Решена rustraflab

Статус
В этой теме нельзя размещать новые ответы.
Z

zanaveska

Активный пользователь
Сообщения
48
Реакции
5
Баллы
88
При запуске браузера (Опера, Хром) открывается страница rustraflab.ru и сразу же перенаправляет на различные рекламные сайты.
Что необходимо сделать?
Благодарю
 

Вложения

Кирилл

Кирилл

Команда форума
Администратор
Сообщения
13,715
Реакции
6,106
Баллы
913
Удалите через установку и удаление программ:
Sweet Page

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Z

zanaveska

Активный пользователь
Сообщения
48
Реакции
5
Баллы
88
я все сфейлил =\ и потер все что там нашлось, еще есть варианты решения проблемы?
 

Вложения

Кирилл

Кирилл

Команда форума
Администратор
Сообщения
13,715
Реакции
6,106
Баллы
913
еще есть варианты решения проблемы?
Мы только начали)


Удалите с помощью clearlink приписки ярлыков:
Код:
>>> [modified][RO] "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Gооglе Сhrоmе.lnk"  -> ["C:\Program Files (x86)\Google\chrome.bat"  -> "hxxp://kopsearch.ru" ]
>>> [modified][RO] "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HP\HP Deskjet 2050 J510 series\Программное обеспечение и настройка принтера.lnk"  -> ["C:\Program Files (x86)\HP\USBSetupLauncher.bat"  -> "hxxp://kopsearch.ru" ]
>>> [modified][RO] "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Оpеrа.lnk"  -> ["C:\launcher.bat"  -> "hxxp://kopsearch.ru" ]
>>> [modified][RO] "C:\Users\Public\Desktop\Gооglе Сhrоmе.lnk"  -> ["C:\Program Files (x86)\Google\chrome.bat"  -> "hxxp://kopsearch.ru" ]
>>> [modified][RO] "C:\Users\Public\Desktop\Оpеrа.lnk"  -> ["C:\launcher.bat"  -> "hxxp://kopsearch.ru" ]
>>> [modified][RO] "C:\Users\Пушкин\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gооglе Сhrоmе.lnk"  -> ["C:\Program Files (x86)\Google\chrome.bat"  -> "hxxp://kopsearch.ru" ]
>>> [modified][RO] "C:\Users\Пушкин\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunсh Intеrnеt Ехplоrеr Вrоwsеr.lnk"  -> ["C:\iexplore.bat"  -> "hxxp://kopsearch.ru" ]
>>> [modified][RO] "C:\Users\Пушкин\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrоmе.lnk"  -> ["C:\Program Files (x86)\Google\chrome.bat"  -> "hxxp://kopsearch.ru" ]
>>> [modified][RO] "C:\Users\Пушкин\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Оpеrа.lnk"  -> ["C:\launcher.bat"  -> "hxxp://kopsearch.ru" ]
>>> [modified][RO] "C:\Users\Пушкин\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехplоrеr (Nо Аdd-оns).lnk"  -> ["C:\iexplore.bat"  -> "hxxp://kopsearch.ru" ]
>>> [modified][RO] "C:\Users\Пушкин\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехplоrеr (64-bit).lnk"  -> ["C:\iexplore.bat"  -> "hxxp://kopsearch.ru" ]
>>> [modified][RO] "C:\Users\Пушкин\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехplоrеr.lnk"  -> ["C:\iexplore.bat"  -> "hxxp://kopsearch.ru" ]
  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  5. Подробнее читайте в руководстве Как подготовить лог UVS
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.
Это тоже забыли вы...
 
Последнее редактирование:
Z

zanaveska

Активный пользователь
Сообщения
48
Реакции
5
Баллы
88
Это тоже забыли вы...
это я сделал и все почистил и удалил и нет больше возможности найти файл AdwCleaner[R0] =\ и папка карантин пуста
и кстати проблема то решена, рекламы больше нет
 

Вложения

Кирилл

Кирилл

Команда форума
Администратор
Сообщения
13,715
Реакции
6,106
Баллы
913
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v3.85 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v385c
    breg
    ; C:\WINDOWS\SYSTEM32\DRIVERS\BD0001_1.SYS
    addsgn BA6F9BB219E18E3E801D46249B37ED4CAE5AB57D40B29CBCAD2A6349AF29BD80EFDB0F9BF2995185E74C48531A160DFA18DF9E723CDAD32C4877F82FA5064673 64 baidu
    
    ; C:\WINDOWS\SYSTEM32\DRIVERS\BDSAFEBROWSER.SYS
    addsgn BA6F9BB219E18E3E801D46249B37ED4CAE5AB57D40B29CBCAD2AD3CBAF29BD80C3F7C3573E559D492B80849F1AFC49FA5D4FE872953AB02C2D77A42FC7062273 64 baidu.troyan
    
    ; C:\USERS\ПУШКИН\APPDATA\ROAMING\MICROSOFT\WINDOWS\TEMPLATES\A.KOTNORB.COM
    addsgn 9A1035DA5582BC8DF42BAEB164C81205158AFCF6C9FA1F7885C3C5BCEF91DE06355D1A13AF5DA3596D964A5E461649FA7DDFE97255DAB02C2D77A42F85546D3D 8 Email-Worm.Win32.VB.ay
    
    zoo %SystemDrive%\USERS\ПУШКИН\APPDATA\ROAMING\MICROSOFT\WINDOWS\TEMPLATES\A.KOTNORB.COM
    bl 902792C0116ADF49F55F111E82C81DB0 81920
    delall %SystemDrive%\USERS\ПУШКИН\APPDATA\ROAMING\MICROSOFT\WINDOWS\TEMPLATES\A.KOTNORB.COM
    delref %SystemDrive%\PROGRAM FILES (X86)\BAIDU\BAIDUS.EXE
    zoo %SystemDrive%\USERS\ПУШКИН\APPDATA\LOCAL\LSASS.EXE
    ; C:\USERS\ПУШКИН\APPDATA\LOCAL\LSASS.EXE
    delmz %SystemDrive%\USERS\ПУШКИН\APPDATA\LOCAL\LSASS.EXE
    delall %SystemDrive%\USERS\ПУШКИН\APPDATA\LOCAL\LSASS.EXE
    zoo %SystemDrive%\USERS\ПУШКИН\APPDATA\LOCAL\SERVICES.EXE
    ; C:\USERS\ПУШКИН\APPDATA\LOCAL\SERVICES.EXE
    delmz %SystemDrive%\USERS\ПУШКИН\APPDATA\LOCAL\SERVICES.EXE
    delall %SystemDrive%\USERS\ПУШКИН\APPDATA\LOCAL\SERVICES.EXE
    zoo %SystemDrive%\USERS\ПУШКИН\APPDATA\LOCAL\WINLOGON.EXE
    ; C:\USERS\ПУШКИН\APPDATA\LOCAL\WINLOGON.EXE
    delmz %SystemDrive%\USERS\ПУШКИН\APPDATA\LOCAL\WINLOGON.EXE
    delall %SystemDrive%\USERS\ПУШКИН\APPDATA\LOCAL\WINLOGON.EXE
    zoo %SystemDrive%\USERS\ПУШКИН\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\EMPTY.PIF
    ; C:\USERS\ПУШКИН\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\EMPTY.PIF
    delall %SystemDrive%\USERS\ПУШКИН\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\EMPTY.PIF
    ; C:\USERS\ПУШКИН\APPDATA\LOCAL\SMSS.EXE
    delall %SystemDrive%\USERS\ПУШКИН\APPDATA\LOCAL\SMSS.EXE
    delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\LOCAL\SMSS.EXE
    zoo %SystemRoot%\INF\NORBTOK.EXE
    ; C:\WINDOWS\INF\NORBTOK.EXE
    delall %SystemRoot%\INF\NORBTOK.EXE
    delref %SystemDrive%\USERS\ПУШКИН\APPDATA\LOCAL\DM\TINYDM.EXE
    zoo %Sys32%\DRIVERS\BD0001_1.SYS
    bl F75F5F5703182987905AE13CC18E72EA 181072
    delall %Sys32%\DRIVERS\BD0001_1.SYS
    zoo %Sys32%\DRIVERS\BDSAFEBROWSER.SYS
    bl C71234DC7873CAB679E482AAD3E54144 49480
    delall %Sys32%\DRIVERS\BDSAFEBROWSER.SYS
    zoo %SystemDrive%\LAUNCHER.BAT
    del %SystemDrive%\LAUNCHER.BAT
    delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\BAIDU\BDDOWNLOAD\108\BDCOMPROXY.DLL
    delref %Sys32%\DRIVERS\BDENHANCEBOOST.SYS
    delref HTTP://KOPSEARCH.RU
    delref %SystemDrive%\USERS\ПУШКИН\APPDATA\ROAMING\SWEET-PAGE\UNINSTALLMANAGER.EXE
    deltmp
    chklst
    delvir
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.​
  7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
  8. Подробнее читайте в этом руководстве.
Повторите лог UVs,смените пароли к электронной почте.
 
Z

zanaveska

Активный пользователь
Сообщения
48
Реакции
5
Баллы
88
все сделал, отправил
 
Кирилл

Кирилл

Команда форума
Администратор
Сообщения
13,715
Реакции
6,106
Баллы
913
Нет.
  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  5. Подробнее читайте в руководстве Как подготовить лог UVS
 
akok

akok

Команда форума
Администратор
Сообщения
16,354
Реакции
13,072
Баллы
2,203
Проблема еще наблюдается?
 
Z

zanaveska

Активный пользователь
Сообщения
48
Реакции
5
Баллы
88
нет, спасибо огромное
 
regist

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,316
Реакции
5,919
Баллы
998
1)
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v3.85.3 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v385c
    BREG
    delref %SystemDrive%\USERS\ПУШКИН\APPDATA\LOCAL\YANDEX\UPDATER2\BROWSERMANAGERSHOW.EXE
    del %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\СHRОMЕ.BАT.EXE
    del %SystemDrive%\LАUNСHЕR.BАT.EXE
    zoo %SystemRoot%\SYSWOW64\DRIVERS\BDARKIT.SYS
    bl 12536E3769B335640D69EA986E1BA227 151368
    delall %SystemRoot%\SYSWOW64\DRIVERS\BDARKIT.SYS
    deldir %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\BAIDU\
    czoo
    regt 2
    regt 3
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.​
  7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
  8. Подробнее читайте в этом руководстве.
2)
  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.

3) Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
 
Последнее редактирование:
Z

zanaveska

Активный пользователь
Сообщения
48
Реакции
5
Баллы
88
C:\AdwCleaner\AdwCleaner[R0].txt. такого файла уже не будет, т.к. цифры меняются от количества сканов =\ или я не знаю у меня с 0 не идет скан
 

Вложения

regist

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,316
Реакции
5,919
Баллы
998
Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
QuarantineFile('C:\Users\Пушкин\documents\documents.exe', '');
DeleteFile('C:\Users\Пушкин\documents\documents.exe', '32');
ExecuteSysClean;
ExecuteRepair(2);
RebootWindows(true);
end.
после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

  • Пожалуйста, запустите adwcleaner.exe
  • Нажмите Uninstall (Удалить).
  • Подтвердите удаление нажав кнопку: Да.
Подробнее читайте в этом руководстве.

Скачайте Malwarebytes' Anti-Malware или с зеркала. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: MBAM-log-2014-10-14 (12-18-10).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM, зеркало обновлений MBAM.
Подробнее читайте в руководстве.

Смените пароли.
 
regist

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,316
Реакции
5,919
Баллы
998
1) Удалите папку

Код:
C:\Users\Пушкин\Desktop\AutoLogger\AutoLogger\AVZ\Quarantine\
и из мусорной корзинки также её удалите.

2) Повторите сканирование в MBAM если уже его закрыли, отметьте галочками всё кроме указанных ниже строчек - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).

Подробнее читайте в руководстве.

Код:
Обнаруженные процессы в памяти: 1
C:\Windows\KMService.exe (RiskWare.Tool.CK) -> 1768 -> Действие не было предпринято.
Обнаруженные файлы:
C:\Windows\KMService.exe (RiskWare.Tool.CK) -> Действие не было предпринято.
C:\Program Files\Sony\Vegas Pro 12.0\vegas.pro.12.-patch.exe (PUP.RiskwareTool.CK) -> Действие не было предпринято.
D:\UltraISO Premium Edition v9.5.3.2901 Final Ml_Rus\Retail\Keygens\Keygen-ZWT\keygen.exe (RiskWare.Tool.CK) -> Действие не было предпринято.
D:\vegaspro12.0.367\MultiKeygen\Keygen.exe (RiskWare.Tool.HCK) -> Действие не было предпринято.
D:\vegaspro12.0.367\Portable Sony Vegas Pro 12.0 Build 367 x64\Sony Vegas 12 64\MultiKeygen\Keygen.exe (RiskWare.Tool.HCK) -> Действие не было предпринято.
D:\vegaspro12.0.367\vegas.pro.12.-patch.exe\vegas.pro.12.-patch.exe (PUP.RiskwareTool.CK) -> Действие не было предпринято.
D:\загрузки\komp\cpu-z_1.62-setup-en.exe (PUP.Optional.ToolBarInstaller.A) -> Действие не было предпринято.
D:\загрузки\PowerISO 5.0+portable\PowerISO 5.0\keygen-CORE.exe (Malware.Packer) -> Действие не было предпринято.
D:\загрузки\PowerISO 5.0+portable\PowerISO 5.0\keygen-CRD.exe (Trojan.Agent) -> Действие не было предпринято.
D:\загрузки\PowerISO 5.0+portable\power_iso_5.0_portable\PowerISO\%drive_D%\kk\Crack\rld.dll (VirTool.Obfuscator) -> Действие не было предпринято.
D:\загрузки\PowerISO 5.0+portable\power_iso_5.0_portable\PowerISO\%drive_E%\pes\Crack\rld.dll (VirTool.Obfuscator) -> Действие не было предпринято.
D:\загрузки\SonyVegas Pro 8.0c\VegasPro8.0cBuild260Eng32bit\Sony.Products.Keygen.and.Patch.Only.FIXED.READ.NFO-DI\Sony.Products.Keygen.and.Patch.Only.FIXED.READ.NFO-DI\Keygen.exe (RiskWare.Tool.CK) -> Действие не было предпринято.
После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.
 
Последнее редактирование:
Статус
В этой теме нельзя размещать новые ответы.

Similar Threads

C
Ответы
8
Просмотры
2K
Сверху Снизу