Закрыто реклама

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Павелл, 30 янв 2014.

Статус темы:
Закрыта.
  1. Павелл
    Оффлайн

    Павелл Новый пользователь

    Сообщения:
    3
    Симпатии:
    0
    здравствуйте. начала всплывать реклама во всех браузерах. антивирус ничего не нашел. потом стали через раз нажиматься кнопки типа "войти" и тд. сейчас не могу зайти ВК и комп страшно тормозит. и я не пойму как загрузить файл, он весь рабочий стол хочет загрузить
     
  2. Павелл
    Оффлайн

    Павелл Новый пользователь

    Сообщения:
    3
    Симпатии:
    0
    результат
     

    Вложения:

  3. mike 1
    Оффлайн

    mike 1 Активный пользователь

    Сообщения:
    2.471
    Симпатии:
    866
    Здравствуйте!

    Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.

    Код (Text):
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://yambler.net
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
    O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
    O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)
    O4 - HKCU\..\Run: [MicrosoftUpdate] C:\TEMP\4822.tmp.exe
    O17 - HKLM\System\CCS\Services\Tcpip\..\{5A08005E-93B8-4951-B8C0-5F129F4D1C0F}: NameServer = 193.111.137.202,8.8.8.8
    O17 - HKLM\System\CCS\Services\Tcpip\..\{846ee342-7039-11de-9d20-806e6f6e6963}: NameServer = 193.111.137.202,8.8.8.8
    O17 - HKLM\System\CS1\Services\Tcpip\..\{5A08005E-93B8-4951-B8C0-5F129F4D1C0F}: NameServer = 193.111.137.202,8.8.8.8
    O17 - HKLM\System\CS2\Services\Tcpip\..\{5A08005E-93B8-4951-B8C0-5F129F4D1C0F}: NameServer = 193.111.137.202,8.8.8.8
    O20 - AppInit_DLLs: C:\PROGRA~3\Mozilla\xkedgxm.dll
    Если после фикса пропадет Интернет, впишите в настройки DNS адреса, выданные Вам провайдером (см. договор или звоните в их техподдержку).

    Потом закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:

    Код (Text):
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
      then
       begin
        SearchRootkit(true, true);
        SetAVZGuardStatus(true);
       end;
    ClearQuarantine;
    QuarantineFile('C:\PROGRA~3\Mozilla\xkedgxm.dll','');
    QuarantineFile('C:\TEMP\4822.tmp.exe','');
    DeleteFile('C:\TEMP\4822.tmp.exe','32');      
    DeleteFile('C:\PROGRA~3\Mozilla\xkedgxm.dll','32');
    DelBHO('{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a}');
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteWizard('SCU', 2, 3, true);
    BC_Activate;
    RebootWindows(true);
    end.
    Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    После перезагрузки архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

    Смените пароли на веб ресурсы.

    Откройте AVZ - сервис - поиск данных в реестре. В поле "образец" впишите webalta, нажмите "пуск" после окончания сохраните протокол и выложите сюда.

    Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
    Самостоятельно ничего не удаляйте!!!
    Если лог не открылся, то найти его можно в следующей папке:
    Код (Text):
    %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
    Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
    Подробнее читайте в руководстве
     
    machito нравится это.
  4. Павелл
    Оффлайн

    Павелл Новый пользователь

    Сообщения:
    3
    Симпатии:
    0
    вот
    --- Объединённое сообщение, 31 янв 2014, Дата первоначального сообщения: 31 янв 2014 ---
    и вот
    --- Объединённое сообщение, 31 янв 2014 ---
    но реклама пропала вроде. и не тормозит
     

    Вложения:

    • Export.txt
      Размер файла:
      1,6 МБ
      Просмотров:
      1
    • лог.txt
      Размер файла:
      10,9 КБ
      Просмотров:
      1
  5. mike 1
    Оффлайн

    mike 1 Активный пользователь

    Сообщения:
    2.471
    Симпатии:
    866
    1. Удалите все найденное в AVZ ключи с Webalta: ПКМ по списку - выбрать все - нажать "удалить отмеченное".

    2. Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).

    Подробнее читайте в руководстве

    Код (Text):
    Обнаруженные ключи в реестре:  34
    HKCR\AppID\{562B9316-C08A-444A-9482-62080DD851AE} (PUP.Optional.SpeedAnalysis3.A) -> Действие не было предпринято.
    HKCR\CLSID\{75A4D144-506D-4BE5-81DB-EC7DA1E7F840} (PUP.Optional.Funmoods.A) -> Действие не было предпринято.
    HKCR\TypeLib\{960DF771-CFCB-4E53-A5B5-6EF2BBE6E706} (PUP.Optional.Funmoods.A) -> Действие не было предпринято.
    HKCR\esrv.funmoodsESrvc.1 (PUP.Optional.Funmoods.A) -> Действие не было предпринято.
    HKCR\esrv.funmoodsESrvc (PUP.Optional.Funmoods.A) -> Действие не было предпринято.
    HKCR\CLSID\{965B9DBE-B104-44AC-950A-8A5F97AFF439} (PUP.Optional.Funmoods.A) -> Действие не было предпринято.
    HKCR\escort.escortIEPane.1 (PUP.Optional.Funmoods.A) -> Действие не было предпринято.
    HKCR\escort.escortIEPane (PUP.Optional.Funmoods.A) -> Действие не было предпринято.
    HKCR\CLSID\{A9DB719C-7156-415E-B49D-BAD039DE4F13} (PUP.Optional.Funmoods.A) -> Действие не было предпринято.
    HKCR\funmoodsApp.appCore.1 (PUP.Optional.Funmoods.A) -> Действие не было предпринято.
    HKCR\funmoodsApp.appCore (PUP.Optional.Funmoods.A) -> Действие не было предпринято.
    HKCR\CLSID\{F03FD9D0-4F2B-497C-8A71-DD41D70B07D9} (PUP.Optional.Funmoods.A) -> Действие не было предпринято.
    HKCR\f (PUP.Optional.Funmoods.A) -> Действие не было предпринято.
    HKCR\CLSID\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.Optional.ToolBar.WA) -> Действие не было предпринято.
    HKCR\Typelib\{1D085C0A-E4F4-4F66-BDBF-4BE51015BFC3} (PUP.Optional.Funmoods.A) -> Действие не было предпринято.
    HKCR\Interface\{0D80F1C5-D17B-4177-AC68-955F3EF9F191} (PUP.Optional.Funmoods.A) -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.Optional.ToolBar.WA) -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{B7971660-A1CE-4FDD-B9E0-2C37D77AFB0B} (PUP.Optional.FunMoods.A) -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{B7971660-A1CE-4FDD-B9E0-2C37D77AFB0B} (PUP.Optional.FunMoods.A) -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.Optional.ToolBar.WA) -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.Optional.ToolBar.WA) -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{C87FC351-A80D-43E9-9A86-CF1E29DC443A} (PUP.Optional.Funmoods.A) -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\2DC74854-88F0-4543-9AC5-3ACABFABA8F4_is1 (Trojan.Agent) -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\2BA01940-9A12-40CD-A9AD-F3E68C5E2918_is1 (Trojan.Agent) -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Funmoods (PUP.Optional.FunMoods.A) -> Действие не было предпринято.
    HKCU\SOFTWARE\Funmoods (PUP.FunMoods) -> Действие не было предпринято.
    HKCU\SOFTWARE\InstallCore\funmoods (PUP.FunMoods) -> Действие не было предпринято.
    HKCU\Software\Google\Chrome\Extensions\bbjciahceamgodcoidkjpchnokgfpphh (PUP.Funmoods) -> Действие не было предпринято.
    HKCU\Software\Google\Chrome\Extensions\cjpglkicenollcignonpgiafdgfeehoj (PUP.Optional.FunMoods.A) -> Действие не было предпринято.
    HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Webalta Toolbar (PUP.Optional.ToolBar.WA) -> Действие не было предпринято.
    HKLM\SOFTWARE\Google\Chrome\Extensions\bbjciahceamgodcoidkjpchnokgfpphh (PUP.Funmoods) -> Действие не было предпринято.
    HKLM\SOFTWARE\Google\Chrome\Extensions\cjpglkicenollcignonpgiafdgfeehoj (PUP.Optional.FunMoods.A) -> Действие не было предпринято.
    HKLM\SOFTWARE\InstallCore\funmoods (PUP.Optional.FunMoods.A) -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\funmoods (PUP.Optional.FunMoods.A) -> Действие не было предпринято.

    Обнаруженные параметры в реестре:  1
    HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs|Tabs (PUP.Optional.FunMoods.A) -> Параметры: http://searchfunmoods.com/?f=2&a=adknlg1y&ir=adknlg1y&cd=2XzuyEtN2Y1L1QzutBtD0C0FtAtD0CyDtDtAzy0Czz0EyE0BtN0D0Tzu0CtAyCyCtN1L2XzutBtFtBtFtCtFyEtDyB&cr=240551957 -> Действие не было предпринято.

    Обнаруженные папки:  10
    C:\Users\Lavr\AppData\Roaming\Funmoods\UpdateProc (PUP.Optional.FunMoods.A) -> Действие не было предпринято.
    C:\Users\Lavr\Local Settings\Application Data\Webalta Toolbar (PUP.Optional.ToolBar.WA) -> Действие не было предпринято.
    C:\Users\Lavr\AppData\Local\Webalta Toolbar (PUP.Optional.ToolBar.WA) -> Действие не было предпринято.
    C:\Windows\assembly\GAC_MSIL\WebAltaSearch (PUP.Optional.ToolBar.WA) -> Действие не было предпринято.
    C:\Windows\assembly\GAC_MSIL\WebAltaSearch\1.1.0.0__cae29f257fecba88 (PUP.Optional.ToolBar.WA) -> Действие не было предпринято.
    C:\Users\Lavr\AppData\LocalLow\Funmoods (PUP.Optional.FunMoods.A) -> Действие не было предпринято.
    C:\Users\Lavr\AppData\LocalLow\Funmoods\Funmoods (PUP.Optional.FunMoods.A) -> Действие не было предпринято.
    C:\Program Files (x86)\Funmoods (PUP.Optional.FunMoods.A) -> Действие не было предпринято.
    C:\Program Files (x86)\Funmoods\1.5.23.22 (PUP.Optional.FunMoods.A) -> Действие не было предпринято.
    C:\Program Files (x86)\Funmoods\1.5.23.22\bh (PUP.Optional.FunMoods.A) -> Действие не было предпринято.

    Обнаруженные файлы:
    C:\Program Files (x86)\Funmoods\1.5.23.22\funmoodssrv.exe (PUP.Optional.Funmoods.A) -> Действие не было предпринято.
    C:\Program Files (x86)\Funmoods\1.5.23.22\escortApp.dll (PUP.Optional.Funmoods.A) -> Действие не было предпринято.
    C:\Program Files (x86)\Funmoods\1.5.23.22\escortEng.dll (PUP.Optional.Funmoods.A) -> Действие не было предпринято.
    C:\$Recycle.Bin\S-1-5-21-1354362339-4218152220-1394050297-1000\$R6XZSKC.exe (Trojan.Hideproc) -> Действие не было предпринято.
    C:\$Recycle.Bin\S-1-5-21-1354362339-4218152220-1394050297-1000\$RCAEI5J.rar (Trojan.Hideproc) -> Действие не было предпринято.
    C:\$Recycle.Bin\S-1-5-21-1354362339-4218152220-1394050297-1000\$RGREWI0.exe (PUP.Adware.MediaGet) -> Действие не было предпринято.
    C:\$Recycle.Bin\S-1-5-21-1354362339-4218152220-1394050297-1000\$RJBVIGZ.exe (Trojan.Hideproc) -> Действие не было предпринято.
    C:\Users\Lavr\AppData\Local\Webalta Toolbar\WebAltaSearch.dll (PUP.WebAlta) -> Действие не было предпринято.
    C:\Windows\assembly\GAC_MSIL\WebAltaSearch\1.1.0.0__cae29f257fecba88\WebAltaSearch.dll (PUP.WebAlta) -> Действие не было предпринято.
    C:\Users\Lavr\AppData\Roaming\Funmoods\UpdateProc\config.dat (PUP.Optional.FunMoods.A) -> Действие не было предпринято.
    C:\Users\Lavr\AppData\Roaming\Funmoods\UpdateProc\gup_dt.dat (PUP.Optional.FunMoods.A) -> Действие не было предпринято.
    C:\Users\Lavr\AppData\Roaming\Funmoods\UpdateProc\UpdateTask.exe (PUP.Optional.FunMoods.A) -> Действие не было предпринято.
    C:\Users\Lavr\Local Settings\Application Data\Google\Chrome\User Data\Default\Local Storage\chrome-extension_bbjciahceamgodcoidkjpchnokgfpphh_0.localstorage (PUP.Funmoods) -> Действие не было предпринято.
    C:\Users\Lavr\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_bbjciahceamgodcoidkjpchnokgfpphh_0.localstorage (PUP.Funmoods) -> Действие не было предпринято.
    C:\Users\Lavr\AppData\Local\funmoods.crx (PUP.Funmoods) -> Действие не было предпринято.
    C:\Users\Lavr\Local Settings\Application Data\funmoods.crx (PUP.Funmoods) -> Действие не было предпринято.
    C:\Users\Lavr\Local Settings\Application Data\funmoods-speeddial_sf.crx (PUP.Optional.FunMoods.A) -> Действие не было предпринято.
    C:\Users\Lavr\AppData\Local\funmoods-speeddial_sf.crx (PUP.Optional.FunMoods.A) -> Действие не было предпринято.
    C:\Users\Lavr\Local Settings\Application Data\Webalta Toolbar\BandObjectLib.dll (PUP.Optional.ToolBar.WA) -> Действие не было предпринято.
    C:\Users\Lavr\Local Settings\Application Data\Webalta Toolbar\gacutil.exe (PUP.Optional.ToolBar.WA) -> Действие не было предпринято.
    C:\Users\Lavr\Local Settings\Application Data\Webalta Toolbar\Interop.SHDocVw.dll (PUP.Optional.ToolBar.WA) -> Действие не было предпринято.
    C:\Users\Lavr\Local Settings\Application Data\Webalta Toolbar\uninstall.exe (PUP.Optional.ToolBar.WA) -> Действие не было предпринято.
    C:\Users\Lavr\Local Settings\Application Data\Webalta Toolbar\WebAltaSearch.dll (PUP.Optional.ToolBar.WA) -> Действие не было предпринято.
    C:\Users\Lavr\AppData\Local\Webalta Toolbar\BandObjectLib.dll (PUP.Optional.ToolBar.WA) -> Действие не было предпринято.
    C:\Users\Lavr\AppData\Local\Webalta Toolbar\gacutil.exe (PUP.Optional.ToolBar.WA) -> Действие не было предпринято.
    C:\Users\Lavr\AppData\Local\Webalta Toolbar\Interop.SHDocVw.dll (PUP.Optional.ToolBar.WA) -> Действие не было предпринято.
    C:\Users\Lavr\AppData\Local\Webalta Toolbar\uninstall.exe (PUP.Optional.ToolBar.WA) -> Действие не было предпринято.
    C:\Program Files (x86)\Funmoods\1.5.23.22\escortShld.dll (PUP.Optional.FunMoods.A) -> Действие не было предпринято.
    C:\Program Files (x86)\Funmoods\1.5.23.22\FavIcon.ico (PUP.Optional.FunMoods.A) -> Действие не было предпринято.
    C:\Program Files (x86)\Funmoods\1.5.23.22\Sqlite3.dll (PUP.Optional.FunMoods.A) -> Действие не было предпринято.
    C:\Program Files (x86)\Funmoods\1.5.23.22\uninst.dat (PUP.Optional.FunMoods.A) -> Действие не было предпринято.
    C:\Program Files (x86)\Funmoods\1.5.23.22\uninstall.exe (PUP.Optional.FunMoods.A) -> Действие не было предпринято.
    После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

    Проверьте эти файлы на virustotal
    Код (Text):
    C:\QGNA\unins000.exe
    C:\QGNA\Games\BS\unins000.exe
    C:\Users\Lavr\Desktop\bs_install-OMRKXlj9.exe
    кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.
     
Статус темы:
Закрыта.

Поделиться этой страницей