Решена Торможение браузеров, всплывающая реклама.

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Razey, 1 мар 2015.

Метки:
Статус темы:
Закрыта.
  1. Razey
    Оффлайн

    Razey Активный пользователь

    Сообщения:
    589
    Симпатии:
    31
    здравствуйте! Человек запустил якобы мод, но скачанный не с сайта танков. После этого куча всплывающей рекламы, торможение браузеров и т.д. Логи во вложении.
     

    Вложения:

  2. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.199
    Симпатии:
    4.970
    Удалите через апплет установка и удаление программ:
    • Super Fast Download Manager Packages
    • SpeedCheck
    • SmartWeb
    • mystartsearch
    • AnyProtect
    • ConvertAd
    • Ask toolbar
    Эти программы вам знакомы,вы это используете?

    • Амиго браузер
    • Unity Web Player
    • Poker Superstars III
    • MediaGet
    • Advertising Center
    • Agatha Christie
    • Magic Desktop
    • PlayFree Браузер
    • Интернет
    • AnySend
    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):

    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    TerminateProcessByName('c:\users\Алексей\appdata\local\31464e43-1425147349-5731-4d56-101f74bff47d\ansi8eaf.exe');
    QuarantineFile('c:\program files (x86)\ver4speedcheck\y2speedcheckf72.exe', '');
    QuarantineFile('c:\users\Алексей\appdata\local\gmsd_ru_146\upgmsd_ru_146.exe', '');
    QuarantineFile('c:\users\Алексей\appdata\local\31464e43-1425231596-5731-4d56-101f74bff47d\jnsd4414.exe', '');
    QuarantineFile('c:\users\Алексей\appdata\local\31464e43-1425231596-5731-4d56-101f74bff47d\insy52e3.tmp', '');
    QuarantineFile('c:\program files (x86)\igs\basementduster.exe', '');
    QuarantineFile('c:\users\Алексей\appdata\local\31464e43-1425147349-5731-4d56-101f74bff47d\cnsi9ae0.tmp', '');
    QuarantineFile('c:\users\Алексей\appdata\roaming\aspackage\assrv.exe', '');
    QuarantineFile('c:\users\Алексей\appdata\local\31464e43-1425147349-5731-4d56-101f74bff47d\ansi8eaf.exe', '');
    QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\b40160231e0c64ee\Первый пользователь - Chrome.lnk', '');
    QuarantineFile('C:\Users\Public\Desktop\Gооglе Сhrоmе.lnk', '');
    QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Gооglе Сhrоmе.lnk', '');
    QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Яндекс\Яндекс.Бар\Онлайн помощь по Яндекс.Бару для Intеrnеt Ехрlоrеr.lnk', '');
    QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Mаil.Ru.lnk', '');
    QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Mоzillа Firеfох.lnk', '');
    QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mаil.Ru.lnk', '');
    QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mоzillа Firеfох (2).lnk', '');
    QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mоzillа Firеfох.lnk', '');
    QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехрlоrеr (Nо Аdd-оns).lnk', '');
    QuarantineFile('C:\Users\Алексей\Desktop\Первый пользователь - Сhrоmе.lnk', '');
    QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk', '');
    QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk', '');
    QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вконтакте.lnk', '');
    QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Одноклассники.lnk', '');
    QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk', '');
    QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Вконтакте.lnk', '');
    QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Одноклассники.lnk', '');
    QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Вконтакте.lnk', '');
    QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Одноклассники.lnk', '');
    QuarantineFile('C:\Users\Алексей\Desktop\Вконтакте.lnk', '');
    QuarantineFile('C:\Users\Алексей\Desktop\Одноклассники.lnk', '');
    QuarantineFile('C:\Users\Алексей\Links\Cloud Mail.Ru.lnk', '');
    QuarantineFile('C:\Users\Алексей\Desktop\Искать в Интернете.lnk', '');
    QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mоzillа Firеfох.lnk', '');
    QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Yandex.lnk', '');
    QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Амиго.lnk', '');
    QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Pirates\Рirаtеs.lnk', '');
    QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Pirates.lnk', '');
    QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games\Сrush thе Саstlе 2.lnk', '');
    QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder\WаrThundеr.lnk', '');
    QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Comodo\GeekBuddy\GeekBuddy.lnk', '');
    QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Start GeekBuddy.lnk', '');
    QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Wоrld оf Tаnks.lnk', '');
    QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PlayFree Браузер\РlаyFrее Браузер.lnk', '');
    QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\World of Tanks\Wоrld оf Tаnks.lnk', '');
    QuarantineFile('C:\Users\Алексей\Desktop\IMG_20141123_143253.jpg - Ярлык.lnk', '');
    QuarantineFile('C:\Users\Алексей\Desktop\VID_20141123_124921.3gp - Ярлык.lnk', '');
    QuarantineFile('C:\Users\Алексей\Desktop\VID_20141123_134626.3gp - Ярлык.lnk', '');
    QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\baidu\baidu.lnk', '');
    QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ghost Recon Future Soldier - Raven Strike\Начать игру.lnk', '');
    QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ghost Recon Future Soldier - Raven Strike\Удалить игру.lnk', '');
    QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MaxDownload\Uninstall.lnk', '');
    QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\McDonald'+#39+'s Dragons\Dragons.lnk', '');
    QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\McDonald'+#39+'s Dragons\Uninstall McDonald'+#39+'s Dragons.lnk', '');
    QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nival\Prime World\Prime World.lnk', '');
    QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nival\Prime World\Удалить игру.lnk', '');
    QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Деинсталлировать World of Tanks.lnk', '');
    QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Официальный сайт игры.lnk', '');
    QuarantineFile('C:\Games\World_of_Tanks\World_of_Tanks\website.url', '');
    QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Последние изменения.lnk', '');
    QuarantineFile('C:\Games\World_of_Tanks\World_of_Tanks\readme.url', '');
    QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Руководство по игре.lnk', '');
    QuarantineFile('C:\Games\World_of_Tanks\World_of_Tanks\game_manual.url', '');
    QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Энциклопедия.lnk', '');
    QuarantineFile('C:\Games\World_of_Tanks\World_of_Tanks\wiki.url', '');
    QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\COMODO GeekBuddy.lnk', '');
    QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\naPUrXmzaR.lnk', '');
    QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Играть! GameXP.lnk', '');
    QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AnyProtect PC Backup\AnyProtect.lnk', '');
    QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MediaGet2\Удалить MediaGet.lnk', '');
    QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SmartWeb.lnk', '');
    QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\World of Tanks\Деинсталлировать World of Tanks.lnk', '');
    QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\World of Tanks\Официальный сайт игры.lnk', '');
    QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\World of Tanks\Последние изменения.lnk', '');
    QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\World of Tanks\Руководство по игре.lnk', '');
    QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\World of Tanks\Энциклопедия.lnk', '');
    QuarantineFile('C:\Users\Алексей\Desktop\Dragons.lnk', '');
    QuarantineFile('C:\Users\Алексей\Pictures\2011-11-23 001\степка - Ярлык.lnk', '');
    QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Akella Games\Guilty Gear Isuka\Ссылки\www.akella.com.url', '');
    QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Akella Games\Guilty Gear Isuka\Ссылки\www.cdgames.ru.url', '');
    QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Buka\Hammerfight\Сайт KranX Productions.url', '');
    QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Buka\Hammerfight\Сайт компании Бука.url', '');
    QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Buka\Hammerfight\Сайт с игрой.url', '');
    QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nival\Prime World\Открыть официальный сайт игры.url', '');
    QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nival\Prime World\Сайт компании Nival.url', '');
    QuarantineFile('C:\Users\Алексей\AppData\Local\PlayFree Browser\Games\city_racing-gs_ig7\play.url', '');
    QuarantineFile('C:\Users\Алексей\AppData\Local\PlayFree Browser\Games\farm_frenzy-gs_rus\play.url', '');
    QuarantineFile('C:\Users\Алексей\AppData\Local\PlayFree Browser\Games\farm_frenzy-gs_rus\website.url', '');
    QuarantineFile('C:\Users\Алексей\AppData\Local\PlayFree Browser\Games\farm_frenzy_2-gs_rus\play.url', '');
    QuarantineFile('C:\Users\Алексей\AppData\Local\PlayFree Browser\Games\farm_frenzy_2-gs_rus\website.url', '');
    QuarantineFile('C:\Users\Алексей\AppData\Local\PlayFree Browser\Games\farm_frenzy_3-gs_rus\play.url', '');
    QuarantineFile('C:\Users\Алексей\AppData\Local\PlayFree Browser\Games\farm_frenzy_3-gs_rus\website.url', '');
    QuarantineFile('C:\Users\Алексей\AppData\Local\PlayFree Browser\Games\funny_farm-gs_rus\play.url', '');
    QuarantineFile('C:\Users\Алексей\AppData\Local\PlayFree Browser\Games\funny_farm-gs_rus\website.url', '');
    QuarantineFile('C:\Users\Алексей\AppData\Local\PlayFree Browser\Games\nitro_racers-gs_ig7\play.url', '');
    QuarantineFile('C:\Users\Алексей\AppData\Local\PlayFree Browser\Games\police_racing-gs_ig7\play.url', '');
    QuarantineFile('C:\Users\Алексей\AppData\Local\PlayFree Browser\Games\police_racing-gs_ig7\website.url', '');
    QuarantineFile('C:\Users\Алексей\AppData\Local\PlayFree Browser\Games\road_attack-gs_rus\play.url', '');
    QuarantineFile('C:\Users\Алексей\AppData\Local\PlayFree Browser\Games\road_attack-gs_rus\website.url', '');
    QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mail.Ru\Cross Fire\Запустить Cross Fire.url', '');
    QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mail.Ru\Cross Fire\Удалить игру.url', '');
    QuarantineFile('C:\Users\Алексей\Desktop\Бесплатные Программы Pу.url', '');
    QuarantineFile('C:\Users\Алексей\Desktop\Мои Программы - OpenProg.Ru.url', '');
    QuarantineFile('C:\Users\Алексей\Favorites\@MAIL.RU - почта, новости, работа, рассылки, развлечения.url', '');
    QuarantineFile('C:\Users\Алексей\Favorites\Links\Mail.Ru.url', '');
    QuarantineFile('C:\Users\Алексей\Favorites\Links\Видео.url', '');
    QuarantineFile('C:\Users\Алексей\Favorites\Links\Диск.url', '');
    QuarantineFile('C:\Users\Алексей\Favorites\Links\Карты.url', '');
    QuarantineFile('C:\Users\Алексей\Favorites\Links\Маркет.url', '');
    QuarantineFile('C:\Users\Алексей\Favorites\Links\Музыка.url', '');
    QuarantineFile('C:\Users\Алексей\Favorites\Links\Новости.url', '');
    QuarantineFile('C:\Users\Алексей\Favorites\Links\Почта.url', '');
    QuarantineFile('C:\Users\Алексей\Favorites\Links\Словари.url', '');
    QuarantineFile('C:\Users\Алексей\Favorites\Links\Яндекс.url', '');
    QuarantineFile('C:\Users\Алексей\Favorites\Mail.Ru Агент - используй для общения!.url', '');
    QuarantineFile('C:\Users\Алексей\Favorites\Mail.Ru.url', '');
    QuarantineFile('C:\Users\Алексей\Favorites\Одноклассники.url', '');
    QuarantineFile('C:\Users\Алексей\Pictures\Сайт любителей World of Tanks.url', '');
    QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HP\hpDST.lnk', '');
    QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\hpDST.lnk', '');
    QuarantineFile('C:\Program Files (x86)\Google\Chrome\chrome.bat', '');
    QuarantineFile('C:\Program Files (x86)\Internet Explorer\iexplore.bat', '');
    QuarantineFile('c:\users\Алексей\appdata\local\xpom\chrome.bat', '');
    QuarantineFile('C:\Program Files\Internet Explorer\iexplore.bat', '');
    QuarantineFile('C:\Users\Алексей\AppData\Local\Amigo\chrome.bat', '');
    QuarantineFile('C:\Program Files (x86)\Mozilla Firefox\firefox.bat', '');
    QuarantineFile('C:\Program Files (x86)\HP Games\Web Link - Crush the Castle 2\launcher.bat', '');
    QuarantineFile('C:\Program Files (x86)\WarThunder\launcher.bat', '');
    QuarantineFile('C:\Games\World_of_Tanks\World_of_Tanks\wotlauncher.bat', '');
    QuarantineFile('C:\Users\Алексей\AppData\Local\PlayFree Browser\Application\playfreebrowser.bat', '');
    DeleteFile('c:\users\Алексей\appdata\local\31464e43-1425147349-5731-4d56-101f74bff47d\ansi8eaf.exe', '32');
    DeleteFile('C:\Program Files (x86)\Google\Chrome\chrome.bat', '');
    DeleteFile('C:\Program Files (x86)\Internet Explorer\iexplore.bat', '');
    DeleteFile('c:\users\Алексей\appdata\local\xpom\chrome.bat', '');
    DeleteFile('C:\Program Files\Internet Explorer\iexplore.bat', '');
    DeleteFile('C:\Users\Алексей\AppData\Local\Amigo\chrome.bat', '');
    DeleteFile('C:\Program Files (x86)\Mozilla Firefox\firefox.bat', '');
    DeleteFile('C:\Program Files (x86)\HP Games\Web Link - Crush the Castle 2\launcher.bat', '');
    DeleteFile('C:\Program Files (x86)\WarThunder\launcher.bat', '');
    DeleteFile('C:\Games\World_of_Tanks\World_of_Tanks\wotlauncher.bat', '');
    DeleteFile('C:\Users\Алексей\AppData\Local\PlayFree Browser\Application\playfreebrowser.bat', '');
    CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    BC_ImportALL;
    ExecuteSysClean;
    ExecuteWizard('SCU', 2, 3, true);
    BC_Activate;
    RebootWindows(true);
    end.

     
    Компьютер перезагрузится.

    Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


    - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.



    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
    • Прикрепите отчет к своему следующему сообщению.

    Подробнее читайте в этом руководстве.


    1. Скачайте Universal Virus Sniffer (uVS)
    2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
    3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
      !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
    4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
      !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
    5. Подробнее читайте в руководстве Как подготовить лог UVS.
     
    Razey и shestale нравится это.
  3. Razey
    Оффлайн

    Razey Активный пользователь

    Сообщения:
    589
    Симпатии:
    31
    Скрипт выполнил. Quarantine по ссылке загрузил. Логи во вложении.
     

    Вложения:

  4. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.199
    Симпатии:
    4.970
     
    Razey нравится это.
  5. Razey
    Оффлайн

    Razey Активный пользователь

    Сообщения:
    589
    Симпатии:
    31
    Все программы из этого списка можно удалить.
     
  6. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.433
    Симпатии:
    13.941
    - Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.
     
  7. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.199
    Симпатии:
    4.970
    Razey, немного поправлю:
    Сначала
    1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
    2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
    3. Выберите меню скрипт - выполнить скрипт из файла - в открывшемся меню выберите путь к этому файлу (предварительно скачайте его в удобное место):

      скрипт.txt


    4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
    5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
    6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
      Если архив отсутствует, то заархивруйте папку ZOO с паролем virus. ​
    7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
    8. Подробнее читайте в этом руководстве.


    А затем

    После этого лог прикрепите.

    Программа Интернет - возможно это от менеджера подключения,будьте внимательны перед удалением.

    Повторите лог UVS
     

    Вложения:

    Razey нравится это.
  8. Razey
    Оффлайн

    Razey Активный пользователь

    Сообщения:
    589
    Симпатии:
    31
    Карантин отправил к вам на почту (ссылку отправил, т.к. файл был объемом около 21 Мб.). Лог о работе AdwLeaner'a прикрепил. Лог UvS во вложении.
     

    Вложения:

  9. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.199
    Симпатии:
    4.970
    • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
    • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
    • Прикрепите отчет к своему следующему сообщению
    Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

    Подробнее читайте в этом руководстве.

    *если используете mail.ru то снимите галочки со строк,содержащих в себе упоминание о mail.ru

    1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
    2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
    3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
      Код (Text):

      ;uVS v3.85.7 [http://dsrt.dyndns.org]
      ;Target OS: NTv6.1
      v385c
      breg

      delref %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\ROAMING\NEWSI_645\S_INST.EXE
      deldir %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\ROAMING\NEWSI_645
      delref %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\ROAMING\NEWSI_636\S_INST.EXE
      deldir %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\ROAMING\NEWSI_636
      delref %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\ROAMING\NEWSI_619\S_INST.EXE
      deldir %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\ROAMING\NEWSI_619
      deltmp
      restart

       
    4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
    5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
    6. Подробнее читайте в этом руководстве.

    Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
     
    Последнее редактирование: 6 мар 2015
  10. Razey
    Оффлайн

    Razey Активный пользователь

    Сообщения:
    589
    Симпатии:
    31
    Все ваши рекомендации выполнил, см. вложения. Вот еще что: человек жаловался, что ребенок запустил что-то на компьютере и после этого "...где-то появились "смайлики...". Обратите внимание, возможно, еще какие-нибудь логи надо сделать?
     

    Вложения:

  11. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.199
    Симпатии:
    4.970
    Удалите через установку и удаление программ:
    etranslator

    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):

    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     TerminateProcessByName('c:\users\Алексей\appdata\local\31464e43-1425231596-5731-4d56-101f74bff47d\insy52e3.tmp');
     SetServiceStart('BasementDuster', 4);
     SetServiceStart('qiduvoko', 4);
     StopService('BasementDuster');
     StopService('qiduvoko');
     QuarantineFile('C:\Windows\system32\BDL.dll', '');
     QuarantineFile('C:\Users\Алексей\AppData\Roaming\eTranslator\eTranslator.exe', '');
     QuarantineFile('C:\Program Files (x86)\IGS\BasementDuster.exe', '');
     QuarantineFile(':\found.006', '');
     QuarantineFile(':\found.007', '');
     QuarantineFile(':\found.009', '');
     QuarantineFileF('C:\Users\Алексей\AppData\Roaming\eTranslator', '*', true, '', 0 , 0);
     QuarantineFileF('C:\Users\Алексей\AppData\Local\31464E43-1425231596-5731-4D56-101F74BFF47D', '*', true, '', 0 , 0);
     QuarantineFile('c:\users\Алексей\appdata\local\31464e43-1425231596-5731-4d56-101f74bff47d\insy52e3.tmp', '');
     DeleteFile('C:\Users\Алексей\AppData\Local\31464E43-1425231596-5731-4D56-101F74BFF47D\insy52E3.tmp', '32');
     DeleteFile('C:\Program Files (x86)\IGS\BasementDuster.exe', '32');
     DeleteFile('C:\Users\Алексей\AppData\Roaming\eTranslator\eTranslator.exe', '32');
     DeleteService('BasementDuster');
     DeleteService('qiduvoko');
     DeleteFileMask('C:\Users\Алексей\AppData\Roaming\eTranslator', '*', true);
     DeleteFileMask('C:\Users\Алексей\AppData\Local\31464E43-1425231596-5731-4D56-101F74BFF47D', '*', true);
     DeleteDirectory('C:\Users\Алексей\AppData\Roaming\eTranslator', '');
     DeleteDirectory('C:\Users\Алексей\AppData\Local\31464E43-1425231596-5731-4D56-101F74BFF47D', '');
     DelBHO('{8984B388-A5BB-4DF7-B274-77B879E179DB}');
     RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'eTranslator Update');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    ExecuteWizard('SCU',2,3,true);
    RebootWindows(true);
    end.


     
    Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


    Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

    Скачайте Malwarebytes' Anti-Malware или с зеркала. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
    Самостоятельно ничего не удаляйте!!!
    Если лог не открылся, то найти его можно в следующей папке:
    Код (Text):
    %appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs
    Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: MBAM-log-2014-10-14 (12-18-10).txt
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM, зеркало обновлений MBAM.
    Подробнее читайте в руководстве.
     
    Razey нравится это.
  12. Razey
    Оффлайн

    Razey Активный пользователь

    Сообщения:
    589
    Симпатии:
    31
    Скрипт выполнил, карантин на форму отправил. Повторный лог autologger'a во вложении. лог MBAM'a готовится - выложу, как будет готов. Также пользователь жалуется на невозможность нормального захода в свой аккаунт на сайте танков, а также на низкую скорость закачки самой игры.
     

    Вложения:

  13. Razey
    Оффлайн

    Razey Активный пользователь

    Сообщения:
    589
    Симпатии:
    31
    Здравствуйте! Сканирование MBAM'ом никак не получается завершить - он вылетает и впоследствии компьютер теряет подключение к интернету. Пользователю приходится перезагружать компьютер, чтобы я смог зайти удаленно (выполняю ваши указания удаленно через TeamViewer). Что делать в таком случае? Такое повторялось уже раза 2, если не более.
     
  14. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.199
    Симпатии:
    4.970
    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    Отметьте галочками также "Shortcut.txt".

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
    Подробнее читайте в этом руководстве.
     
    Razey нравится это.
  15. Razey
    Оффлайн

    Razey Активный пользователь

    Сообщения:
    589
    Симпатии:
    31
    Просканировал Farbar Recovery scan. Логи во вложении.
     

    Вложения:

    • Addition.txt
      Размер файла:
      38,4 КБ
      Просмотров:
      2
    • FRST.txt
      Размер файла:
      80 КБ
      Просмотров:
      4
    • Shortcut.txt
      Размер файла:
      150,6 КБ
      Просмотров:
      5
  16. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.199
    Симпатии:
    4.970
    Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
    Код (Text):
    start
    ShortcutTarget: Cloud Mail.Ru.lnk -> C:\Users\Алексей\AppData\Local\Mail.Ru\Cloud\Cloud.exe (No File)
    Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
    CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=newcustom3",
                "hxxp://www.mystartsearch.com/?type=hp&ts=1425157290&from=cmi&uid=TOSHIBAXMK5076GSX_61ONB0RVBXX61ONB0RVB"
    CHR Extension: (No Name) - C:\Users\Алексей\AppData\Local\Google\Chrome\User Data\Default\Extensions\caficnijbecdceenmgfphpoaamopmmjg [2015-03-06]
    2015-03-12 08:45 - 2015-03-12 08:45 - 00001066 _____ () C:\Users\Алексей\Desktop\Обнови Софт.lnk
    2015-03-12 08:45 - 2015-03-12 08:51 - 00000000 ____D () C:\Users\Алексей\AppData\Roaming\Obnovi Soft
    2015-03-12 08:45 - 2015-03-12 08:45 - 00000000 ____D () C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Обнови Софт
    2015-03-12 08:45 - 2015-03-12 08:45 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Обнови Софт
    2015-03-12 08:45 - 2015-03-12 08:45 - 00000000 ____D () C:\Program Files (x86)\Obnovi Soft
    Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Обнови Софт\Uninstall.lnk -> C:\Program Files (x86)\Obnovi Soft\uninstall.exe ()
    Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Обнови Софт\Обнови Софт.lnk -> C:\Program Files (x86)\Obnovi Soft\ObnoviSoft.exe (www.obnovi-soft.ru)
    Shortcut: C:\Users\Все пользователи\Microsoft\Windows\Start Menu\Programs\Обнови Софт\Uninstall.lnk -> C:\Program Files (x86)\Obnovi Soft\uninstall.exe ()
    Shortcut: C:\Users\Все пользователи\Microsoft\Windows\Start Menu\Programs\Обнови Софт\Обнови Софт.lnk -> C:\Program Files (x86)\Obnovi Soft\ObnoviSoft.exe (www.obnovi-soft.ru)
    ShortcutWithArgument: C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехрlоrеr (Nо Аdd-оns).LNK -> C:\Program Files (x86)\Internet Explorer\iexplore.bat () ->  -extoff

    EmptyTemp:
    Reboot:
    end
    Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.
    Подробнее читайте в этом руководстве.

    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):

    begin
     QuarantineFile('C:\Program Files (x86)\Internet Explorer\iexplore.bat', '');
     QuarantineFile('C:\Program Files (x86)\HP Games\Web Link - Crush the Castle 2\launcher.bat', '');
     QuarantineFile('C:\Games\World_of_Warplanes\wowplauncher.bat', '');
     QuarantineFile('C:\Program Files (x86)\WarThunder\launcher.bat ', '');
     QuarantineFile('C:\Program Files (x86)\Google\Chrome\chrome.bat', '');
     DeleteFile('C:\Program Files (x86)\Internet Explorer\iexplore.bat');
     DeleteFile('C:\Program Files (x86)\HP Games\Web Link - Crush the Castle 2\launcher.bat');
     DeleteFile('C:\Games\World_of_Warplanes\wowplauncher.bat');
     DeleteFile('C:\Program Files (x86)\WarThunder\launcher.bat ');
     DeleteFile('C:\Program Files (x86)\Google\Chrome\chrome.bat');
    end.

     
    Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

    - Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:
    Код (Text):

    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Яндекс\Яндекс.Бар\Intеrnеt Ехрlоrеr.LNK
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Gооglе Сhrоmе.LNK
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games\Сrush thе Саstlе 2.lnk
    C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\World of Warplanes\Wоrld оf Wаrрlаnеs.lnk
    C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder\WаrThundеr.lnk
    C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Pirates\Рirаtеs.lnk
    C:\Users\Все пользователи\Microsoft\Windows\Start Menu\Programs\Яндекс\Яндекс.Бар\Intеrnеt Ехрlоrеr.LNK
     
    --- Объединённое сообщение, 14 мар 2015 ---
    Повторите лог Farbar Recovery Scan Tool
    --- Объединённое сообщение, 14 мар 2015, Дата первоначального сообщения: 14 мар 2015 ---
    И сообщите как проблема.
     
    Razey нравится это.
  17. Razey
    Оффлайн

    Razey Активный пользователь

    Сообщения:
    589
    Симпатии:
    31
    Все выполнил, логи во вложении (не "обновился" лог addition.txt, поэтому его не выкладываю). По поводу проблемы человек сообщит (да и я отпишусь, соответственно) завтра...
     

    Вложения:

    • FRST.txt
      Размер файла:
      78,9 КБ
      Просмотров:
      6
    • Shortcut.txt
      Размер файла:
      149,7 КБ
      Просмотров:
      2
  18. Razey
    Оффлайн

    Razey Активный пользователь

    Сообщения:
    589
    Симпатии:
    31
    По поводу проблемы - танки начали скачиваться быстро, однако в аккаунт зайти невозможно... Это может быть как-то связано с "остатками" заражения, или это уже "другая тема"?
     
    Последнее редактирование: 15 мар 2015
  19. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.433
    Симпатии:
    13.941
    Какую ошибку выводит?
     
    Razey нравится это.
  20. Razey
    Оффлайн

    Razey Активный пользователь

    Сообщения:
    589
    Симпатии:
    31
    "...Не удается установить соединение с сервером. Возможно, сервер недоступен или требуется проверка настроек сетевого подключения..."
    --- Объединённое сообщение, 22 мар 2015, Дата первоначального сообщения: 22 мар 2015 ---
    Всем спасибо! Проблема решена. Можете закрывать тему. Выполнил рекомендации, данные на тех. форуме "танков" по этой проблеме. Сбросил сетевой стек системы в командной строке Windows с помощью команды «netsh winsock reset» и все стало работать. Взято здесь: https://ru.wargaming.net/support/Kn...18/chto-delt-esli-vozniket-oshibk-no_loginapp
     
    Последнее редактирование: 22 мар 2015
    akok нравится это.
Статус темы:
Закрыта.

Поделиться этой страницей