-
Junior Member
- Вес репутации
- 35
опять yamdex.net
Добрый день! Всё совпадает с заявкой №170972,т.е. в хроме поисковик по умолчанию стоит yamdex.net-поменять не могу-так как пишет что так выставлено администратором и доступ к меню заблокирован.В свойствах ярлыков смотрел-всё там верно прописано.
Что сделано:
1.проделаны операции в заявке №170972-- нет изменений.
2.проверен установленным на ПК AVG Antivirus Free--- нет изменений
3.проверен в безопасном режиме ПК с помощью Dr.Web Curelt(файл результата прилагается), но нет изменений
4.при попытке скачать утилиты AVZ и HiJackTris CROME блокирует скачивание как вредоносный файл.
Помогите пожалуйста!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) mankigor2010, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Junior Member
- Вес репутации
- 35
Я прекрасно понимаю, что......."Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis," но как я написал ---- скачать вышеприведенные утилиты не имею возможности, т.к. загрузку блокирует Crome и даже при скачивании на не зараженный ПК дальнейшее открытие утилит на зараженном ПК невозможно.
- - - - -Добавлено - - - - -
Скачал на незараженном ноуте HijackThis.exe,поставил на зараженный ПК и просканировал--(лог прилагаю)
Немного помучался и получилось просканировать ПК утилитой AVZ---логи прилагаю в соответствии с правилами.
Последний раз редактировалось mankigor2010; 26.11.2014 в 18:14.
-
Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxl.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=e44ce96df411e46e7e7912b9944f02d2&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=e44ce96df411e46e7e7912b9944f02d2&text={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://searchfunmoods.com/?f=1&a=iron2&ir=iron2&cd=2XzuyEtN2Y1L1QzutDtDtByEtC0DtA0E0AtByE0BtDyDyDyBtN0D0Tzu0CtAzztAtN1L2XzutBtFtBtFtCtFyEtDyB&cr=136861965
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=e44ce96df411e46e7e7912b9944f02d2&text=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=e44ce96df411e46e7e7912b9944f02d2&text=
O2 - BHO: Funmoods Helper Object - {75EBB0AA-4214-4CB4-90EC-E3E07ECD04F7} - (no file)
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O3 - Toolbar: (no name) - {90b49673-5506-483e-b92b-ca0265bd9ca8} - (no file)
O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)
O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
O3 - Toolbar: Яндекс.Поиск - {893AE660-AE80-4dd0-9959-24D2337C04E8} - (no file)
O3 - Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
O3 - Toolbar: (no name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - (no file)
O18 - Protocol: base64 - {5ACE96C0-C70A-4A4D-AF14-2E7B869345E1} - (no file)
O18 - Protocol: chrome - {5ACE96C0-C70A-4A4D-AF14-2E7B869345E1} - (no file)
O18 - Protocol: prox - {5ACE96C0-C70A-4A4D-AF14-2E7B869345E1} - (no file)
Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
- Скачайте FixerBro by glax 24 и сохраните архив с утилитой на Рабочем столе
- Распакуйте архив с утилитой в отдельную папку
- Запустите FixerBro
Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
- В главном окне программы нажмите на кнопку "Проверить"
- Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\FixerBro (лог в формате FixerBro_yyyymmdd.txt)
- По окончанию сканирования нажмите на кнопку "Отчет".
- Сохраните лог утилиты
- Прикрепите сохраненный отчет в вашей теме.
-
-
Junior Member
- Вес репутации
- 35
п.0 Прилагаю лог после сканирования HiJackThis в полном объеме.
(Просьба вставить в "Инструкция по HiJackThis" между п.2 и п.3:
В появившемся окне нажмите на кнопку "Main Menu"(по крайней мере у меня было так...))
п.00 ссылка "Результаты проверки карантина онлайн-сервисом VirusDetector": http://virusinfo.info/virusdetector/...2A410871739B00
и ещё:Общие данные
MD5 карантина: 68C52EDD993B10920E2A410871739B00
Размер карантина: 58054377 байт
Карантин принят на анализ: 27.11.2014 8:00:07
Последнее обновление результатов анализа: 27.11.2014 8:00:33
Общее количество файлов: 25
Обсуждение на форуме VirusInfo: 171796
п.1-8: лог прилагаю
-
Проверьте эти файлы на virustotal
Код:
C:\WINDOWS\system32\kbdmai.dll
кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.
- Запустите повторно FixerBro by glax24.
Обратите внимание, что утилиты необходимо запускать через правую кн. мыши от имени администратора, на Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
- Нажмите на кнопку "Проверить", а по окончанию сканирования поставьте галочки напротив следующих строк и нажмите на кнопку Исправить. Дождитесь окончания удаления.
Код:
C:\Documents and Settings\Директор\Главное меню\Программы\Yandex\Yandex.lnk [C:\Documents and Settings\Директор\Local Settings\Application Data\Yandex\YandexBrowser\Application\browser.exe --"http://zarabotal-vdoma.com"]
- Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\FixerBro. (Лог в формате FixerBro_yyyymmdd.txt).
- По окончанию удаления нажмите на кнопку "Отчет"
- Сохраните лог утилиты
- Прикрепите сохраненный отчет в вашей теме.
Удалите расширения в браузере:
Default Tab - (C:\Documents and Settings\Директор\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\Ext ensions\
[email protected]) (04.06.2013)
Info Enhancer for Firefox - (C:\Documents and Settings\Директор\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\Ext ensions\dldcbakcjliccckkmfjcblhciilpdcil@infoenhan cer.com) (22.11.2014)
Desktopy - (C:\Documents and Settings\Директор\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\Ext ensions\{71238372-3743-33ab-8a9f-93722af74c97}) (28.10.2013)
SuperMegaBest.com - (C:\Documents and Settings\Директор\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\Ext ensions\
[email protected]) (11.11.2014)
-
-
Junior Member
- Вес репутации
- 35
п.0 ссылка после проверки https://www.virustotal.com/ru/file/6...is/1417109621/
п.1-6 лог прикреплен
Все приведенные файлы расширений в браузере удалил.
-
Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
-
-
Junior Member
- Вес репутации
- 35
Сделано,логи прилагаются..
Последний раз редактировалось mankigor2010; 28.11.2014 в 07:02.
-
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
SetAVZPMStatus(false);
QuarantineFile('C:\WINDOWS\System32\KBDMAI.dll','');
DeleteService('TicnoSearch');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(2);
RebootWindows(false);
end.
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Почему ничего не пофиксили в HiJackThis?
Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
-
-
Junior Member
- Вес репутации
- 35
Профиксил (извиняюсь).Карантин выслал.Все остальное сделал.Логи прилагаются
-
-
-
Junior Member
- Вес репутации
- 35
Без изменений.Прилагаю скрин.Может снести Chrome? и загрузить по новой?Хотя раньше это не помогало....:
Последний раз редактировалось mankigor2010; 28.11.2014 в 19:03.
-
- Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
- Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
- Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
- Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
-
-
Junior Member
- Вес репутации
- 35
-
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
-
-
Junior Member
- Вес репутации
- 35
Удалил всё.Отчет прилагаю
-
-
-
Junior Member
- Вес репутации
- 35
Без изменений.Поиск по умолчанию---- yamdex
-
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Убедитесь, что под окном Optional Scan отмечены "List BCD" и "Driver MD5".
- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
-