Добрый день.
при запуске браузеров Chrome или Explorer открываются сайты tutraflab.ru, потом стал открываться megogo, потом goinf.ru
также при открытии различных сайтов всплывает белый квадрат в нижнем правом углу (как реклама, только пустой)
Добрый день.
при запуске браузеров Chrome или Explorer открываются сайты tutraflab.ru, потом стал открываться megogo, потом goinf.ru
также при открытии различных сайтов всплывает белый квадрат в нижнем правом углу (как реклама, только пустой)
Уважаемый(ая) Danil Govorushenko, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; DelBHO('{1D355335-BE86-4418-AC98-2436CC3D6D74}'); QuarantineFile('C:\Program Files (x86)\Media Saver\Toolbar32.dll',''); QuarantineFile('C:\iexplore.bat',''); QuarantineFile('C:\Users\Danil\AppData\Local\Google\chrome.bat',''); SetServiceStart('wStLib64', 4); DeleteService('wStLib64'); SetServiceStart('Update Service for Media Saver', 4); DeleteService('Update Service for Media Saver'); SetServiceStart('MSLSService', 4); DeleteService('MSLSService'); QuarantineFile('C:\Windows\system32\drivers\wStLib64.sys',''); TerminateProcessByName('c:\program files (x86)\media saver\basement\mslsservice.exe'); QuarantineFile('c:\program files (x86)\media saver\basement\mslsservice.exe',''); TerminateProcessByName('c:\program files (x86)\media saver\basement\mslserver.exe'); QuarantineFile('c:\program files (x86)\media saver\basement\mslserver.exe',''); TerminateProcessByName('c:\program files (x86)\media saver\basement\extensionupdaterservice.exe'); QuarantineFile('c:\program files (x86)\media saver\basement\extensionupdaterservice.exe',''); DeleteFile('c:\program files (x86)\media saver\basement\extensionupdaterservice.exe','32'); DeleteFile('c:\program files (x86)\media saver\basement\mslserver.exe','32'); DeleteFile('c:\program files (x86)\media saver\basement\mslsservice.exe','32'); DeleteFile('C:\Windows\system32\drivers\wStLib64.sys','32'); DeleteFile('C:\Users\Danil\AppData\Local\Google\chrome.bat','32'); DeleteFile('C:\iexplore.bat','32'); DeleteFile('C:\Program Files (x86)\Media Saver\Toolbar32.dll','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Пофиксите в HiJack
Сделайте новые логиКод:R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=f263300f8ee4efcfe3d11314ccbad1af&text={searchTerms} R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=f263300f8ee4efcfe3d11314ccbad1af&text={searchTerms} R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=f263300f8ee4efcfe3d11314ccbad1af&text= R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=f263300f8ee4efcfe3d11314ccbad1af&text= O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file) O13 - DefaultPrefix: http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=f263300f8ee4efcfe3d11314ccbad1af&text=
Сделайте такой лог
Сделайте логи RSIT
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
все указанные действия выполнил
Нет, не все. Я просил сделать и новые логи по правилам
- Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
- Распакуйте архив с утилитой в отдельную папку.
- Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
- Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
- Прикрепите этот отчет к своему следующему сообщению.
удалите вручнуюC:\Users\Danil\AppData\Roaming\Media Saver
C:\iехplоrе.bаt.exe
C:\Program Files (x86)\Media Saver
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
удалил всё кроме C:\iехplоrе.bаt.exe
этот файл не нашёл
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
сайты о которых я писал уже не открываются, но белый квадрат всё еще выскакивает.
- Скачайте SITLog и сохраните архив с утилитой на Рабочем столе
- Распакуйте архив с утилитой в отдельную папку
- Запустите sitlog.exe
Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да- В главном окне программы выберите проверку за последние три месяца и нажмите "Старт"
- По окончанию работы программы в папке LOG должны появиться два отчета SITLog.txt и SITLog_Info.txt
- Прикрепите эти отчеты в вашей теме.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
готово
C:\Users\Danil\AppData\Roaming\Media Saver по-прежнему в логах. Как же Вы ее удаляли-то ))
Расширение Без имени удалите
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
в прошлый раз удалил содержимое папки. теперь удалил и саму папку C:\Users\Danil\AppData\Roaming\Media Saver
- - - - -Добавлено - - - - -
не знаю как удалить расширение Без имени
Удалите C:\Users\Danil\AppData\Local\Google\Chrome\User Data\Default\Extensions\dldcbakcjliccckkmfjcblhcii lpdcil
Расширение Last updated at $time$ on $date$ тоже под снос. Его адрес C:\Users\Danil\AppData\Local\Google\Chrome\User Data\Default\Extensions\ocifcklkibdehekfnmflempfgj hbedch
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
удалил.
проблема решена спасибо Вам большое.
последний вопрос. можно ли ставить расширение "AdBlock"?
потому что с появлением данной проблемы AdBlock не работал
Без понятия. Одно могу сказать, что и AdBlock - не панацея
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Спасибо ещё раз.
С наступающим!
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 7
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) Danil Govorushenko, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.