• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Сильное торможение браузеров, всплывающая реклама...

Статус
В этой теме нельзя размещать новые ответы.

Razey

Активный пользователь
Сообщения
653
Реакции
30
Баллы
418
Здравствуйте!
Имеется настольный компьютер. Видимо после запуска зловредного файла на одном из сайтов с он-лайн фильмами начала постоянно вылезать всплывающая реклама, а также окошко (1/8 24' монитора) с китайскими (предположительно!) иероглифами иногда красного, иногда зеленого цвета (обычно во время запуска файла "от администратора"). Также сильно тормозят браузеры во время серфинга в интернете, хотя на машине 8 Гб памяти. Логи во вложении.
 

Вложения

Кирилл

Команда форума
Администратор
Сообщения
13,826
Реакции
6,168
Баллы
913
Смотрю тему
Удалите через установку и удаление программ:
WinZipper
YAC(Yet Another Cleaner!)
百度杀毒3.0 (инструкция) (ведь baidu я так понимаю без вашего ведома установился).

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.


  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  5. Подробнее читайте в руководстве Как подготовить лог UVS.
 

Razey

Активный пользователь
Сообщения
653
Реакции
30
Баллы
418
В инструкции по удалению Baidu был скрипт - выполнил его.
Отчет Check_Browsers_LNK во вложениях.
Отчет AdwCleaner'a - тоже.
Отчет UvS - тоже.
 

Вложения

Кирилл

Команда форума
Администратор
Сообщения
13,826
Реакции
6,168
Баллы
913
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт из файла..."
  4. В uVS Скачайте в удобное место файл скрипт.txt,выберите путь к файлу скрипт.txt

    скрипт.txt

  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.​
  7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
  8. Подробнее читайте в этом руководстве.


Повторите лог uvs.

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    !если используете mail.ru и media get,то снимите галочки со строк,содержащих эти имена.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Повторите лог AdwCleaner
 

Вложения

Последнее редактирование:

Razey

Активный пользователь
Сообщения
653
Реакции
30
Баллы
418
Скрипт выполнил. Архив ZOO... перепаковал (т.к. он обновления для Windows 7 в него впаковал - я их выбросил) и отправил на указанный почтовый ящик. Лог UvS повторил. Результат во вложении.
 

Вложения

Кирилл

Команда форума
Администратор
Сообщения
13,826
Реакции
6,168
Баллы
913
Razey, лог uvs поврежден,надо переделать.
 

Кирилл

Команда форума
Администратор
Сообщения
13,826
Реакции
6,168
Баллы
913
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v3.85.6 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v385c
    breg
    sreg
    zoo %Sys32%\BD64_X64.DLL
    bl E8384859BDD6AF71F5F3C60AB5BF3F98 41800
    addsgn 4AED779A55A980BEC718627DA804DEC976DCABB7DDB29C94DD8A4E45195D8108A8F58BDCE7BDEB002B80CC1A9D6353B6F610A4F9939B3BF81EBE4CEE2EF9DD3B 64 baidu
    
    zoo %Sys32%\BD64_X86.DLL
    bl 2EF0728AC5460C5EB0D11204A7DE940B 39056
    addsgn C12C3758596A19F9E75742AD32205E34258A7783817FE90D943CB0A8AFA361B3561B95BF21A562B6C0EF0FDA4A952C0E7D5C8D8A55893B7139202F52D78F679B 64 baidu
    
    deltmp
    chklst
    czoo
    delvir
    areg
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.​
  7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
  8. Подробнее читайте в этом руководстве.

Повторите лог uvs.

Сообщите о наличии проблем.
Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
 

Razey

Активный пользователь
Сообщения
653
Реакции
30
Баллы
418
Сегодня-завтра отвечу, оставьте тему.
 

Razey

Активный пользователь
Сообщения
653
Реакции
30
Баллы
418
Лог Uvs и Autologger'a во вложении. ZOO на вашу почту тоже отправил.

Проблемв всплывающей рекламы вроде бы еще присутствует...
 

Вложения

Последнее редактирование:

Кирилл

Команда форума
Администратор
Сообщения
13,826
Реакции
6,168
Баллы
913
Проблемв всплывающей рекламы вроде бы еще присутствует...
Так вроде или присутствует?
Как и где проявляется,какого рода?

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Razey

Активный пользователь
Сообщения
653
Реакции
30
Баллы
418
Пользователь не жалуется, проблем вроде нет, однако логи (на всякий случай) во вложении.
 

Вложения

Кирилл

Команда форума
Администратор
Сообщения
13,826
Реакции
6,168
Баллы
913
  • Пожалуйста, запустите adwcleaner.exe
  • Нажмите Uninstall (Удалить).
  • Подтвердите удаление нажав кнопку: Да.

Подробнее читайте в этом руководстве.

Удалите MBAM


Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
Код:
start
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
CHR StartupUrls: Default -> "hxxp://www.google.ru/", "hxxp://www.yandex.ru/?win=134&clid=1985535", "hxxp://www.delta-homes.com/?type=hp&ts=1419503729&from=wpm12233&uid=ST1000DM003-1CH162_Z1D72NE8XXXXZ1D72NE8"

Reboot:
end
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 
Последнее редактирование:
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу