• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Ямблер

LazySt

Активный пользователь
Сообщения
17
Реакции
0
Баллы
301
При запуске оперы вместе со стартовой экспресс панелью открывается сайт yambler.net так же во время нахождения в соцсетях при нажатии ссылок иногда вылетает разный спам..
 

Вложения

  • virusinfo_syscheck.zip
    22.4 KB · Просмотры: 3
  • virusinfo_syscure.zip
    22 KB · Просмотры: 6
  • info.txt
    31.2 KB · Просмотры: 10
  • log.txt
    33.4 KB · Просмотры: 11

Ботан

Злостный спам-бот
Сообщения
1,032
Реакции
129
Баллы
453
Приветствую LazySt, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



***​

Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


***​

Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
__________________________________________________
С уважением, администрация SafeZone.
 

Сашка

Ветеран
Сообщения
4,610
Реакции
2,338
Баллы
693
BonanzaDealsLive используете?

страница открывается только в опере или в других браузерах тоже?

1. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет найдено, НИЧЕГО НЕ УДАЛЯЙТЕ САМОСТОЯТЕЛЬНО !!!
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

2. Чтобы полностью удалить webalta, запустите AVZ - сервис - Поиск данных в реестре. В строку "образец" впишите webalta, нажмите "начать поиск", сохраните протокол и выложите в ответ. НИЧЕГО НЕ УДАЛЯЙТЕ САМОСТОЯТЕЛЬНО !!!

3. сделайте лог AdwCleaner
 

LazySt

Активный пользователь
Сообщения
17
Реакции
0
Баллы
301
Да BonanzaDealsLive установлен. незнаю что это только..
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,724
Реакции
6,012
Баллы
1,008
LazySt, вопрос не в том установлен он или нет, а используете вы его? Если нет, то деинсталируйте его. Предполагаю, что раз вы не знаете что это за программа, то она была установлена без вашего ведома и вам не нужна.

+ от вас ждём два лога MBAM и AdwCleaner

+ результат о поиске ключей в реестре, через AVZ.
 

LazySt

Активный пользователь
Сообщения
17
Реакции
0
Баллы
301
Вот результаты
 

Вложения

  • Export.txt
    73.1 KB · Просмотры: 2
  • MBAM-log-2013-09-20 (18-46-40).txt
    8.2 KB · Просмотры: 2

LazySt

Активный пользователь
Сообщения
17
Реакции
0
Баллы
301
ссылку на адв клинер дайте пожалуйста
 

Сашка

Ветеран
Сообщения
4,610
Реакции
2,338
Баллы
693
http://safezone.cc/forum/showpost.php?p=156690&postcount=1

Добавлено через 9 минут 17 секунд
удалите все найденное MBAM кроме этого:

D:\System Volume Information\_restore{1C9DFE4B-2EBD-435C-AB2B-81BBB3BC5A3D}\RP51\A0083827.exe (Malware.Packer.GenX) -> Действие не было предпринято.
D:\System Volume Information\_restore{3BB283CB-ADAF-40F2-92AE-3DAE4660B0E2}\RP11\A0005579.exe (PUP.HackTool.HotKeysHook) -> Действие не было предпринято.
D:\System Volume Information\_restore{3BB283CB-ADAF-40F2-92AE-3DAE4660B0E2}\RP11\A0005959.exe (Malware.Packer.GenX) -> Действие не было предпринято.
D:\TES5\Warkraft III\Launcher\iccwc3.icc (PUP.GameTool) -> Действие не было предпринято.

компьютер не перезагружайте.

также удалите все найденные ключи webalta - ПКМ по списку в программе - выбрать все - нажмите кнопку "удалить отмеченные..."

потом выложите лог AdwCleaner
 

LazySt

Активный пользователь
Сообщения
17
Реакции
0
Баллы
301
вот
 

Вложения

  • AdwCleaner[R1].txt
    4 KB · Просмотры: 2

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,724
Реакции
6,012
Баллы
1,008
  • Запустите повторно AdwCleaner (by Xplode), нажмите кнопку "Scan".
  • По окончанию сканирования снимите галочки со следующих строк:
    Код:
    ***** [ Files / Folders ] *****
    Folder Found C:\Program Files\Mail.Ru
    Folder Found C:\Users\Стас\AppData\Local\Mail.Ru
    Folder Found C:\Users\Стас\AppData\LocalLow\Mail.Ru
    Folder Found C:\Users\Стас\AppData\Roaming\Mail.Ru
    Folder Found C:\Users\Стас\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mail.Ru
    ***** [ Registry ] *****
    Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
    Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}
    Key Found : HKLM\SOFTWARE\Classes\CLSID\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}
    Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
    Key Found : HKLM\SOFTWARE\Classes\CLSID\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
    Key Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
  • Нажмите кнопку "Clean" и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[S0].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.



что с проблемой?
 
Последнее редактирование:

LazySt

Активный пользователь
Сообщения
17
Реакции
0
Баллы
301
не снял галочки - поторопился.. проблема осталась
 

LazySt

Активный пользователь
Сообщения
17
Реакции
0
Баллы
301
вот лог
 

Вложения

  • AdwCleaner[S0].txt
    4.1 KB · Просмотры: 1

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,724
Реакции
6,012
Баллы
1,008
не снял галочки - поторопился.
если майл.ру агентом пользовались, то возможно придётся переставить.

  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  5. Подробнее читайте в руководстве Как подготовить лог UVS
 

LazySt

Активный пользователь
Сообщения
17
Реакции
0
Баллы
301
лог
 

Вложения

  • HOME_2013-09-20_22-12-28.7z
    531 KB · Просмотры: 6

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,859
Реакции
2,575
Баллы
593
C:\Program Files\Zaxar удалите под корень

Пересоздайте ярлыки запуска браузеров в Панели быстрого запуска
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,724
Реакции
6,012
Баллы
1,008
+
Код:
C:\USERS\СТАС\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\PRIVET.VBS.TXT
вам знакомо? Откройте его в блокноте и покажите содержимое.
 

LazySt

Активный пользователь
Сообщения
17
Реакции
0
Баллы
301
блин был подменен ярлык браузера.. щас все вроде.. PRIVET.VBS.TXT это я вчера создал типа звуковое приветствие

Добавлено через 31 секунду
Спасибо большое!
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,724
Реакции
6,012
Баллы
1,008
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v3.81.2 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    
    OFFSGNSAVE
    delref %SystemDrive%\PROGRA~1\WEBSEA~1\SPROTE~1.DLL
    zoo %SystemDrive%\USERS\СТАС\APPDATA\ROAMING\UPDATEREX\UPDATEPROC\UPDATETASK.EXE
    ; C:\USERS\СТАС\APPDATA\ROAMING\UPDATEREX\UPDATEPROC\UPDATETASK.EXE
    bl E8559184A7B2C13257F596F414A5D713 95232
    delall %SystemDrive%\USERS\СТАС\APPDATA\ROAMING\UPDATEREX\UPDATEPROC\UPDATETASK.EXE
    delref %SystemDrive%\PROGRAM FILES\BONANZADEALSLIVE\UPDATE\BONANZADEALSLIVE.EXE
    delref FILES\BONANZADEALS\BONANZADEALSUPDATE.EXE
    regt 14
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2011-06-30_22-04-27.7z)
    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.​
  7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
  8. Подробнее читайте в этом руководстве.
-----------------------------------
  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Скопируйте содержимое файла в свое следующее сообщение.
Подробнее читайте в этом разделе форума поддержки утилиты.
 

LazySt

Активный пользователь
Сообщения
17
Реакции
0
Баллы
301
Security Check by glax24 version 0.2.4.58 rc1
WebSite: www.safezone.cc
DateLog: 22.09.2013 17:19:48
Run directory: C:\Users\Стас\AppData\Local\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True
FileVersionInet: 5.8
__________________________________________________

Windows 7 (6.1.7601) Service Pack 1 (x86) Ultimate Lang: Russian(0419)
Дата установки ОС: 03.12.2011 03:09:10
Статус лицензии: Windows(R) 7, Ultimate edition Постоянная активация прошла успешно.
Системный диск: C:\ ФС: NTFS Емкость: [114.6 Гб] Занято: [104.5 Гб] Свободно: [10.1 Гб]
Браузер по умолчанию: C:\Program Files\Opera\Opera.exe
-------------Windows------------------------------
Internet Explorer 9.0.8112.16421 Внимание! Скачать обновления
Контроль учётных записей пользователя отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Запрос на повышение прав для администраторов отключен
Автоматическое обновление отключено
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
-------------Antivirus_WMI------------------------
Kaspersky Internet Security
Антивирус устарел
-------------Firewall_WMI-------------------------
Kaspersky Internet Security
-------------AntiSpyware_WMI----------------------
Kaspersky Internet Security
Windows Defender
-------------AntiVirusFirewallInstall-------------
Kaspersky Internet Security 2012 v.12.0.0.374
-------------OtherUtilities-----------------------
CCleaner v.3.14
Malwarebytes Anti-Malware, версия 1.75.0.1300 v.1.75.0.1300
-------------Java---------------------------------
Java(TM) 6 Update 37 v.6.0.370 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-7u40-windows-i586.exe)^
Java 7 Update 13 v.7.0.130 Внимание! Скачать обновления
^Скачайте jre-7u40-windows-i586.exe^
Java Auto Updater v.2.0.7.2
-------------AdobeProduction----------------------
Adobe Flash Player 11 ActiveX v.11.8.800.175 [+]
Adobe Flash Player 11 Plugin v.11.8.800.168
-------------Browser------------------------------
Google Chrome v.29.0.1547.76 [+]
Opera 12.16 v.12.16.1860
-------------RunningProcess-----------------------
C:\Program Files\Opera\opera.exe v.12.16.1860.0
-------------EndLog-------------------------------
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,724
Реакции
6,012
Баллы
1,008
Систему ни разу не обновляли :(.
Обязательно установите все обновления безопасности, включите
Контроль учётных записей пользователя отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
обновите касперского и удалите старую java
Java(TM) 6 Update 37 v.6.0.370 Внимание!
^Удалите старую версию и
После этого сделайте новый лог Security Check by glax24
 
Сверху Снизу