• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Реклама в браузере

Статус
В этой теме нельзя размещать новые ответы.

Maria Sh.

Активный пользователь
Сообщения
12
Реакции
1
Баллы
233
Помогите, пожалуйста! В браузере появилась реклама. При нажатии любой ссылки выскакивает новое окно с рекламой, некоторые слова подчеркнуты двумя линиями и выскакивает на них серое окно, с предложением перейти куда-то. В поисковике сначала выводится 1place.org, из-за этого очень тупит браузер.Подозрительных расширений в браузере не найдено, антивирус Avast ничего не нашёл.
Win 7, браузеры - Яндекс и Explorer.
 

Вложения

  • CollectionLog-2014.02.18-15.43.zip
    136.6 KB · Просмотры: 3

mike 1

Ветеран
Сообщения
2,427
Реакции
932
Баллы
533
Деинсталлируйте:

PirritSuggestor version 1.5 [1.5] ---> "C:\Users\Zyuzia\AppData\Local\PirritSuggestor\unins000.exe"

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Maria Sh.

Активный пользователь
Сообщения
12
Реакции
1
Баллы
233
Спасибо! Полностью деинсталлировать PirritSuggestor не удалось. В папке остались файлы и её не удалить. В диспетчере задач запущена эта программа, после снятия задачи сразу загружается снова.
 

Вложения

  • AdwCleaner[R0].txt
    3.1 KB · Просмотры: 2

mike 1

Ветеран
Сообщения
2,427
Реакции
932
Баллы
533
  • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan".
  • По окончанию сканирования снимите галочки со следующих строк:
    Код:
    Folder Found C:\Users\Zyuzia\AppData\Local\Yandex
    Folder Found C:\Users\Zyuzia\AppData\LocalLow\Yandex
    Folder Found C:\Users\Zyuzia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex
    Folder Found C:\Users\Zyuzia\AppData\Roaming\Yandex
  • Нажмите кнопку "Clean" и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве
 
  • Like
Реакции: akok

Maria Sh.

Активный пользователь
Сообщения
12
Реакции
1
Баллы
233
Вот отчёт и лог
 

Вложения

  • MBAM-log-2014-02-19 (22-04-19).txt
    2.3 KB · Просмотры: 3
  • AdwCleaner[S0].txt
    3.3 KB · Просмотры: 1
Последнее редактирование:

mike 1

Ветеран
Сообщения
2,427
Реакции
932
Баллы
533
Сделайте новые логи по правилам диагностики.
 

Maria Sh.

Активный пользователь
Сообщения
12
Реакции
1
Баллы
233
Этот лог?
 

Вложения

  • CollectionLog-2014.02.20-15.59.zip
    133.1 KB · Просмотры: 4

mike 1

Ветеран
Сообщения
2,427
Реакции
932
Баллы
533
Да.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
ClearQuarantine;
TerminateProcessByName('c:\users\zyuzia\appdata\local\pirritsuggestor\pirritservice.exe');
TerminateProcessByName('c:\users\zyuzia\appdata\local\pirritsuggestor\pirritdesktop.exe');
SetServiceStart('PirritDesktop', 4);
StopService('PirritDesktop');
QuarantineFile('c:\users\zyuzia\appdata\local\pirritsuggestor\pirritservice.exe','');
QuarantineFile('c:\users\zyuzia\appdata\local\pirritsuggestor\pirritdesktop.exe','');
DeleteFile('c:\users\zyuzia\appdata\local\pirritsuggestor\pirritdesktop.exe','32');
DeleteFile('C:\Users\Zyuzia\AppData\Local\PirritSuggestor\PirritService.exe','32');
DeleteFile('C:\TEMP\is-CVQK9.tmp\OCSetupHlp.dll','32');
DeleteFileMask('c:\users\zyuzia\appdata\local\pirritsuggestor', '*', true, ' ');
DeleteFileMask('C:\Program Files\VLC Player GPU+', '*', true, ' ');
DeleteFileMask('C:\Users\Zyuzia\AppData\Roaming\0C1I1L1R1J0M1P0I1G', '*', true, ' ');
DeleteDirectory('C:\Users\Zyuzia\AppData\Roaming\0C1I1L1R1J0M1P0I1G');  
DeleteDirectory('c:\users\zyuzia\appdata\local\pirritsuggestor');  
DeleteDirectory('C:\Program Files\VLC Player GPU+');
DeleteService('PirritDesktop');  
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

После перезагрузки архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Этот прокси сервер сами прописывали?

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=http://127.0.0.1:9880

Что находится в этой папке?

C:\Program Files\Shopping Suggestion

Сделайте новые логи по правилам диагностики.
 

Maria Sh.

Активный пользователь
Сообщения
12
Реакции
1
Баллы
233
У меня пропал инет на ноуте. Приходиться всё писать с другого компа. Что делать?
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=http://127.0.0.1:9880
Может, когда-то давно прописывали вручную, точно не могу ответить. Вообще все настройки получаем автоматически сейчас.

C:\Program Files\Shopping Suggestion
Эту папку уже удаляли, сами не знаем что в ней. Но,как видно, она появилась вновь.Прикрепляю лог, вирус уже отправила через форму. А через почту ещё нужно отправлять?
 

Вложения

  • ошибка.png
    ошибка.png
    92.8 KB · Просмотры: 23
  • CollectionLog-2014.02.20-22.05.zip
    127.4 KB · Просмотры: 1
Последнее редактирование:

mike 1

Ветеран
Сообщения
2,427
Реакции
932
Баллы
533
Попробуйте драйвер сетевой переустановить.
 

Maria Sh.

Активный пользователь
Сообщения
12
Реакции
1
Баллы
233
Спасибо большое! Рекламы больше нет!:)
Интернет заработал когда убрали галочку с "выходить через прокси сервер" в свойствах обозревателя.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,958
Реакции
6,170
Баллы
1,008
Профиксите в HijackThis

Код:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=http://127.0.0.1:9880
сделайте новый лог HijackThis
 

Maria Sh.

Активный пользователь
Сообщения
12
Реакции
1
Баллы
233
Сделала
 

Вложения

  • hijackthis.log
    9.6 KB · Просмотры: 2

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,958
Реакции
6,170
Баллы
1,008
+
во время фикса HijackThis запускали правой кнопкой от имени админа?
Повторите ещё раз фикс и лог запустим HijackThis от имени админа.


+ выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.
 
Последнее редактирование:

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,958
Реакции
6,170
Баллы
1,008
Выполните скрипт в AVZ

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Users\Zyuzia\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\IVKDJSXX\DevIDagent.exe','');
DeleteFile('C:\Users\Zyuzia\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\IVKDJSXX\DevIDagent.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DevidAgent','command');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(1);
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

компьютер перезагрузится, после перезагрузки сделайте новый лог AVZ.
 

Maria Sh.

Активный пользователь
Сообщения
12
Реакции
1
Баллы
233
Вот!
 

Вложения

  • CollectionLog-2014.02.21-19.43.zip
    133.7 KB · Просмотры: 2

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,958
Реакции
6,170
Баллы
1,008
Теперь порядок :).

MBAM деинсталируйте.

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Maria Sh.

Активный пользователь
Сообщения
12
Реакции
1
Баллы
233
Вроде всё...
 

Вложения

  • AdwCleaner[R2].txt
    1.1 KB · Просмотры: 0

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,958
Реакции
6,170
Баллы
1,008
Maria Sh., извините, не тот шаблон вам скопировал.

  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Скопируйте содержимое файла в свое следующее сообщение.
Подробнее читайте в этом разделе форума поддержки утилиты.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу