• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Не заходит в гугл, яндекс.

Статус
В этой теме нельзя размещать новые ответы.

varegan

Активный пользователь
Сообщения
7
Реакции
0
Баллы
301
Не могу зайти в поисковики.
При переходе в яндекс пишет :
Нам очень жаль, но запросы, поступившие с вашего IP-адреса, похожи на автоматические. По этой причине мы вынуждены временно заблокировать доступ к поиску.
Чтобы продолжить поиск, пожалуйста, введите свой номер телефона в поле ввода и нажмите «Отправить».
 

Вложения

  • info.txt
    34.5 KB · Просмотры: 1
  • log.txt
    26.7 KB · Просмотры: 1
  • virusinfo_syscheck.zip
    31.2 KB · Просмотры: 1
  • virusinfo_syscure.zip
    31.2 KB · Просмотры: 1

Ботан

Злостный спам-бот
Сообщения
1,032
Реакции
129
Баллы
453
Приветствую varegan, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



***​

Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


***​

Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
__________________________________________________
С уважением, администрация SafeZone.
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,963
Реакции
2,136
Баллы
643
Сделайте дополнительно:

  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  5. Подробнее читайте в руководстве Как подготовить лог UVS

А также сделайте лог HiJackThis
 

varegan

Активный пользователь
Сообщения
7
Реакции
0
Баллы
301
сделал логи
 

Вложения

  • COMP-ПК_2013-06-10_14-27-01.7z
    569.1 KB · Просмотры: 4
  • hijackthis.log
    12.1 KB · Просмотры: 1

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,963
Реакции
2,136
Баллы
643
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите правой кнопкой мыши и скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v3.80.1 script [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    
    breg
    zoo %SystemDrive%\PROGRAMDATA\MOZILLA\FRILFSA.DLL
    addsgn A7659219B962CF0F07D5DBB48C86EDFADA4344F789FA1FBA89C32E6E5CCA71497E174AD736469DADC0D58716462A3DA10854E82C5D3DE37AA667F92F07431A06 64 C:\PROGRAMDATA\MOZILLA
    
    zoo %SystemDrive%\PROGRAMDATA\MOZILLA\FBOLHCH.EXE
    addsgn A1BD2552D56A4CB54E54AFB164C8FA76DC75037F4A7FDF938B7B918C10D699012717C366FEBEBE3CD168396BB9E9C4AFFD56309AA0DAB02C95771A2EC78FF8FB 8 C:\PROGRAMDATA\MOZILLA
    
    bl EED0077EEDA5CA481BA7A5CAA97A27ED 128536
    delall %SystemDrive%\PROGRAMDATA\MOZILLA\FBOLHCH.EXE
    bl 6B9C84B382A667335D565C55D3FC23CB 21504
    unload %SystemDrive%\PROGRAMDATA\MOZILLA\FRILFSA.DLL
    delall %SystemDrive%\PROGRAMDATA\MOZILLA\FRILFSA.DLL
    delref HTTP://WEBALTA.RU/SEARCH
    chklst
    delvir
    czoo
    deltmp
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2011-06-30_22-04-27.7z)
    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.​
  7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
  8. Подробнее читайте в этом руководстве.

После этого сделайте новый лог uVS.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите Perform Full Scan (Полное сканирование), нажмите Scan (Сканирование), после сканирования - Ok - Show Results (Показать результаты) - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему сообщению. Самостоятельно ничего не удаляйте!!! Если лог не открылся, то найти его можно в следующей папке:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Подробнее читайте в руководстве

Чтобы полностью удалить вебальту:
AVZ - Сервис - Поиск данных в реестре.
В поле "Образец" впишите webalta, нажмите "Пуск". После окончания сохраните протокол и выложите сюда.
Поиск не закрывайте.
 

varegan

Активный пользователь
Сообщения
7
Реакции
0
Баллы
301
вот
 

Вложения

  • COMP-ПК_2013-06-10_15-40-46.7z
    568.6 KB · Просмотры: 2
  • MBAM-log-2013-06-10 (21-18-21).txt
    9.4 KB · Просмотры: 1
  • export.zip
    36.5 KB · Просмотры: 1

akok

Команда форума
Администратор
Сообщения
19,518
Реакции
13,432
Баллы
2,203
Повторите сканирование MBAM и удалите только:

Код:
Обнаруженные ключи в реестре:  7
HKCR\CLSID\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\finski zaliv (Trojan.StartPage.ooo) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\NewProduct 1.00 (Backdoor.Agent.CoGen) -> Действие не было предпринято.

Обнаруженные параметры в реестре:  1
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} (PUP.ToolBar.WA) -> Параметры:  -> Действие не было предпринято.
Объекты реестра обнаружены:  2
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Search Bar (Hijack.Search) -> Плохо: (http://webalta.ru/search) Хорошо: (http://www.google.com/) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Search|SearchAssistant (Hijack.SearchPage) -> Плохо: (http://webalta.ru/search) Хорошо: (http://www.Google.com/) -> Действие не было предпринято.
Обнаруженные файлы:  20
C:\Users\эксперт\0.09599227960073331.exe (Trojan.Dropper.BU) -> Действие не было предпринято.
D:\wgea.exe (Malware.Packer.Gen) -> Действие не было предпринято.

Добавлено через 1 минуту 4 секунды
Чтобы полностью удалить вебальту:
Что нашла AVZ, то и удаляйте.
 

varegan

Активный пользователь
Сообщения
7
Реакции
0
Баллы
301
Всё удалил. Спасибо за помощь.
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,963
Реакции
2,136
Баллы
643
Покажите лог MBAM после удаления.

Для профилактики повторных заражений скачайте и запустите SecurityCheck by glax24, когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности. Скачайте и установите обновления по ссылкам.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу