-
Junior Member
- Вес репутации
- 56
Браузер Chrome открывается со страницы yamdex.net/?im
Здравствуйте! Помогите, пожалуйста. Браузер сразу же выходит на страницу yamdex.net. Ничего не могу с этим поделать. Кроме того, в закладках образовались несколько нескаченных программ, которые удалил, но нехорошее чувство осталось. Их было несколько одна из них Одноклассники и что-то еще подобное. И еще какой-то самоустановившийся софт, кажется, "Живые обои", который сам менял картинки рабочего стола (в стиле фэнтэзи). В папке программы был "unistaller" и с его помощью от нее избавился, но ее появление было неожиданным и неприятным. И так ли уж удалось от нее избавиться?
В общем, вот логи, буду очень благодарен, если поможете.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) pus, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\opera.bat','');
QuarantineFile('C:\Program Files\Google\chrome.bat','');
QuarantineFile('C:\Documents and Settings\user\Application Data\eTranslator\eTranslator.exe','');
DeleteFile('C:\Documents and Settings\user\Application Data\eTranslator\eTranslator.exe','32');
DeleteFile('C:\WINDOWS\Tasks\9gpd.job','32');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings', 'AutoConfigURL');
RegKeyStrParamWrite('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings', 'ProxyServer', '');
RegKeyParamWrite('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings', 'ProxyEnable', 'REG_DWORD', '0');
DeleteFileMask('C:\Documents and Settings\user\Application Data\eTranslator','*',true);
DeleteDirectory('C:\Documents and Settings\user\Application Data\eTranslator');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('SCU',2,2,true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Выполните в AVZ скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
-
-
+ - Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
- Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
- Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
- Прикрепите отчет к своему следующему сообщению.
-
-
Junior Member
- Вес репутации
- 56
Добрый вечер, уважаемый Vadim! Спасибо огромное Вам. Все сделал! Прилагаю обзор uVS.
- - - - -Добавлено - - - - -
Здравствуйте, regist!
Выполнил сканирование. Отчет прилагаю в файле.
Спасибо за внимание!
-
- Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
- Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
- Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
Код:
;uVS v3.83 BETA 27 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
breg
zoo %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME.BAT
delall %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME.BAT
delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\ETRANSLATOR\ETRANSLATOR.EXE
zoo %SystemDrive%\OPERA.BAT
delall %SystemDrive%\OPERA.BAT
delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&IMSID=5CE06A9A6C8C52F6BA513BAE4E305EC8&TEXT={SEARCHTERMS}
delref HTTP:\\YAMDEX.NET\?IM
delref DOBRERIBE/ZIZA.EXE
delall G:\SEVERINA\ALELUJA.EXE
deltmp
regt 28
regt 29
czoo
restart
- В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
- Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
- После выполнения скрипта в папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
- Сделайте новый лог uVS
-
-
Выполните скрипт в uVS и пришлите карантин
Код:
;uVS v3.83 BETA 26 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
BREG
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\РАБОЧИЙ СТОЛ\GOOGLE CHROME.LNK
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\GOOGLE CHROME.LNK
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\OPERA.LNK
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\LOCAL SETTINGS\TEMP\~NSU.TMP\AU_.EXE
zoo %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME.BAT
del %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME.BAT
zoo FILE:///C:\DOCUME~1\ЮРА\LOCALS~1\TEMP\MSOHTML1\01\CLIP_IMAGE002.JPG
delref %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\ETRANSLATOR\ETRANSLATOR.EXE
delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&IMSID=5CE06A9A6C8C52F6BA513BAE4E305EC8&TEXT={SEARCHTERMS}
delref %SystemDrive%\DOCUMENTS AND SETTINGS\USER\LOCAL SETTINGS\APPLICATION DATA\MAIL.RU\MAILRUUPDATER.EXE
zoo DOBRERIBE/ZIZA.EXE
delall DOBRERIBE/ZIZA.EXE
regt 28
deltmp
czoo
restart
Прикрепите ещё файлы
AdwCleaner[S0].txt
AdwCleaner[S1].txt
AdwCleaner[S2].tx
+ - сделайте лог CheckBrowserLnk
-
-
Junior Member
- Вес репутации
- 56
Карантин uVS выслал. Запрошенные файлы прилагаю.
-
Перекачайте Universal Virus Sniffer и выполните скрипт в uvs:
Код:
;uVS v3.83 BETA 27 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
breg
regt 28
restart
Компьютер перезагрузиться. Сделайте новый лог CheckBrowserLnk
-
-
Junior Member
- Вес репутации
- 56
-
-
-
Junior Member
- Вес репутации
- 56
Спасибо большое за помощь! Вроде бы все нормально! Этих проблем больше не возникает. Может быть отказаться от Хрома (именно он оказался уязвимым и он у меня больше не обновляется, о чем постоянно уведомляет, потому что у меня слишком устаревшее железо). Всего Вам доброго!
-
Выполните скрипт в AVZ при наличии доступа в интернет:
Код:
var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.
Советы и рекомендации после лечения компьютера
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 7
- В ходе лечения вредоносные программы в карантинах не обнаружены
-