Закрыто Офисный ноутбук 1, всплывающая реклама

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Razey, 8 апр 2015.

Статус темы:
Закрыта.
  1. Razey
    Оффлайн

    Razey Активный пользователь

    Сообщения:
    590
    Симпатии:
    31
    Здравствуйте!

    Имеются 3 офисных ноутбука, главная проблема которых - "самооткрывающиеся" окна с рекламой, а также реклама одного вида, появляющаяся на разных страницах браузера. Здесь логи 1-го из них...
     

    Вложения:

    Последнее редактирование: 8 апр 2015
  2. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Яху мессенджер нужен?

    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):

    begin
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
     QuarantineFile('C:\Program Files (x86)\AskPartnerNetwork\Toolbar\SGT3-V7\Passport.dll', '');
     QuarantineFile('C:\Users\user\AppData\Local\Kometa\kometaup.exe', '');
     QuarantineFile('C:\Users\Admin\AppData\Roaming\Browsers\exe.erolpxei.bat', '');
     QuarantineFile('C:\Users\Admin\AppData\Roaming\Browsers\exe.emorhc.bat', '');
     DeleteFile('C:\Users\Admin\AppData\Roaming\Browsers\exe.emorhc.bat', '32');
     DeleteFile('C:\Users\Admin\AppData\Roaming\Browsers\exe.erolpxei.bat', '32');
     DeleteFile('C:\Users\user\AppData\Local\Kometa\kometaup.exe', '32');
     DeleteFile('C:\Program Files (x86)\AskPartnerNetwork\Toolbar\SGT3-V7\Passport.dll', '32');
     DeleteFileMask('C:\Users\user\AppData\Local\Kometa\', '*', true);
     DeleteDirectory('C:\Users\user\AppData\Local\Kometa\');
     DeleteFileMask('C:\Users\Admin\AppData\Roaming\Browsers\', '*', true);
     DeleteDirectory('C:\Users\Admin\AppData\Roaming\Browsers\');
     DeleteFileMask('C:\Program Files (x86)\AskPartnerNetwork\', '*', true);
     DeleteDirectory('C:\Program Files (x86)\AskPartnerNetwork\');
     DelBHO('{53475433-2D56-3700-76A7-7A786E7484D7}');
     RegKeyParamDel('HKEY_USERS', 'S-1-5-21-1836768230-2093935040-3906407843-1004\Software\Microsoft\Windows\CurrentVersion\Run', 'kometaup');
    BC_ImportAll;
     ExecuteWizard('SCU', 2, 3, true);
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.

     
    Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.



    - Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:
    Код (Text):


    C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gооgle Chrоme.lnk
    C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunch Internet Ехрlоrеr Вrоwser.lnk
    C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gоoglе Chromе (2).lnk
    C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gоoglе Chromе.lnk
    C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnet Еxplоrеr (2).lnk
    C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnet Еxplоrеr.lnk
    C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Eхplоrеr (Nо Add-оns).lnk
    C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnet Еxplоrеr.lnk
    C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnet Ехplоrеr (64-bit).lnk
    C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Kometa\Kometa.lnk

     


    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
    • Прикрепите отчет к своему следующему сообщению.
     
    Razey нравится это.
  3. Razey
    Оффлайн

    Razey Активный пользователь

    Сообщения:
    590
    Симпатии:
    31
    Все вышеперечисленное выполнил, логи прилагаю.
    --- Объединённое сообщение, 10 апр 2015, Дата первоначального сообщения: 10 апр 2015 ---
    Яху мессенджер нужен...
     

    Вложения:

  4. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать").
    • По окончанию сканирования снимите галочки со следующих строк:
      Код ( (Unknown Language)):

      Служба Найдено : YahooAUService
      Папка Найдено : C:\ProgramData\Yahoo! Companion
      Папка Найдено : C:\Users\Admin\AppData\Local\Mail.Ru
      Папка Найдено : C:\Users\Admin\AppData\Local\MailRu
      Папка Найдено : C:\Users\Admin\AppData\LocalLow\Yahoo! Companion
      Папка Найдено : C:\Users\Admin\AppData\LocalLow\YahooCouponAddOn
      Папка Найдено : C:\Users\user\AppData\LocalLow\Yahoo! Companion
      Папка Найдено : C:\Users\user\AppData\LocalLow\YahooCouponAddOn
      Ключ Найдено : HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\MailRuUpdater
      Ключ Найдено : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Yahoo! Companion
      Ключ Найдено : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Yahoo! Toolbar
       
    • Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
    • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
    • Прикрепите отчет к своему следующему сообщению
    Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.



    Скачайте Farbar Recovery Scan Tool [​IMG] и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    • Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".


      [​IMG]

    • Нажмите кнопку Scan.
    • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
    • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
     
    Razey нравится это.
  5. Razey
    Оффлайн

    Razey Активный пользователь

    Сообщения:
    590
    Симпатии:
    31
    Рекомендации все выполнил. Отчеты во вложении.
     

    Вложения:

    • AdwCleaner[S0].txt
      Размер файла:
      8,6 КБ
      Просмотров:
      2
    • Addition.txt
      Размер файла:
      33,1 КБ
      Просмотров:
      1
    • FRST.txt
      Размер файла:
      94,5 КБ
      Просмотров:
      1
  6. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
    Код ( (Unknown Language)):
    start
    CreateRestorePoint:
    SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    BHO: Vuze Toolbar -> {53475433-2D56-3700-76A7-7A786E7484D7} -> "C:\Program Files (x86)\AskPartnerNetwork\Toolbar\SGT3-V7\Passport_x64.dll" No File
    SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    Toolbar: HKLM - Vuze Toolbar - {53475433-2D56-3700-76A7-7A786E7484D7} - "C:\Program Files (x86)\AskPartnerNetwork\Toolbar\SGT3-V7\Passport_x64.dll" No File
    Toolbar: HKU\.DEFAULT -> Vuze Toolbar - {53475433-2D56-3700-76A7-7A786E7484D7} - "C:\Program Files (x86)\AskPartnerNetwork\Toolbar\SGT3-V7\Passport_x64.dll" No File
    Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
    Toolbar: HKU\S-1-5-21-1836768230-2093935040-3906407843-1000 -> Vuze Toolbar - {53475433-2D56-3700-76A7-7A786E7484D7} - "C:\Program Files (x86)\AskPartnerNetwork\Toolbar\SGT3-V7\Passport_x64.dll" No File
    CHR DefaultSearchKeyword: Default -> FDF7A59F90F9D7B4149353BC9A24D71A184C606F13ED6E0EAA3D7F80806D10EC
    CHR DefaultSearchURL: Default -> 33708BC00DFD418A7C581DDBBA85ABBF2F976DF1D01F611C6049AD23087FFA22
    2015-04-01 11:19 - 2015-04-01 11:19 - 00000000 ____D () C:\Users\user\AppData\Roaming\SPI
    2015-04-01 11:19 - 2015-04-01 11:19 - 00000000 ____D () C:\Users\user\AppData\Roaming\Browsers
    2015-03-31 10:17 - 2015-03-31 10:17 - 00171192 _____ () C:\Users\user\Downloads\Завтра ветер перемен (1).exe
    2015-03-31 10:15 - 2015-03-31 10:15 - 00171192 _____ () C:\Users\user\Downloads\Завтра ветер перемен.exe
    2015-03-31 10:03 - 2015-03-31 10:03 - 00000000 ____D () C:\Users\Admin\AppData\Roaming\YoPlayer
    2014-05-22 20:37 - 2007-06-09 15:50 - 0065536 _____ () C:\ProgramData\accdump.exe
    2014-05-13 22:39 - 2014-05-13 22:39 - 0000000 ____H () C:\ProgramData\DP45977C.lfl
    C:\Users\user\AppData\Local\Temp\downloader.exe
    C:\Users\user\AppData\Local\Temp\fast-torrent-search.exe
    C:\Users\user\AppData\Local\Temp\Free_Music_File243228.exe
    C:\Users\user\AppData\Local\Temp\i4jdel0.exe
    C:\Users\user\AppData\Local\Temp\kometa_vd.exe
    C:\Users\user\AppData\Local\Temp\Setup-bm.exe
    C:\Users\user\AppData\Local\Temp\vuupc.exe
    HKU\S-1-5-21-1836768230-2093935040-3906407843-1000\...\Run: [VkontakteDJ] => C:\VkontakteDJ\YoPlayer.exe [5152256 2015-03-20] ()
    AlternateDataStreams: C:\Windows\system32\IEUDINIT.EXE:$CmdTcID
    AlternateDataStreams: C:\Windows\system32\java.exe:$CmdTcID
    AlternateDataStreams: C:\Windows\system32\javaw.exe:$CmdTcID
    AlternateDataStreams: C:\Windows\system32\javaws.exe:$CmdTcID
    AlternateDataStreams: C:\Users\Admin\Desktop\adwcleaner_4.201.exe:$CmdTcID
    AlternateDataStreams: C:\Users\Admin\Desktop\adwcleaner_4.201.exe:$CmdZnID
    AlternateDataStreams: C:\Users\Admin\Desktop\FRST64.exe:$CmdTcID
    AlternateDataStreams: C:\Users\Admin\Desktop\FRST64.exe:$CmdZnID
    AlternateDataStreams: C:\Users\user\Desktop\adwcleaner_4.201.exe:$CmdTcID
    AlternateDataStreams: C:\Users\user\Desktop\adwcleaner_4.201.exe:$CmdZnID
    AlternateDataStreams: C:\Users\user\Downloads\adwcleaner_4.201.exe:$CmdTcID
    AlternateDataStreams: C:\Users\user\Downloads\adwcleaner_4.201.exe:$CmdZnID
    AlternateDataStreams: C:\Users\user\Downloads\ДЛ Й-О.xls:$CmdZnID
    AlternateDataStreams: C:\Users\user\Downloads\ДЛ Н-к.xls:$CmdZnID
    AlternateDataStreams: C:\Users\user\Downloads\Протоколо продлении полномочий генерального директора (1).doc:$CmdZnID
    AlternateDataStreams: C:\Users\user\Downloads\Протоколо продлении полномочий генерального директора.doc:$CmdZnID
    AlternateDataStreams: C:\Users\user\Downloads\Ратэк.xls:$CmdZnID
    AlternateDataStreams: C:\Users\user\Downloads\РЕШЕНИЕ УЧАСТНИКА Полина Тур.docx:$CmdZnID
    EmptyTemp:
    Reboot:
    end
    Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.
     
    Razey нравится это.
  7. Razey
    Оффлайн

    Razey Активный пользователь

    Сообщения:
    590
    Симпатии:
    31
    Выполнено... Что делать дальше?
     

    Вложения:

    • Fixlog.txt
      Размер файла:
      8,6 КБ
      Просмотров:
      1
  8. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Скачайте Malwarebytes' Anti-Malware или с зеркала. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
    Самостоятельно ничего не удаляйте!!!
    Если лог не открылся, то найти его можно в следующей папке:
    Код (Text):
    %appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs
    Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: MBAM-log-2014-10-14 (12-18-10).txt
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM, зеркало обновлений MBAM.
    Подробнее читайте в руководстве.
     
Статус темы:
Закрыта.

Поделиться этой страницей