Решена Клуб Релакс - ГИБДД

Статус
В этой теме нельзя размещать новые ответы.

Kolomnick

Новый пользователь
Сообщения
7
Реакции
0
Здравствуйте.
Со вчерашнего вечера возникла такая проблема: Во время сёрфинга сети при клике в любое место некоторых страниц открывается фоновая вкладка с предложением какого-то автомобильного теста с URL httpдвтчкслэшслэшclubrelaxxxxтчкcomслэшgibddслэш ("двтчк" - ":", "слэш" - "/", "тчк" - "."). Это происходит примерно с каждой пятой-десятой страницей любых сайтов. После одного такого клика страница начинает вести себя уже совершенно нормально.
На всякий случай для справки: Моя ОС - Microsoft Windows 7 x64, мой основной браузер - Opera (сейчас - версия 12.10.1652), из антивирусного ПО - Kaspersky Internet Security 2012. Реклама эта вылетает по крайней мере в Опере и Лисе. Даже если подключение к интернету выключено, а просматриваются локальные странички. Ну и полная проверка компьютера антивирусом на максимальных настройках не помогла.
Если сможете помочь - останусь очень благодарен.
 

Вложения

  • virusinfo_syscure.zip
    36.5 KB · Просмотры: 3
  • virusinfo_syscheck.zip
    33 KB · Просмотры: 1
  • log.txt
    67.3 KB · Просмотры: 3
  • info.txt
    45.9 KB · Просмотры: 1
Приветствую Kolomnick, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



***​

Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


***​

Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
__________________________________________________
С уважением, администрация SafeZone.
 
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

1. Закройте все программы, отключите антивирус, файрволл и прочее защитное ПО.

AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe','stop tcpip /y',0,15000,true);
if not IsWOW64
 then
  begin
   SearchRootkit(true,true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('F:\autorun.inf','');
 QuarantineFile('D:\autorun.inf','');
 QuarantineFile('C:\Users\D4E8~1.TNT\AppData\Local\Temp\8903226FdOh','');
 QuarantineFileF('C:\ProgramData\aP3KBLqe1vI','*.*',false,'',0,0);
 DeleteFile('C:\Users\D4E8~1.TNT\AppData\Local\Temp\8903226FdOh');
 DeleteFile('C:\Windows\tasks\At1.job');
 DeleteFileMask('C:\ProgramData\aP3KBLqe1vI','*.*',true);
 DeleteDirectory('C:\ProgramData\aP3KBLqe1vI'); 
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','8903289');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

2. После перезагрузки, выполните такой скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

3. Полученный архив quarantine.zip из папки с AVZ, отправьте с помощью этой формы или на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @), укажите ссылку на тему и ник на форуме.

4. Пофиксите в HJT эти строки (некоторых строк после выполнения скрипта AVZ может уже и не быть):
Код:
O1 - Hosts: 46.251.249.135 www.vk.com m.vk.com vk.com my.mail.ru
O1 - Hosts: 46.251.249.133 wap.odnoklassniki.ru m.odnoklassniki.ru www.odnoklassniki.ru odnoklassniki.ru
O1 - Hosts: 46.251.249.136 counter.rambler.ru www.google-analytics.com mc.yandex.ru admulti.com counter.spylog.com
O4 - HKLM\..\Run: [8903289] cmd.exe /c copy C:\Users\D4E8~1.TNT\AppData\Local\Temp\8903226FdOh C:\Windows\system32\drivers\etc\hosts /Y && attrib +H C:\Windows\system32\drivers\etc\hosts /f

5. Скачайте TDSSKiller, распакуйте в корень системного диска. Нажмите Пуск -> выполнить. В поле "открыть" впишите команду:
C:\tdsskiller.exe -qmbr -qboot
Папку с карантином C:\TDSSKiller_Quarantine запакуйте с паролем virus и отправьте на адрес quarantine<at>safezone.cc (замените <at> на @) с указанием ссылки на тему и ника на форуме.
Лог после сканирования (файл TDSSKiller_версия_дата_время_log.txt) выложите сюда.

6. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

7. Обновите:
Adobe Reader , Sun Java, Adobe Flash Player, QuickTime, браузеры (по мере выхода обновлений) и их надстройки.

8. Сделайте лог SecurityCheck by screen317

9. Сделайте новые логи AVZ и Rsit и прикрепите их к сообщению.

10. Смените все свои пароли на сервисах в интернете.

11. Покажите что находиться в этих файлах:
F:\autorun.inf
D:\autorun.inf
 
D:\autorun.inf:
Код:
07EF:0001:0001:0001
[autorun]
icon = .\NowIconMain.ico
F:\autorun.inf:
Код:
[autorun]
icon = .\SafeVaultElements.ico
Два лога TDSSKiller'а получилось, видимо, из-за того, что при распаковке я случайно открыл программу, правда, сразу же закрыв.
RSIT'овский info.txt не посылаю, т.к. он не изменился с предыдущей подготовки логов.
 

Вложения

  • log.txt
    68.8 KB · Просмотры: 2
  • virusinfo_syscheck.zip
    32.3 KB · Просмотры: 1
  • virusinfo_syscure.zip
    32.7 KB · Просмотры: 1
  • TDSSKiller.2.8.15.0_11.11.2012_09.51.41_log.txt
    12.6 KB · Просмотры: 1
  • TDSSKiller.2.8.15.0_11.11.2012_09.51.07_log.txt
    6 KB · Просмотры: 1
  • mbam-log-2012-11-11 (18-26-13).txt
    3 KB · Просмотры: 1
Еще один лог забыли, ну да ладно сейчас подправим.

Выполните скрипт в AVZ:

Код:
begin
 ExecuteRepair(13);
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

Компьютер перезагрузится, затем:


  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска, например C:\SecurityCheck.txt
  • Скопируйте содержимое файла в свое следующее сообщение.
Подробнее читайте в этом разделе форума поддержки утилиты.
 
Код:
Security Check by glax24 version 0.1.2.29 beta
WebSite: www.safezone.cc
DataLog 13.11.2012 00:23:35
Program directory: C:\Users\Дима Кирьянов.TnTs_KnCh\AppData\Local\Temp\SecurityCheck\
Log directory: C:\
XML File - VersionInet=0.5

WIN_7 (x64) Ultimate Lan:0419
Service Pack 1
Internet Explorer 9.0
-------------Windows------------------------------
[color=red][b]Контроль учётных записей пользователя [b]отключен[/b][/b][/color]
Уведомлять о загрузке и установке обновлений
Центр обновления Windows - Служба работает
Центр обеспечения безопасности - Служба работает
-------------Antivirus_WMI------------------------
Kaspersky Internet Security
Антивирус обновлен
Сканирование [b]отключено[/b]
-------------Firewall_WMI-------------------------
Kaspersky Internet Security
-------------AntiSpyware_WMI----------------------
Kaspersky Internet Security
Windows Defender
-------------AntiVirusFirewallInstall-------------
Kaspersky Internet Security 2012 v.12.0.0.374
-------------OtherUtilities-----------------------
Malwarebytes Anti-Malware, версия 1.65.1.1000 v.1.65.1.1000
Ghostscript GPL 8.64 (Msi Setup) v.8.64
-------------Java---------------------------------
Java 7 Update 9 (64-bit) v.7.0.90
-------------AppleProduction----------------------
QuickTime v.7.73.80.64
-------------AdobeProduction----------------------
Adobe Flash Player 11 Plugin v.11.5.502.110
Adobe Reader XI v.11.0.00
-------------Browser------------------------------
Opera 12.10 v.12.10.1652
Mozilla Firefox 14.0 (x86 ru) v.14.0 [color=red][b]Внимание! [url=http://www.mozilla.org/ru/firefox/fx]Скачать обновления[/url][/b][/color]
-------------RunningProcess-----------------------
C:\Program Files\Opera x64\opera.exe v.12.10.1652.0
-------------EndLog-------------------------------
 
Включил UAC. Обновил Лису.
В Опере, к сожалению, ничего не изменилось - этот "Клуб Релакс: ГИБДД" постоянно выскакивает. В Лисе, кажется, исчезло (ну, полчаса сидения в ней - просмотр 30-и - 40-а страниц - ничего не случилось). За это вам спасибо огромное.
P.S.: Полностью удалил и снова установил последнюю версию Оперы - не помогло также. Выскакивает этот сайт.
 
Ок, тогда так

Первое

  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  5. Подробнее читайте в руководстве Как подготовить лог UVS


Второе

  • Подготовьте лог OTL by OldTimer, как описано на этой странице.
  • Прикрепите полученные логи OTL.txt и Extra.txt к своему следующему сообщению.
  • Если логи не прикрепляются запакуйте их в архив.


Третье


  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Search" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R1].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Логи.
 

Вложения

  • TNTS_KNCH_2012-11-14_03-54-55.7z
    523.9 KB · Просмотры: 2
  • Extras.Txt
    64.7 KB · Просмотры: 2
  • OTL.Txt
    481.5 KB · Просмотры: 3
  • AdwCleaner[R1].txt
    834 байт · Просмотры: 3
Почистите кэш и куки во всех браузерах.
Перегрузитесь и проверьте.
 
Почистите кэш и куки во всех браузерах.
Перегрузитесь и проверьте.

+

К этому почистим мусор:

  • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Delete" и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[S1].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления может потребоваться перезагрузка компьютера!!!

+

  • Запустите повторно OTL by OldTimer или OTL.com или OTL.scr.

    Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  • В окно Custom Scans/Fixes скопируйте следующую информацию:

    Код:
    :processes
    :OTL
    FF:[b]64bit:[/b] - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_5_502_110.dll File not found
    O4 - HKLM..\Run: []  File not found
    [2009.07.14 08:55:00 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini
    [2012.11.05 01:29:10 | 000,000,076 | ---- | M] () -- C:\Users\Дима Кирьянов.TnTs_KnCh\AppData\Roaming\3d59f01ba
    [2012.11.05 01:29:11 | 000,369,177 | ---- | M] () -- C:\Users\Дима Кирьянов.TnTs_KnCh\AppData\Roaming\3D59F0D9a
    :Services
    
    :Files
    
    ipconfig /flushdns /c
    :Reg
    
    :Commands
    [EMPTYTEMP]
    [purity]
    [start explorer]
    [Reboot]
  • Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку "Run Fix"
  • Компьютер перезагрузится.
  • После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.
 
Сделано.
 

Вложения

  • AdwCleaner[S1].txt
    822 байт · Просмотры: 2
  • 11172012_002525.log
    4.8 KB · Просмотры: 1
Да, большое вам обоим (shestale, Severnyj) спасибо - всё работает как надо, вирусня более никак себя не проявляет. Спасибо!
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу