор\appdata\local\5049256b738fbb86817c6d2cdf8cb58b\guiindexmysql.exe','32');
 DeleteService('WinRST');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

Профиксите в HijackThis

Код:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:31150

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 10
• В ходе лечения вредоносные программы в карантинах не обнаружены