стартовая страница и разные глюки [not-a-virus:AdWare.Win32.Agent.efre ]

[TGR3]

Добрый день, скачали торент файл что то запустилось, стартовая страница другая, везде вроде майл.ру, но вроде не он...

[Info_bot]

Уважаемый(ая) TGR3, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 QuarantineFile('C:\Users\admin\AppData\Local\SystemDir\nethost.exe','');
 DelBHO('{2e32cfe5-df92-4ae5-b0be-609ed0df74a6}');
 QuarantineFile('C:\Program Files (x86)\SaveSense\SaveSenseIE.dll','');
 QuarantineFile('C:\Users\admin\AppData\Local\Kometa\kometaup.exe','');
 QuarantineFile('C:\Program Files (x86)\skinapp\allnet.sys','');
 TerminateProcessByName('c:\program files (x86)\skinapp\skinapp.exe');
 QuarantineFile('c:\program files (x86)\skinapp\skinapp.exe','');
 DeleteFile('c:\program files (x86)\skinapp\skinapp.exe','32');
 DeleteFile('C:\Program Files (x86)\skinapp\allnet.sys','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','skinapp');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','kometaup');
 DeleteFile('C:\Users\admin\AppData\Local\Kometa\kometaup.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ilaqvmjtak');
 DeleteFile('C:\Program Files (x86)\SaveSense\SaveSenseIE.dll','32');
 DeleteFile('C:\Users\admin\AppData\Local\SystemDir\nethost.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\nethost task','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи

[TGR3]

Вложение 586156
Вложение 586157
Сейчас компа нету под рукой, но есть кое какая инфа. Запуск проверки антивируса полная дал вот что на картинках вверху все удалил, а что майкрософтовский антивир не ловит вирусы? Такая куча или они не активированы и все нормально?

[thyrex]

Вы пришли сюда поговорить или будете выполнять то, что Вам написали?

[TGR3]

новые логи...
и немного поговорить, в c:\quarantine.zip там вирусы? или тело, а то я случайно открыл и каспер взвыл)))... наверно лучше поменять стандартный пароль?

[mrak74]

Пофиксите в HijackThis:

Код:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ekubosi.ru/?utm_source=startpage03&utm_content=b114da0c3ec8882d443ab608d1f4ead2&utm_term=854DB20917902C4DA5AC0078A8AE960F

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
  QuarantineFile('C:\Users\admin\appdata\local\temp\startpm.exe','');
  QuarantineFileF('C:\Users\admin\appdata\local\temp\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0, 0);
  DeleteFile('C:\Users\admin\appdata\local\temp\startpm.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(3);
 ExecuteWizard('SCU',2,2,true);
RebootWindows(true);
end.

После перезагрузки выполните скрипт:

Код:

begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантин
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

наверно лучше поменять стандартный пароль?

Стандартный пароль на что ? (учетную запись ПК, архив с карантином и т.д.)

[TGR3]

на пароль c:\quarantine.zip я его открыл... каспер взвыл... логи будут сейчас...

[mrak74]

на пароль c:\quarantine.zip я его открыл... каспер взвыл... логи будут сейчас...

не надо его менять. Ждём логи.

[TGR3]

скрипт второй завис и не отвечает. ждать когда отвиснить или еще раз запустить?

тут c:\quarantine.zip вирусы компу моему основному нечего не будет? я про это интересуюсь ...

[mrak74]

скрипт второй завис и не отвечает. ждать когда отвиснить или еще раз запустить?

Отвис ? Скрипт отработал ?

тут c:\quarantine.zip вирусы компу моему основному нечего не будет? я про это интересуюсь ...

Если самостоятельно их из архива не запустите, ничего не произойдет.

[TGR3]

да отвис... новые логи...

не запускал, просто открыл архиы (извлек все файлы ) и каспер взвыл, вот решил поинтересоваться.

ЗЫ а где нибудь можно почитать как вы анализируете логи, чтоб самому посмотреть, или обычным юзверам-админам туда не лезть лучше?



ЗЫ2 подвисание было не просто так, файл весить 380 метров, через ссылку вверху не проходить... из-за размера куда то в другое место залить?

ЗЫ3 вроде льется, но не знаю как долго... и зальется вообще...

[mrak74]

ЗЫ2 подвисание было не просто так, файл весить 380 метров, через ссылку вверху не проходить... из-за размера куда то в другое место залить?

ЗЫ3 вроде льется, но не знаю как долго... и зальется вообще...

Заливать никуда не надо !!! Удалите с компьютера. Мы против общего доступа к зараженным файлам, выкладывание их в открытый интернет может привести к заражению не в чем не повинных пользователей.

ЗЫ а где нибудь можно почитать как вы анализируете логи, чтоб самому посмотреть, или обычным юзверам-админам туда не лезть лучше?

http://virusinfo.info/showthread.php?t=96026 по окончанию обучения, все тайны будут ваши

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

[TGR3]

у меня пытается залиться по ссылку вверху, но загрузка 0 процентов, но льется.

да тайн то нету... просто иногда быстрее самому посмотреть, знание есть определенные, почему бы это не изучить... новое всегда интереснее

на этом все? что то серьезное было? просто так долго лечили мы его.


Я браузер сбросил настройки все и поменял поиск по умолчанию, и думал так отдать, а тут столько зверей)))

[mrak74]

[!] Папка Не Удалено : C:\Program Files (x86)\SaveSense

Удаляем еще раз все что связано с SaveSense, жду новый лог AdwCleaner.

[TGR3]

у меня не было этой папки, и в логах ее нету

[mrak74]

у меня не было этой папки, и в логах ее нету

Это из лога AdwCleaner[C1].txt 14 пост в этой теме.

Что с проблемой ?

[TGR3]

я понял что из лога, но не нашел сейчас папку, а проблемы мне как казалось и не было, были проблемы со стартовой страницой, но я до лечения сбросил настройки в хроме и вроде все хорошо... еще плюс проверка антивирусом много зверей нашла.. но после этого вы и ув. thyrex помогли почистить до конца... вроде все хорошо... я так понимаю это был не вирус?

[mrak74]

я так понимаю это был не вирус?

Вирус и его последствия.

Советы и рекомендации после лечения компьютера

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 5
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\program files (x86)\savesense\savesenseie.dll - not-a-virus:AdWare.Win32.Agent.efre ( DrWEB: Adware.Shopper.363 )
  2. c:\users\admin\appdata\local\systemdir\nethost.exe - HEUR:Trojan.Win32.Generic