Решена Новая угроза speed3: как избавиться?

Статус
В этой теме нельзя размещать новые ответы.

merops apiaster

Новый пользователь
Сообщения
25
Реакции
0
Здравствуйте! Совсем недавно, 11 ноября, здесь мне помогли избавиться от вируса speed2, сегодня появился speed3. Открывается окно при открытии Internet Explorer и Opera. Opera я сразу удалила, пока не поставила, есть еще Mozilla Firefox, пока он открывается нормально.
Логи сделала, прикрепляю.
За помощь заранее спасибо.
 

Вложения

  • info.txt
    16.3 KB · Просмотры: 1
  • log.txt
    35.9 KB · Просмотры: 3
  • virusinfo_syscheck.zip
    57.1 KB · Просмотры: 3
  • virusinfo_syscure.zip
    56.3 KB · Просмотры: 2
Приветствую merops apiaster, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



***​

Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


***​

Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
__________________________________________________
С уважением, администрация SafeZone.
 
Код:
Внимание !!! База поcледний раз обновлялась 20.05.2012 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

Обновите базы АВЗ и сделайте новые логи

Пофиксите в HiJackThis

Код:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://browserhelp3.ru
O1 - Hosts: 217.73.58.60 userapi.com
O1 - Hosts: 217.73.58.60 st0.userapi.com
O1 - Hosts: 217.73.58.60 st1.userapi.com
O1 - Hosts: 217.73.58.60 st2.userapi.com
O1 - Hosts: 217.73.58.60 st3.userapi.com
O1 - Hosts: 217.73.58.60 st4.userapi.com
O1 - Hosts: 217.73.58.60 st5.userapi.com
O1 - Hosts: 217.73.58.60 st6.userapi.com
O1 - Hosts: 217.73.58.60 st7.userapi.com
O1 - Hosts: 217.73.58.60 st8.userapi.com
O1 - Hosts: 217.73.58.60 st9.userapi.com
O1 - Hosts: 217.73.58.60 stg.odnoklassniki.ru
O1 - Hosts: 217.73.58.60 cdn.connect.mail.ru
O1 - Hosts: 217.73.58.60 img0.imgsmail.ru
O1 - Hosts: 217.73.58.60 img1.imgsmail.ru
O1 - Hosts: 217.73.58.60 img2.imgsmail.ru
O1 - Hosts: 217.73.58.60 img3.imgsmail.ru
O1 - Hosts: 217.73.58.60 img4.imgsmail.ru
O1 - Hosts: 217.73.58.60 img5.imgsmail.ru
O1 - Hosts: 217.73.58.60 img6.imgsmail.ru
O1 - Hosts: 217.73.58.60 img7.imgsmail.ru
O1 - Hosts: 217.73.58.60 img8.imgsmail.ru
O1 - Hosts: 217.73.58.60 img9.imgsmail.ru

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Search" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R1].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве
 
не удалять вирусы, найденные MBAM?
 

Вложения

  • virusinfo_syscure.zip
    42 KB · Просмотры: 1
  • virusinfo_syscheck.zip
    39.9 KB · Просмотры: 0
  • mbam-log-2012-11-23 (20-03-15).txt
    5.2 KB · Просмотры: 1
  • AdwCleaner[R1].txt
    1.2 KB · Просмотры: 1
Нет не удаляйте.

Выполните скрипт в AVZ:

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ExecuteRepair(13);
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

далее подготовьте новый лог RSIT

+

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Выполните обновление баз (Меню Файл - Обновление баз)
  3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт № 4 ("Скрипт сбора неопознанных и подозрительных файлов") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  5. Закачайте полученный архив, как описано на этой странице.
  6. Если размер архива превышает 20 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zalil, Dump.Ru или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

далее

  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Скопируйте содержимое файла в свое следующее сообщение.
Подробнее читайте в этом руководстве.
 
лог RSIT сделала.

Перед тем, как у делать скрипт 4 в AVZ, нужно запустить все используемые браузеры.
Opera вчера удалила, хочу её поставить. Лучше это сделать потом, после окончания лечения или до того, как буду делать скрипт № 4?
 

Вложения

  • info.txt
    16.2 KB · Просмотры: 4
  • log.txt
    36 KB · Просмотры: 1
После окончания лечения поставите
 
архив AVZ
Сведения о файле:Размер файла, байт:12871162MD5:10B4D4B71D8CA2F21E698B2566B84C26

Добавлено через 4 минуты 16 секунд
Код:
Security Check by glax24 version 0.1.3.35 beta
WebSite: [url]www.safezone.cc[/url]
DataLog 23.11.2012 22:52:23
Program directory: C:\Documents and Settings\1\Local Settings\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True
XML File - VersionInet=0.8
__________________________________________________

WIN_XP (x86) Lan:0419
Service Pack 3
Internet Explorer 6.0.2900.5512 [color=red][b]Внимание! [url=http://windows.microsoft.com/ru-RU/internet-explorer/downloads/ie-8]Скачать обновления[/url][/b][/color]
-------------Windows------------------------------
[color=red][b]Automatic Updates ERROR=1[/b][/color]
-------------Antivirus_WMI------------------------
 
Последнее редактирование модератором:
Пофиксите в HiJackThis!

Код:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://browserhelp3.ru


Обновите Internet Explorer - http://windows.microsoft.com/ru-RU/internet-explorer/downloads/ie-8

Деинсталлируйте Java через установку удаление программ, скачайте и установите последнюю версию Java SE

Обновите Mozilla Firefox

Обновите Adobe Flash Player - скачайте версии, как для IE так и для других браузеров

Деинсталлируйте Adobe Reader скачайте и установите последнюю версию Adobe Reader

Удалите остатки антивируса DrWeb этой утилитой http://download.geo.drweb.com/pub/drweb/tools/drw_remover.exe
 
Обновите - скачайте версии, как для IE так и для других браузеров не устанавливаются.

Почти всё сделала, но не обновить Flash Player, ни версия для IE, ни для других браузеров. Сначала установочный файл сохраняю в папку "программы", запускаю его, тут же он пишет "Не удалось инициализировать", и вслед за этим из папки "программы исчезает.
Пробовала несколько раз.

Что с этим можно сделать?
 
спасибо большое, получилось обновить Flash Player.
Что еще можно сделать для лечения?
А вирусы, которые нашёл МBAM? Их уже нет на компьютере?
 
Удалила два файла, найденные МBAM, остальные вроде как безвредные кейгены, оставила.
Буду теперь удалять инструменты, использованные для лечения.
Спасибо большое за помощь!!!
 
И Вам не болеть больше))
 
Многие программы. использованные для лечения удалились безропотно.
Кроме AdwCleaner by Xplode.
Запускаю AdwCleaner by Xplode. Предлагает обновиться до последней версии. Отказываюсь.
Запускается. Нажимаю кнопку Uninstall.
Спрашивает, действительно ли я хочу удалить программу. Подтверждаю. И ничего не происходит. Программа остается там, где была: на рабочем столе.Можно ли теперь от неё избавиться?

Добавлено через 4 минуты 37 секунд
Как правильно удалить HiJackThis?
 
Сначала обновите затем деинсталлируйте

Обновила, запускается. Нажимаю: "деинсталлировать", спрашивает, действительно ли я этого хочу? И ничего не происходит.

Есть ли еще способы избавиться от этой программы?
 
Так же отправить в корзину Деинсталлятор только чистит следы из реестра
 
И SecurityCheck by glax24 тоже деинсталлировать не надо, можно просто отправить в корзину?
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу