Решена rustraflab

Статус
В этой теме нельзя размещать новые ответы.

zanaveska

Активный пользователь
Сообщения
48
Симпатии
5
Баллы
48
#1
При запуске браузера (Опера, Хром) открывается страница rustraflab.ru и сразу же перенаправляет на различные рекламные сайты.
Что необходимо сделать?
Благодарю
 

Вложения

Кирилл

Команда форума
Администратор
Сообщения
13,541
Симпатии
6,003
Баллы
843
#2
Удалите через установку и удаление программ:
Sweet Page

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

zanaveska

Активный пользователь
Сообщения
48
Симпатии
5
Баллы
48
#3
я все сфейлил =\ и потер все что там нашлось, еще есть варианты решения проблемы?
 

Вложения

Кирилл

Команда форума
Администратор
Сообщения
13,541
Симпатии
6,003
Баллы
843
#4
еще есть варианты решения проблемы?
Мы только начали)


Удалите с помощью clearlink приписки ярлыков:
Код:
>>> [modified][RO] "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Gооglе Сhrоmе.lnk"  -> ["C:\Program Files (x86)\Google\chrome.bat"  -> "hxxp://kopsearch.ru" ]
>>> [modified][RO] "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HP\HP Deskjet 2050 J510 series\Программное обеспечение и настройка принтера.lnk"  -> ["C:\Program Files (x86)\HP\USBSetupLauncher.bat"  -> "hxxp://kopsearch.ru" ]
>>> [modified][RO] "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Оpеrа.lnk"  -> ["C:\launcher.bat"  -> "hxxp://kopsearch.ru" ]
>>> [modified][RO] "C:\Users\Public\Desktop\Gооglе Сhrоmе.lnk"  -> ["C:\Program Files (x86)\Google\chrome.bat"  -> "hxxp://kopsearch.ru" ]
>>> [modified][RO] "C:\Users\Public\Desktop\Оpеrа.lnk"  -> ["C:\launcher.bat"  -> "hxxp://kopsearch.ru" ]
>>> [modified][RO] "C:\Users\Пушкин\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gооglе Сhrоmе.lnk"  -> ["C:\Program Files (x86)\Google\chrome.bat"  -> "hxxp://kopsearch.ru" ]
>>> [modified][RO] "C:\Users\Пушкин\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunсh Intеrnеt Ехplоrеr Вrоwsеr.lnk"  -> ["C:\iexplore.bat"  -> "hxxp://kopsearch.ru" ]
>>> [modified][RO] "C:\Users\Пушкин\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrоmе.lnk"  -> ["C:\Program Files (x86)\Google\chrome.bat"  -> "hxxp://kopsearch.ru" ]
>>> [modified][RO] "C:\Users\Пушкин\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Оpеrа.lnk"  -> ["C:\launcher.bat"  -> "hxxp://kopsearch.ru" ]
>>> [modified][RO] "C:\Users\Пушкин\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехplоrеr (Nо Аdd-оns).lnk"  -> ["C:\iexplore.bat"  -> "hxxp://kopsearch.ru" ]
>>> [modified][RO] "C:\Users\Пушкин\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехplоrеr (64-bit).lnk"  -> ["C:\iexplore.bat"  -> "hxxp://kopsearch.ru" ]
>>> [modified][RO] "C:\Users\Пушкин\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехplоrеr.lnk"  -> ["C:\iexplore.bat"  -> "hxxp://kopsearch.ru" ]
  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  5. Подробнее читайте в руководстве Как подготовить лог UVS
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.
Это тоже забыли вы...
 
Последнее редактирование:

zanaveska

Активный пользователь
Сообщения
48
Симпатии
5
Баллы
48
#5
это я сделал и все почистил и удалил и нет больше возможности найти файл AdwCleaner[R0] =\ и папка карантин пуста
и кстати проблема то решена, рекламы больше нет
 

Вложения

Кирилл

Команда форума
Администратор
Сообщения
13,541
Симпатии
6,003
Баллы
843
#6
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v3.85 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v385c
    breg
    ; C:\WINDOWS\SYSTEM32\DRIVERS\BD0001_1.SYS
    addsgn BA6F9BB219E18E3E801D46249B37ED4CAE5AB57D40B29CBCAD2A6349AF29BD80EFDB0F9BF2995185E74C48531A160DFA18DF9E723CDAD32C4877F82FA5064673 64 baidu
    
    ; C:\WINDOWS\SYSTEM32\DRIVERS\BDSAFEBROWSER.SYS
    addsgn BA6F9BB219E18E3E801D46249B37ED4CAE5AB57D40B29CBCAD2AD3CBAF29BD80C3F7C3573E559D492B80849F1AFC49FA5D4FE872953AB02C2D77A42FC7062273 64 baidu.troyan
    
    ; C:\USERS\ПУШКИН\APPDATA\ROAMING\MICROSOFT\WINDOWS\TEMPLATES\A.KOTNORB.COM
    addsgn 9A1035DA5582BC8DF42BAEB164C81205158AFCF6C9FA1F7885C3C5BCEF91DE06355D1A13AF5DA3596D964A5E461649FA7DDFE97255DAB02C2D77A42F85546D3D 8 Email-Worm.Win32.VB.ay
    
    zoo %SystemDrive%\USERS\ПУШКИН\APPDATA\ROAMING\MICROSOFT\WINDOWS\TEMPLATES\A.KOTNORB.COM
    bl 902792C0116ADF49F55F111E82C81DB0 81920
    delall %SystemDrive%\USERS\ПУШКИН\APPDATA\ROAMING\MICROSOFT\WINDOWS\TEMPLATES\A.KOTNORB.COM
    delref %SystemDrive%\PROGRAM FILES (X86)\BAIDU\BAIDUS.EXE
    zoo %SystemDrive%\USERS\ПУШКИН\APPDATA\LOCAL\LSASS.EXE
    ; C:\USERS\ПУШКИН\APPDATA\LOCAL\LSASS.EXE
    delmz %SystemDrive%\USERS\ПУШКИН\APPDATA\LOCAL\LSASS.EXE
    delall %SystemDrive%\USERS\ПУШКИН\APPDATA\LOCAL\LSASS.EXE
    zoo %SystemDrive%\USERS\ПУШКИН\APPDATA\LOCAL\SERVICES.EXE
    ; C:\USERS\ПУШКИН\APPDATA\LOCAL\SERVICES.EXE
    delmz %SystemDrive%\USERS\ПУШКИН\APPDATA\LOCAL\SERVICES.EXE
    delall %SystemDrive%\USERS\ПУШКИН\APPDATA\LOCAL\SERVICES.EXE
    zoo %SystemDrive%\USERS\ПУШКИН\APPDATA\LOCAL\WINLOGON.EXE
    ; C:\USERS\ПУШКИН\APPDATA\LOCAL\WINLOGON.EXE
    delmz %SystemDrive%\USERS\ПУШКИН\APPDATA\LOCAL\WINLOGON.EXE
    delall %SystemDrive%\USERS\ПУШКИН\APPDATA\LOCAL\WINLOGON.EXE
    zoo %SystemDrive%\USERS\ПУШКИН\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\EMPTY.PIF
    ; C:\USERS\ПУШКИН\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\EMPTY.PIF
    delall %SystemDrive%\USERS\ПУШКИН\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\EMPTY.PIF
    ; C:\USERS\ПУШКИН\APPDATA\LOCAL\SMSS.EXE
    delall %SystemDrive%\USERS\ПУШКИН\APPDATA\LOCAL\SMSS.EXE
    delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\LOCAL\SMSS.EXE
    zoo %SystemRoot%\INF\NORBTOK.EXE
    ; C:\WINDOWS\INF\NORBTOK.EXE
    delall %SystemRoot%\INF\NORBTOK.EXE
    delref %SystemDrive%\USERS\ПУШКИН\APPDATA\LOCAL\DM\TINYDM.EXE
    zoo %Sys32%\DRIVERS\BD0001_1.SYS
    bl F75F5F5703182987905AE13CC18E72EA 181072
    delall %Sys32%\DRIVERS\BD0001_1.SYS
    zoo %Sys32%\DRIVERS\BDSAFEBROWSER.SYS
    bl C71234DC7873CAB679E482AAD3E54144 49480
    delall %Sys32%\DRIVERS\BDSAFEBROWSER.SYS
    zoo %SystemDrive%\LAUNCHER.BAT
    del %SystemDrive%\LAUNCHER.BAT
    delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\BAIDU\BDDOWNLOAD\108\BDCOMPROXY.DLL
    delref %Sys32%\DRIVERS\BDENHANCEBOOST.SYS
    delref HTTP://KOPSEARCH.RU
    delref %SystemDrive%\USERS\ПУШКИН\APPDATA\ROAMING\SWEET-PAGE\UNINSTALLMANAGER.EXE
    deltmp
    chklst
    delvir
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.​
  7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
  8. Подробнее читайте в этом руководстве.
Повторите лог UVs,смените пароли к электронной почте.
 

zanaveska

Активный пользователь
Сообщения
48
Симпатии
5
Баллы
48
#7
все сделал, отправил
 

Кирилл

Команда форума
Администратор
Сообщения
13,541
Симпатии
6,003
Баллы
843
#10
Нет.
  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  5. Подробнее читайте в руководстве Как подготовить лог UVS
 

akok

Команда форума
Администратор
Сообщения
15,590
Симпатии
12,650
Баллы
2,203
#12
Проблема еще наблюдается?
 

zanaveska

Активный пользователь
Сообщения
48
Симпатии
5
Баллы
48
#13
нет, спасибо огромное
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,249
Симпатии
5,850
Баллы
918
#14
1)
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v3.85.3 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v385c
    BREG
    delref %SystemDrive%\USERS\ПУШКИН\APPDATA\LOCAL\YANDEX\UPDATER2\BROWSERMANAGERSHOW.EXE
    del %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\СHRОMЕ.BАT.EXE
    del %SystemDrive%\LАUNСHЕR.BАT.EXE
    zoo %SystemRoot%\SYSWOW64\DRIVERS\BDARKIT.SYS
    bl 12536E3769B335640D69EA986E1BA227 151368
    delall %SystemRoot%\SYSWOW64\DRIVERS\BDARKIT.SYS
    deldir %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\BAIDU\
    czoo
    regt 2
    regt 3
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.​
  7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
  8. Подробнее читайте в этом руководстве.

2)
  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.

3) Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
 
Последнее редактирование:

zanaveska

Активный пользователь
Сообщения
48
Симпатии
5
Баллы
48
#15
C:\AdwCleaner\AdwCleaner[R0].txt. такого файла уже не будет, т.к. цифры меняются от количества сканов =\ или я не знаю у меня с 0 не идет скан
 

Вложения

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,249
Симпатии
5,850
Баллы
918
#16
Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
QuarantineFile('C:\Users\Пушкин\documents\documents.exe', '');
DeleteFile('C:\Users\Пушкин\documents\documents.exe', '32');
ExecuteSysClean;
ExecuteRepair(2);
RebootWindows(true);
end.
после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

  • Пожалуйста, запустите adwcleaner.exe
  • Нажмите Uninstall (Удалить).
  • Подтвердите удаление нажав кнопку: Да.

Подробнее читайте в этом руководстве.

Скачайте Malwarebytes' Anti-Malware или с зеркала. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: MBAM-log-2014-10-14 (12-18-10).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM, зеркало обновлений MBAM.
Подробнее читайте в руководстве.

Смените пароли.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,249
Симпатии
5,850
Баллы
918
#18
1) Удалите папку

Код:
C:\Users\Пушкин\Desktop\AutoLogger\AutoLogger\AVZ\Quarantine\
и из мусорной корзинки также её удалите.

2) Повторите сканирование в MBAM если уже его закрыли, отметьте галочками всё кроме указанных ниже строчек - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).

Подробнее читайте в руководстве.

Код:
Обнаруженные процессы в памяти: 1
C:\Windows\KMService.exe (RiskWare.Tool.CK) -> 1768 -> Действие не было предпринято.
Обнаруженные файлы:
C:\Windows\KMService.exe (RiskWare.Tool.CK) -> Действие не было предпринято.
C:\Program Files\Sony\Vegas Pro 12.0\vegas.pro.12.-patch.exe (PUP.RiskwareTool.CK) -> Действие не было предпринято.
D:\UltraISO Premium Edition v9.5.3.2901 Final Ml_Rus\Retail\Keygens\Keygen-ZWT\keygen.exe (RiskWare.Tool.CK) -> Действие не было предпринято.
D:\vegaspro12.0.367\MultiKeygen\Keygen.exe (RiskWare.Tool.HCK) -> Действие не было предпринято.
D:\vegaspro12.0.367\Portable Sony Vegas Pro 12.0 Build 367 x64\Sony Vegas 12 64\MultiKeygen\Keygen.exe (RiskWare.Tool.HCK) -> Действие не было предпринято.
D:\vegaspro12.0.367\vegas.pro.12.-patch.exe\vegas.pro.12.-patch.exe (PUP.RiskwareTool.CK) -> Действие не было предпринято.
D:\загрузки\komp\cpu-z_1.62-setup-en.exe (PUP.Optional.ToolBarInstaller.A) -> Действие не было предпринято.
D:\загрузки\PowerISO 5.0+portable\PowerISO 5.0\keygen-CORE.exe (Malware.Packer) -> Действие не было предпринято.
D:\загрузки\PowerISO 5.0+portable\PowerISO 5.0\keygen-CRD.exe (Trojan.Agent) -> Действие не было предпринято.
D:\загрузки\PowerISO 5.0+portable\power_iso_5.0_portable\PowerISO\%drive_D%\kk\Crack\rld.dll (VirTool.Obfuscator) -> Действие не было предпринято.
D:\загрузки\PowerISO 5.0+portable\power_iso_5.0_portable\PowerISO\%drive_E%\pes\Crack\rld.dll (VirTool.Obfuscator) -> Действие не было предпринято.
D:\загрузки\SonyVegas Pro 8.0c\VegasPro8.0cBuild260Eng32bit\Sony.Products.Keygen.and.Patch.Only.FIXED.READ.NFO-DI\Sony.Products.Keygen.and.Patch.Only.FIXED.READ.NFO-DI\Keygen.exe (RiskWare.Tool.CK) -> Действие не было предпринято.
После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.
 
Последнее редактирование:
Статус
В этой теме нельзя размещать новые ответы.

Similar Threads

Ответы
8
Просмотры
2,167
Сверху Снизу