• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Торможение браузеров, всплывающая реклама.

Статус
В этой теме нельзя размещать новые ответы.

Razey

Активный пользователь
Сообщения
653
Реакции
30
Баллы
418
здравствуйте! Человек запустил якобы мод, но скачанный не с сайта танков. После этого куча всплывающей рекламы, торможение браузеров и т.д. Логи во вложении.
 

Вложения

Кирилл

Команда форума
Администратор
Сообщения
13,827
Реакции
6,169
Баллы
913
Удалите через апплет установка и удаление программ:
  • Super Fast Download Manager Packages
  • SpeedCheck
  • SmartWeb
  • mystartsearch
  • AnyProtect
  • ConvertAd
  • Ask toolbar
Эти программы вам знакомы,вы это используете?

  • Амиго браузер
  • Unity Web Player
  • Poker Superstars III
  • MediaGet
  • Advertising Center
  • Agatha Christie
  • Magic Desktop
  • PlayFree Браузер
  • Интернет
  • AnySend
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
TerminateProcessByName('c:\users\Алексей\appdata\local\31464e43-1425147349-5731-4d56-101f74bff47d\ansi8eaf.exe');
QuarantineFile('c:\program files (x86)\ver4speedcheck\y2speedcheckf72.exe', '');
QuarantineFile('c:\users\Алексей\appdata\local\gmsd_ru_146\upgmsd_ru_146.exe', '');
QuarantineFile('c:\users\Алексей\appdata\local\31464e43-1425231596-5731-4d56-101f74bff47d\jnsd4414.exe', '');
QuarantineFile('c:\users\Алексей\appdata\local\31464e43-1425231596-5731-4d56-101f74bff47d\insy52e3.tmp', '');
QuarantineFile('c:\program files (x86)\igs\basementduster.exe', '');
QuarantineFile('c:\users\Алексей\appdata\local\31464e43-1425147349-5731-4d56-101f74bff47d\cnsi9ae0.tmp', '');
QuarantineFile('c:\users\Алексей\appdata\roaming\aspackage\assrv.exe', '');
QuarantineFile('c:\users\Алексей\appdata\local\31464e43-1425147349-5731-4d56-101f74bff47d\ansi8eaf.exe', '');
QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\b40160231e0c64ee\Первый пользователь - Chrome.lnk', '');
QuarantineFile('C:\Users\Public\Desktop\Gооglе Сhrоmе.lnk', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Gооglе Сhrоmе.lnk', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Яндекс\Яндекс.Бар\Онлайн помощь по Яндекс.Бару для Intеrnеt Ехрlоrеr.lnk', '');
QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Mаil.Ru.lnk', '');
QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Mоzillа Firеfох.lnk', '');
QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mаil.Ru.lnk', '');
QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mоzillа Firеfох (2).lnk', '');
QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mоzillа Firеfох.lnk', '');
QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехрlоrеr (Nо Аdd-оns).lnk', '');
QuarantineFile('C:\Users\Алексей\Desktop\Первый пользователь - Сhrоmе.lnk', '');
QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk', '');
QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk', '');
QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вконтакте.lnk', '');
QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Одноклассники.lnk', '');
QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk', '');
QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Вконтакте.lnk', '');
QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Одноклассники.lnk', '');
QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Вконтакте.lnk', '');
QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Одноклассники.lnk', '');
QuarantineFile('C:\Users\Алексей\Desktop\Вконтакте.lnk', '');
QuarantineFile('C:\Users\Алексей\Desktop\Одноклассники.lnk', '');
QuarantineFile('C:\Users\Алексей\Links\Cloud Mail.Ru.lnk', '');
QuarantineFile('C:\Users\Алексей\Desktop\Искать в Интернете.lnk', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mоzillа Firеfох.lnk', '');
QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Yandex.lnk', '');
QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Амиго.lnk', '');
QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Pirates\Рirаtеs.lnk', '');
QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Pirates.lnk', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games\Сrush thе Саstlе 2.lnk', '');
QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder\WаrThundеr.lnk', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Comodo\GeekBuddy\GeekBuddy.lnk', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Start GeekBuddy.lnk', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Wоrld оf Tаnks.lnk', '');
QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PlayFree Браузер\РlаyFrее Браузер.lnk', '');
QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\World of Tanks\Wоrld оf Tаnks.lnk', '');
QuarantineFile('C:\Users\Алексей\Desktop\IMG_20141123_143253.jpg - Ярлык.lnk', '');
QuarantineFile('C:\Users\Алексей\Desktop\VID_20141123_124921.3gp - Ярлык.lnk', '');
QuarantineFile('C:\Users\Алексей\Desktop\VID_20141123_134626.3gp - Ярлык.lnk', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\baidu\baidu.lnk', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ghost Recon Future Soldier - Raven Strike\Начать игру.lnk', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ghost Recon Future Soldier - Raven Strike\Удалить игру.lnk', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MaxDownload\Uninstall.lnk', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\McDonald'+#39+'s Dragons\Dragons.lnk', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\McDonald'+#39+'s Dragons\Uninstall McDonald'+#39+'s Dragons.lnk', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nival\Prime World\Prime World.lnk', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nival\Prime World\Удалить игру.lnk', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Деинсталлировать World of Tanks.lnk', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Официальный сайт игры.lnk', '');
QuarantineFile('C:\Games\World_of_Tanks\World_of_Tanks\website.url', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Последние изменения.lnk', '');
QuarantineFile('C:\Games\World_of_Tanks\World_of_Tanks\readme.url', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Руководство по игре.lnk', '');
QuarantineFile('C:\Games\World_of_Tanks\World_of_Tanks\game_manual.url', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Энциклопедия.lnk', '');
QuarantineFile('C:\Games\World_of_Tanks\World_of_Tanks\wiki.url', '');
QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\COMODO GeekBuddy.lnk', '');
QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\naPUrXmzaR.lnk', '');
QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Играть! GameXP.lnk', '');
QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AnyProtect PC Backup\AnyProtect.lnk', '');
QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MediaGet2\Удалить MediaGet.lnk', '');
QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SmartWeb.lnk', '');
QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\World of Tanks\Деинсталлировать World of Tanks.lnk', '');
QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\World of Tanks\Официальный сайт игры.lnk', '');
QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\World of Tanks\Последние изменения.lnk', '');
QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\World of Tanks\Руководство по игре.lnk', '');
QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\World of Tanks\Энциклопедия.lnk', '');
QuarantineFile('C:\Users\Алексей\Desktop\Dragons.lnk', '');
QuarantineFile('C:\Users\Алексей\Pictures\2011-11-23 001\степка - Ярлык.lnk', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Akella Games\Guilty Gear Isuka\Ссылки\www.akella.com.url', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Akella Games\Guilty Gear Isuka\Ссылки\www.cdgames.ru.url', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Buka\Hammerfight\Сайт KranX Productions.url', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Buka\Hammerfight\Сайт компании Бука.url', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Buka\Hammerfight\Сайт с игрой.url', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nival\Prime World\Открыть официальный сайт игры.url', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nival\Prime World\Сайт компании Nival.url', '');
QuarantineFile('C:\Users\Алексей\AppData\Local\PlayFree Browser\Games\city_racing-gs_ig7\play.url', '');
QuarantineFile('C:\Users\Алексей\AppData\Local\PlayFree Browser\Games\farm_frenzy-gs_rus\play.url', '');
QuarantineFile('C:\Users\Алексей\AppData\Local\PlayFree Browser\Games\farm_frenzy-gs_rus\website.url', '');
QuarantineFile('C:\Users\Алексей\AppData\Local\PlayFree Browser\Games\farm_frenzy_2-gs_rus\play.url', '');
QuarantineFile('C:\Users\Алексей\AppData\Local\PlayFree Browser\Games\farm_frenzy_2-gs_rus\website.url', '');
QuarantineFile('C:\Users\Алексей\AppData\Local\PlayFree Browser\Games\farm_frenzy_3-gs_rus\play.url', '');
QuarantineFile('C:\Users\Алексей\AppData\Local\PlayFree Browser\Games\farm_frenzy_3-gs_rus\website.url', '');
QuarantineFile('C:\Users\Алексей\AppData\Local\PlayFree Browser\Games\funny_farm-gs_rus\play.url', '');
QuarantineFile('C:\Users\Алексей\AppData\Local\PlayFree Browser\Games\funny_farm-gs_rus\website.url', '');
QuarantineFile('C:\Users\Алексей\AppData\Local\PlayFree Browser\Games\nitro_racers-gs_ig7\play.url', '');
QuarantineFile('C:\Users\Алексей\AppData\Local\PlayFree Browser\Games\police_racing-gs_ig7\play.url', '');
QuarantineFile('C:\Users\Алексей\AppData\Local\PlayFree Browser\Games\police_racing-gs_ig7\website.url', '');
QuarantineFile('C:\Users\Алексей\AppData\Local\PlayFree Browser\Games\road_attack-gs_rus\play.url', '');
QuarantineFile('C:\Users\Алексей\AppData\Local\PlayFree Browser\Games\road_attack-gs_rus\website.url', '');
QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mail.Ru\Cross Fire\Запустить Cross Fire.url', '');
QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mail.Ru\Cross Fire\Удалить игру.url', '');
QuarantineFile('C:\Users\Алексей\Desktop\Бесплатные Программы Pу.url', '');
QuarantineFile('C:\Users\Алексей\Desktop\Мои Программы - OpenProg.Ru.url', '');
QuarantineFile('C:\Users\Алексей\Favorites\@MAIL.RU - почта, новости, работа, рассылки, развлечения.url', '');
QuarantineFile('C:\Users\Алексей\Favorites\Links\Mail.Ru.url', '');
QuarantineFile('C:\Users\Алексей\Favorites\Links\Видео.url', '');
QuarantineFile('C:\Users\Алексей\Favorites\Links\Диск.url', '');
QuarantineFile('C:\Users\Алексей\Favorites\Links\Карты.url', '');
QuarantineFile('C:\Users\Алексей\Favorites\Links\Маркет.url', '');
QuarantineFile('C:\Users\Алексей\Favorites\Links\Музыка.url', '');
QuarantineFile('C:\Users\Алексей\Favorites\Links\Новости.url', '');
QuarantineFile('C:\Users\Алексей\Favorites\Links\Почта.url', '');
QuarantineFile('C:\Users\Алексей\Favorites\Links\Словари.url', '');
QuarantineFile('C:\Users\Алексей\Favorites\Links\Яндекс.url', '');
QuarantineFile('C:\Users\Алексей\Favorites\Mail.Ru Агент - используй для общения!.url', '');
QuarantineFile('C:\Users\Алексей\Favorites\Mail.Ru.url', '');
QuarantineFile('C:\Users\Алексей\Favorites\Одноклассники.url', '');
QuarantineFile('C:\Users\Алексей\Pictures\Сайт любителей World of Tanks.url', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HP\hpDST.lnk', '');
QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\hpDST.lnk', '');
QuarantineFile('C:\Program Files (x86)\Google\Chrome\chrome.bat', '');
QuarantineFile('C:\Program Files (x86)\Internet Explorer\iexplore.bat', '');
QuarantineFile('c:\users\Алексей\appdata\local\xpom\chrome.bat', '');
QuarantineFile('C:\Program Files\Internet Explorer\iexplore.bat', '');
QuarantineFile('C:\Users\Алексей\AppData\Local\Amigo\chrome.bat', '');
QuarantineFile('C:\Program Files (x86)\Mozilla Firefox\firefox.bat', '');
QuarantineFile('C:\Program Files (x86)\HP Games\Web Link - Crush the Castle 2\launcher.bat', '');
QuarantineFile('C:\Program Files (x86)\WarThunder\launcher.bat', '');
QuarantineFile('C:\Games\World_of_Tanks\World_of_Tanks\wotlauncher.bat', '');
QuarantineFile('C:\Users\Алексей\AppData\Local\PlayFree Browser\Application\playfreebrowser.bat', '');
DeleteFile('c:\users\Алексей\appdata\local\31464e43-1425147349-5731-4d56-101f74bff47d\ansi8eaf.exe', '32');
DeleteFile('C:\Program Files (x86)\Google\Chrome\chrome.bat', '');
DeleteFile('C:\Program Files (x86)\Internet Explorer\iexplore.bat', '');
DeleteFile('c:\users\Алексей\appdata\local\xpom\chrome.bat', '');
DeleteFile('C:\Program Files\Internet Explorer\iexplore.bat', '');
DeleteFile('C:\Users\Алексей\AppData\Local\Amigo\chrome.bat', '');
DeleteFile('C:\Program Files (x86)\Mozilla Firefox\firefox.bat', '');
DeleteFile('C:\Program Files (x86)\HP Games\Web Link - Crush the Castle 2\launcher.bat', '');
DeleteFile('C:\Program Files (x86)\WarThunder\launcher.bat', '');
DeleteFile('C:\Games\World_of_Tanks\World_of_Tanks\wotlauncher.bat', '');
DeleteFile('C:\Users\Алексей\AppData\Local\PlayFree Browser\Application\playfreebrowser.bat', '');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.



  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.


  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  5. Подробнее читайте в руководстве Как подготовить лог UVS.
 

Кирилл

Команда форума
Администратор
Сообщения
13,827
Реакции
6,169
Баллы
913

Razey

Активный пользователь
Сообщения
653
Реакции
30
Баллы
418
Все программы из этого списка можно удалить.
 

akok

Команда форума
Администратор
Сообщения
17,833
Реакции
13,534
Баллы
2,203
- Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.
 

Кирилл

Команда форума
Администратор
Сообщения
13,827
Реакции
6,169
Баллы
913
Razey, немного поправлю:
Сначала
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню скрипт - выполнить скрипт из файла - в открывшемся меню выберите путь к этому файлу (предварительно скачайте его в удобное место):

    скрипт.txt


  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.​
  7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
  8. Подробнее читайте в этом руководстве.


А затем
- Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.

После этого лог прикрепите.

Программа Интернет - возможно это от менеджера подключения,будьте внимательны перед удалением.

Повторите лог UVS
 

Вложения

Razey

Активный пользователь
Сообщения
653
Реакции
30
Баллы
418
Карантин отправил к вам на почту (ссылку отправил, т.к. файл был объемом около 21 Мб.). Лог о работе AdwLeaner'a прикрепил. Лог UvS во вложении.
 

Вложения

Кирилл

Команда форума
Администратор
Сообщения
13,827
Реакции
6,169
Баллы
913
  • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

*если используете mail.ru то снимите галочки со строк,содержащих в себе упоминание о mail.ru

  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v3.85.7 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v385c
    breg
    
    delref %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\ROAMING\NEWSI_645\S_INST.EXE
    deldir %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\ROAMING\NEWSI_645
    delref %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\ROAMING\NEWSI_636\S_INST.EXE
    deldir %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\ROAMING\NEWSI_636
    delref %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\ROAMING\NEWSI_619\S_INST.EXE
    deldir %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\ROAMING\NEWSI_619
    deltmp
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. Подробнее читайте в этом руководстве.

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
 
Последнее редактирование:

Razey

Активный пользователь
Сообщения
653
Реакции
30
Баллы
418
Все ваши рекомендации выполнил, см. вложения. Вот еще что: человек жаловался, что ребенок запустил что-то на компьютере и после этого "...где-то появились "смайлики...". Обратите внимание, возможно, еще какие-нибудь логи надо сделать?
 

Вложения

Кирилл

Команда форума
Администратор
Сообщения
13,827
Реакции
6,169
Баллы
913
Удалите через установку и удаление программ:
etranslator

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\users\Алексей\appdata\local\31464e43-1425231596-5731-4d56-101f74bff47d\insy52e3.tmp');
 SetServiceStart('BasementDuster', 4);
 SetServiceStart('qiduvoko', 4);
 StopService('BasementDuster');
 StopService('qiduvoko');
 QuarantineFile('C:\Windows\system32\BDL.dll', '');
 QuarantineFile('C:\Users\Алексей\AppData\Roaming\eTranslator\eTranslator.exe', '');
 QuarantineFile('C:\Program Files (x86)\IGS\BasementDuster.exe', '');
 QuarantineFile(':\found.006', '');
 QuarantineFile(':\found.007', '');
 QuarantineFile(':\found.009', '');
 QuarantineFileF('C:\Users\Алексей\AppData\Roaming\eTranslator', '*', true, '', 0 , 0);
 QuarantineFileF('C:\Users\Алексей\AppData\Local\31464E43-1425231596-5731-4D56-101F74BFF47D', '*', true, '', 0 , 0);
 QuarantineFile('c:\users\Алексей\appdata\local\31464e43-1425231596-5731-4d56-101f74bff47d\insy52e3.tmp', '');
 DeleteFile('C:\Users\Алексей\AppData\Local\31464E43-1425231596-5731-4D56-101F74BFF47D\insy52E3.tmp', '32');
 DeleteFile('C:\Program Files (x86)\IGS\BasementDuster.exe', '32');
 DeleteFile('C:\Users\Алексей\AppData\Roaming\eTranslator\eTranslator.exe', '32');
 DeleteService('BasementDuster');
 DeleteService('qiduvoko');
 DeleteFileMask('C:\Users\Алексей\AppData\Roaming\eTranslator', '*', true);
 DeleteFileMask('C:\Users\Алексей\AppData\Local\31464E43-1425231596-5731-4D56-101F74BFF47D', '*', true);
 DeleteDirectory('C:\Users\Алексей\AppData\Roaming\eTranslator', '');
 DeleteDirectory('C:\Users\Алексей\AppData\Local\31464E43-1425231596-5731-4D56-101F74BFF47D', '');
 DelBHO('{8984B388-A5BB-4DF7-B274-77B879E179DB}');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'eTranslator Update');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

Скачайте Malwarebytes' Anti-Malware или с зеркала. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: MBAM-log-2014-10-14 (12-18-10).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM, зеркало обновлений MBAM.
Подробнее читайте в руководстве.
 

Razey

Активный пользователь
Сообщения
653
Реакции
30
Баллы
418
Скрипт выполнил, карантин на форму отправил. Повторный лог autologger'a во вложении. лог MBAM'a готовится - выложу, как будет готов. Также пользователь жалуется на невозможность нормального захода в свой аккаунт на сайте танков, а также на низкую скорость закачки самой игры.
 

Вложения

Razey

Активный пользователь
Сообщения
653
Реакции
30
Баллы
418
Здравствуйте! Сканирование MBAM'ом никак не получается завершить - он вылетает и впоследствии компьютер теряет подключение к интернету. Пользователю приходится перезагружать компьютер, чтобы я смог зайти удаленно (выполняю ваши указания удаленно через TeamViewer). Что делать в таком случае? Такое повторялось уже раза 2, если не более.
 

Кирилл

Команда форума
Администратор
Сообщения
13,827
Реакции
6,169
Баллы
913
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Razey

Активный пользователь
Сообщения
653
Реакции
30
Баллы
418
Просканировал Farbar Recovery scan. Логи во вложении.
 

Вложения

Кирилл

Команда форума
Администратор
Сообщения
13,827
Реакции
6,169
Баллы
913
Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
Код:
start
ShortcutTarget: Cloud Mail.Ru.lnk -> C:\Users\Алексей\AppData\Local\Mail.Ru\Cloud\Cloud.exe (No File)
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=newcustom3",
            "hxxp://www.mystartsearch.com/?type=hp&ts=1425157290&from=cmi&uid=TOSHIBAXMK5076GSX_61ONB0RVBXX61ONB0RVB"
CHR Extension: (No Name) - C:\Users\Алексей\AppData\Local\Google\Chrome\User Data\Default\Extensions\caficnijbecdceenmgfphpoaamopmmjg [2015-03-06]
2015-03-12 08:45 - 2015-03-12 08:45 - 00001066 _____ () C:\Users\Алексей\Desktop\Обнови Софт.lnk
2015-03-12 08:45 - 2015-03-12 08:51 - 00000000 ____D () C:\Users\Алексей\AppData\Roaming\Obnovi Soft
2015-03-12 08:45 - 2015-03-12 08:45 - 00000000 ____D () C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Обнови Софт
2015-03-12 08:45 - 2015-03-12 08:45 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Обнови Софт
2015-03-12 08:45 - 2015-03-12 08:45 - 00000000 ____D () C:\Program Files (x86)\Obnovi Soft
Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Обнови Софт\Uninstall.lnk -> C:\Program Files (x86)\Obnovi Soft\uninstall.exe ()
Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Обнови Софт\Обнови Софт.lnk -> C:\Program Files (x86)\Obnovi Soft\ObnoviSoft.exe (www.obnovi-soft.ru)
Shortcut: C:\Users\Все пользователи\Microsoft\Windows\Start Menu\Programs\Обнови Софт\Uninstall.lnk -> C:\Program Files (x86)\Obnovi Soft\uninstall.exe ()
Shortcut: C:\Users\Все пользователи\Microsoft\Windows\Start Menu\Programs\Обнови Софт\Обнови Софт.lnk -> C:\Program Files (x86)\Obnovi Soft\ObnoviSoft.exe (www.obnovi-soft.ru)
ShortcutWithArgument: C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехрlоrеr (Nо Аdd-оns).LNK -> C:\Program Files (x86)\Internet Explorer\iexplore.bat () ->  -extoff

EmptyTemp:
Reboot:
end
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 QuarantineFile('C:\Program Files (x86)\Internet Explorer\iexplore.bat', '');
 QuarantineFile('C:\Program Files (x86)\HP Games\Web Link - Crush the Castle 2\launcher.bat', '');
 QuarantineFile('C:\Games\World_of_Warplanes\wowplauncher.bat', '');
 QuarantineFile('C:\Program Files (x86)\WarThunder\launcher.bat ', '');
 QuarantineFile('C:\Program Files (x86)\Google\Chrome\chrome.bat', '');
 DeleteFile('C:\Program Files (x86)\Internet Explorer\iexplore.bat');
 DeleteFile('C:\Program Files (x86)\HP Games\Web Link - Crush the Castle 2\launcher.bat');
 DeleteFile('C:\Games\World_of_Warplanes\wowplauncher.bat');
 DeleteFile('C:\Program Files (x86)\WarThunder\launcher.bat ');
 DeleteFile('C:\Program Files (x86)\Google\Chrome\chrome.bat');
end.
Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

- Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:
Код:
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Яндекс\Яндекс.Бар\Intеrnеt Ехрlоrеr.LNK 
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Gооglе Сhrоmе.LNK 
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games\Сrush thе Саstlе 2.lnk 
C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\World of Warplanes\Wоrld оf Wаrрlаnеs.lnk 
C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder\WаrThundеr.lnk 
C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Pirates\Рirаtеs.lnk 
C:\Users\Все пользователи\Microsoft\Windows\Start Menu\Programs\Яндекс\Яндекс.Бар\Intеrnеt Ехрlоrеr.LNK
Повторите лог Farbar Recovery Scan Tool
И сообщите как проблема.
 

Razey

Активный пользователь
Сообщения
653
Реакции
30
Баллы
418
Все выполнил, логи во вложении (не "обновился" лог addition.txt, поэтому его не выкладываю). По поводу проблемы человек сообщит (да и я отпишусь, соответственно) завтра...
 

Вложения

Razey

Активный пользователь
Сообщения
653
Реакции
30
Баллы
418
По поводу проблемы - танки начали скачиваться быстро, однако в аккаунт зайти невозможно... Это может быть как-то связано с "остатками" заражения, или это уже "другая тема"?
 
Последнее редактирование:

Razey

Активный пользователь
Сообщения
653
Реакции
30
Баллы
418
"...Не удается установить соединение с сервером. Возможно, сервер недоступен или требуется проверка настроек сетевого подключения..."
Всем спасибо! Проблема решена. Можете закрывать тему. Выполнил рекомендации, данные на тех. форуме "танков" по этой проблеме. Сбросил сетевой стек системы в командной строке Windows с помощью команды «netsh winsock reset» и все стало работать. Взято здесь: https://ru.wargaming.net/support/Knowledgebase/Article/View/361/18/chto-delt-esli-vozniket-oshibk-no_loginapp?/Knowledgebase/Article/View/361/18/chto-delt-esli-vozniket-oshibk-no_loginapp
 
Последнее редактирование:
  • Like
Реакции: akok
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу