yapages.ru - новая зараза [Trojan-Downloader.Win32.Genome.rneg
]
Собственно завелась, меняет стартовые страницы и,почему-то, проадают настройки огнелиса (стартовая, открывать браузер с окнами,открытыми в прошлый раз,) вместо этого - yapages.ru , в реестре чисто, др.веб нашел 7 троянов, но с браузером это не помогло.
Сейчас AVZ проверяет, но тоже ничего не нашел.
Подскажите лечилку, или,может быть кто сталкивался?
hijack вырубается сразу с правами администратора, ругается на хостс и закрывается.
Последний раз редактировалось Nokian; 02.06.2015 в 13:57.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Nokian, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
begin
QuarantineFile('C:\Users\Анон\appdata\roaming\ssleas.exe','');
TerminateProcessByName('c:\users\Анон\appdata\local\temp\vuupc.exe');
QuarantineFile('c:\users\Анон\appdata\local\temp\vuupc.exe','');
TerminateProcessByName('c:\users\Анон\appdata\roaming\cppredistx86.exe');
QuarantineFile('c:\users\Анон\appdata\roaming\cppredistx86.exe','');
TerminateProcessByName('c:\users\Анон\appdata\roaming\acewebextension\updater\ace_web_extension.exe');
QuarantineFile('c:\users\Анон\appdata\roaming\acewebextension\updater\ace_web_extension.exe','');
DeleteFile('c:\users\Анон\appdata\roaming\acewebextension\updater\ace_web_extension.exe','32');
DeleteFile('c:\users\Анон\appdata\roaming\cppredistx86.exe','32');
DeleteFile('c:\users\Анон\appdata\local\temp\vuupc.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Visual C++ 2010');
DeleteFile('C:\Users\Анон\appdata\roaming\ssleas.exe','32');
ExecuteSysClean;
RebootWindows(true);
end.
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
Приветствую! запрошенный карантин через шапку темы отослал!
hijackjthis у меня почему-то не смотря на админскую учетку (я так понял не может в хостс запись сделать или посмотреть?) продолжает ругаться, после скрипта эта зараза не пропала.Логи вот.
Последний раз редактировалось Nokian; 04.06.2015 в 13:08.
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
удалил, провел очистку, не долго радовался , через какое-то время зараза вернулась снова и теперь еще и дисконнекты делает.Вот отчет
- - - - -Добавлено - - - - -
что самое плохое - ничего не помогло.Страница на браузере так и меняется домашняя на эту yapages , так еще и мои настройки слетают - то есть установлено чтобы с места разъединения вкладки открывались, то есть сохранялись - открываю браузер а там опять эта вредоносная страницы.
Последний раз редактировалось Nokian; 04.06.2015 в 14:20.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.
Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
После окончания работы программы в папке Log будет сохранен отчет Check_Browsers_LNK.log
все сделал, вот логи.После перезагрузки браузер предложил восстановление сессии, но вот же опять прописал в домашнюю страничку этот яппэйджс, снова вот сейчас опять.
Последний раз редактировалось Nokian; 05.06.2015 в 16:38.
не изменилась, только что браузер(огнелис) перезапустил и опять этот япайджэез, в остальных,вроде бы прошло, но я ими особо и не пользовался никогда.
Может это быть связанно с тем, что огнелис у меня на диске d и оттуда только ярлык на раб.столе? в свойствах ярлыка все нормально.
Что-же делать?
Последний раз редактировалось Nokian; 06.06.2015 в 11:10.
уже делал, переустановил браузер - он переустановился со старыми настройками и опять япейджес этот, соответственно гадость засела папке с личным профилем и расширениями для браузера
Последний раз редактировалось Nokian; 06.06.2015 в 12:42.
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.
Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
В главном окне программы нажмите на кнопку "Проверить"
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\FixerBro (лог в формате FixerBro_yyyymmdd.txt)
По окончанию сканирования нажмите на кнопку "Отчет".
После перезагрузки по скрипту - зараза осталась.(то есть заново вручную дом.страницу вводить пришлось и сохранение вкладок) Вот логи и отчет
А вот еще что - после вчерашнего удаления firefox и стирания файлов с диска d, все установилось по умолчанию заново на С, но со всеми моими расширениями,паролями и закладками, наверное там, в профиле, засела эта зараза..
Последний раз редактировалось Nokian; 07.06.2015 в 09:22.
Уважаемый(ая) Nokian, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: