Решена заражение

Тема в разделе "Лечение компьютерных вирусов", создана пользователем дзю, 29 июн 2014.

Статус темы:
Закрыта.
  1. дзю
    Оффлайн

    дзю Новый пользователь

    Сообщения:
    11
    Симпатии:
    0
    Пришлось регистрироваться ..
    сам не рискую лечить, чужой ПК .
     

    Вложения:

  2. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    Guard@Mail.Ru, Html5 geolocation provider, Kinoroom Browser, Mail.Ru Агент 6.0, Mail.Ru Агент 6.2, Muzabaza player, Radio W Toolbar, SmilesExtensions version 2.1 [2.1], Software Version Updater [1.1.3.8], Update for Html5 geolocation provider [3.7.2.909], Амиго [32.0.1702.26], Спутник@Mail.Ru [2.4.1.328], Media Buzz - сами ставили? Если нет деинсталируйте через установку программ.

    А также обязательно деинсталируйте:
    Media Player [1.1], Media View [1.1], Media Viewer [1.1], superpromokody 1.1 [1.1], Video Player [1.1], Webalta Toolbar [], Webexp Enhanced [1.1], Mobogenie


    + Zaxar Games Browser, VPetsPlayer - знакомы? используете?

    +
    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
    • Прикрепите отчет к своему следующему сообщению.
    Подробнее читайте в этом руководстве.
     
    дзю и Kиpилл нравится это.
  3. дзю
    Оффлайн

    дзю Новый пользователь

    Сообщения:
    11
    Симпатии:
    0
    Mail.Ru Агент 6.0, Mail.Ru Агент 6.2,Guard@Mail.Ru ,Амиго - все это устанавливала хозяйка и использу
    --- Объединённое сообщение, 29 июн 2014, Дата первоначального сообщения: 29 июн 2014 ---
    отчет после удаления - из рекомендованного, майл ру и амиго оставил.
    --- Объединённое сообщение, 29 июн 2014 ---
    нет, не использует.
    --- Объединённое сообщение, 29 июн 2014 ---
    dns изменен на 193.58.251.251
     

    Вложения:

    Последнее редактирование: 29 июн 2014
  4. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    - Удалите в AdwCleaner всё кроме папок от mail.ru и C:\Program Files\Reimage - если программой Reimage не пользуетесь, то нё тоже удалите.
    Лог после удаления прикрепите.

    + Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
     
    дзю нравится это.
  5. дзю
    Оффлайн

    дзю Новый пользователь

    Сообщения:
    11
    Симпатии:
    0
    лог после очистки.
    --- Объединённое сообщение, 29 июн 2014, Дата первоначального сообщения: 29 июн 2014 ---
    отчет после диагностики
    --- Объединённое сообщение, 29 июн 2014 ---
    реклама, на странице в однокласниках .., тётки с голыми з..
     

    Вложения:

  6. Sandor
    Оффлайн

    Sandor Ассоциация VN

    Сообщения:
    2.549
    Симпатии:
    980
    Этот лог покажите.
     
    дзю нравится это.
  7. дзю
    Оффлайн

    дзю Новый пользователь

    Сообщения:
    11
    Симпатии:
    0
    после очистки AdwCleaner - был потерян доступ в интернет, в настройках IE был установлен по умолчанию прокси .., хозяйка ничего не меняла в настройках.
     
  8. Sandor
    Оффлайн

    Sandor Ассоциация VN

    Сообщения:
    2.549
    Симпатии:
    980
    дзю, Автологер ведь у вас уже скачан. Повторные логи собрать можете, даже без интернета?
     
    дзю нравится это.
  9. дзю
    Оффлайн

    дзю Новый пользователь

    Сообщения:
    11
    Симпатии:
    0
    логи.
    --- Объединённое сообщение, 29 июн 2014 ---
    Саня, протупил .., ))) перепутал автологер с AdwCleaner
     

    Вложения:

  10. Sandor
    Оффлайн

    Sandor Ассоциация VN

    Сообщения:
    2.549
    Симпатии:
    980
    Закройте все программы, временно выгрузите антивирус, фаерволл и прочее защитное ПО.

    Выполните скрипт в AVZ (Файл - Выполнить скрипт):
    Код (Text):
    begin
     ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
     ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
      if not IsWOW64
       then
        begin
         SearchRootkit(true, true);
         SetAVZGuardStatus(True);
        end;
     QuarantineFile('C:\Users\танька\AppData\Local\PirritSuggestor\RegFltrX86.sys','');
     QuarantineFile('C:\Program Files\GamesRS\GUpdater.exe','');
     QuarantineFile('C:\Windows\system32\usrinit.exe','');
     QuarantineFile('C:\Users\танька\appdata\local\temp\rarsfx2\msisetup.exe','');
     DeleteFile('C:\Windows\system32\usrinit.exe');
     DeleteFile('C:\Users\танька\appdata\local\temp\rarsfx2\msisetup.exe');
     DeleteFile('C:\Program Files\GamesRS\GUpdater.exe','32');
     DeleteFile('C:\Users\танька\AppData\Local\PirritSuggestor\RegFltrX86.sys','32');
     DeleteFileMask('C:\Program Files\GamesRS\', '*', true);
     DeleteFileMask('C:\Users\танька\AppData\Local\PirritSuggestor\', '*', true);
     DeleteDirectory('C:\Program Files\GamesRS\');
     DeleteDirectory('C:\Users\танька\AppData\Local\PirritSuggestor\');
     DeleteService('RegFltrX86');
     DeleteService('GamesRS');
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     ExecuteWizard('SCU',2,3,true);
     RebootWindows(true);
    end.
    Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:
    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

    Еще раз повторите логи. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.
     
    дзю нравится это.
  11. дзю
    Оффлайн

    дзю Новый пользователь

    Сообщения:
    11
    Симпатии:
    0
    окна на раб столе при загрузке , euro.ru и kbrowser - все равно выскакивают. и бабы в рекламе на однокласниках ..
    --- Объединённое сообщение, 29 июн 2014, Дата первоначального сообщения: 29 июн 2014 ---
    повторные логи
     

    Вложения:

  12. Sandor
    Оффлайн

    Sandor Ассоциация VN

    Сообщения:
    2.549
    Симпатии:
    980
    1. Выполните скрипт в AVZ (Файл - Выполнить скрипт):
    Код (Text):
    begin
     ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
     ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
      if not IsWOW64
       then
        begin
         SearchRootkit(true, true);
         SetAVZGuardStatus(True);
        end;
     QuarantineFile('C:\Program Files\Muzabaza\Muzabaza player\Muzabaza.exe','');
     QuarantineFile('C:\Program Files\Zaxar\ZaxarLoader.exe','');
     DeleteFile('C:\Program Files\Zaxar\ZaxarLoader.exe','32');
     DeleteFile('C:\Program Files\Muzabaza\Muzabaza player\Muzabaza.exe','32');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Muzbaza');
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     ExecuteWizard('SCU',2,3,true);
     RebootWindows(true);
    end.
    Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:
    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

    2. Пофиксите в HijackThis следующие строчки:
    Код (Text):
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:9880
    O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)
    O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
    O4 - HKCU\..\Run: [Muzbaza] C:\Program Files\Muzabaza\Muzabaza player\Muzabaza.exe -m
    O4 - Startup: Zaxar Games Browser.lnk = C:\Program Files\Zaxar\ZaxarLoader.exe
    Некоторых строк может не быть.

    3. Подготовьте и выложите лог HiJackThis.

    4. В меню AVZ - Сервис - Поиск данных в реестре.
    В поле 'Образец' впишите webalta, нажмите 'Пуск'.
    После окончания сохраните протокол и выложите сюда.
    Поиск не закрывайте.
     
    дзю нравится это.
  13. дзю
    Оффлайн

    дзю Новый пользователь

    Сообщения:
    11
    Симпатии:
    0
    протоколы.
     

    Вложения:

    • hijackthis.log
      Размер файла:
      7,1 КБ
      Просмотров:
      5
    • Export.txt
      Размер файла:
      75 КБ
      Просмотров:
      3
  14. akok
    Онлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Удалите все найденное в AVZ ключи с Webalta: ПКМ по списку - выбрать все - нажать "удалить отмеченное".

    Еще пофиксить нужно:
    Код (Text):
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&text={searchTerms}
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&text={searchTerms}
    --- Объединённое сообщение, 29 июн 2014 ---
    Что с проблемой?
     
    дзю нравится это.
  15. дзю
    Оффлайн

    дзю Новый пользователь

    Сообщения:
    11
    Симпатии:
    0
    удалил и пофиксил, но порнуха в однокласниках(использует браузер опера) висит и окна редиректа открывает.
    --- Объединённое сообщение, 29 июн 2014, Дата первоначального сообщения: 29 июн 2014 ---
    логи малваребайт
     

    Вложения:

    • ммм.txt
      Размер файла:
      11,6 КБ
      Просмотров:
      3
    • ттт.rar
      Размер файла:
      4,1 КБ
      Просмотров:
      3
  16. Sandor
    Оффлайн

    Sandor Ассоциация VN

    Сообщения:
    2.549
    Симпатии:
    980
    дзю нравится это.
  17. дзю
    Оффлайн

    дзю Новый пользователь

    Сообщения:
    11
    Симпатии:
    0
    MBAM не закрыл , в портабл версии - нет рекламы.
    --- Объединённое сообщение, 29 июн 2014, Дата первоначального сообщения: 29 июн 2014 ---
    порнуха все равно болтается, и окно всплывает - "познакомимся" ?
    --- Объединённое сообщение, 29 июн 2014 ---
    + редирект.
     
    Последнее редактирование: 29 июн 2014
  18. akok
    Онлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Какой браузер? Нужно выключать все приложения лишние или переустановить браузер с полным удалением
     
    дзю нравится это.
  19. дзю
    Оффлайн

    дзю Новый пользователь

    Сообщения:
    11
    Симпатии:
    0
    реклама и в опере и в ie
     
  20. Sandor
    Оффлайн

    Sandor Ассоциация VN

    Сообщения:
    2.549
    Симпатии:
    980
    расширения/дополнения.
     
    дзю и akok нравится это.
Статус темы:
Закрыта.

Поделиться этой страницей