• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Решена заражение

Статус
В этой теме нельзя размещать новые ответы.

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
11,911
Симпатии
5,620
#2
Guard@Mail.Ru, Html5 geolocation provider, Kinoroom Browser, Mail.Ru Агент 6.0, Mail.Ru Агент 6.2, Muzabaza player, Radio W Toolbar, SmilesExtensions version 2.1 [2.1], Software Version Updater [1.1.3.8], Update for Html5 geolocation provider [3.7.2.909], Амиго [32.0.1702.26], Спутник@Mail.Ru [2.4.1.328], Media Buzz - сами ставили? Если нет деинсталируйте через установку программ.

А также обязательно деинсталируйте:
Media Player [1.1], Media View [1.1], Media Viewer [1.1], superpromokody 1.1 [1.1], Video Player [1.1], Webalta Toolbar [], Webexp Enhanced [1.1], Mobogenie


+ Zaxar Games Browser, VPetsPlayer - знакомы? используете?

+
  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

дзю

Пользователь
Сообщения
11
Симпатии
0
#3
Mail.Ru Агент 6.0, Mail.Ru Агент 6.2,Guard@Mail.Ru ,Амиго - все это устанавливала хозяйка и используотчет после удаления - из рекомендованного, майл ру и амиго оставил.
+ Zaxar Games Browser, VPetsPlayer - знакомы? используете?
нет, не использует.dns изменен на 193.58.251.251
 

Вложения

Последнее редактирование:

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
11,911
Симпатии
5,620
#4
- Удалите в AdwCleaner всё кроме папок от mail.ru и C:\Program Files\Reimage - если программой Reimage не пользуетесь, то нё тоже удалите.
Лог после удаления прикрепите.

+ Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
 

дзю

Пользователь
Сообщения
11
Симпатии
0
#5
лог после очистки.отчет после диагностикиреклама, на странице в однокласниках .., тётки с голыми з..
 

Вложения

Sandor

Ассоциация VN/VIP
Сообщения
3,919
Симпатии
1,375
#6
Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
Этот лог покажите.
 

дзю

Пользователь
Сообщения
11
Симпатии
0
#7
после очистки AdwCleaner - был потерян доступ в интернет, в настройках IE был установлен по умолчанию прокси .., хозяйка ничего не меняла в настройках.
 

Sandor

Ассоциация VN/VIP
Сообщения
3,919
Симпатии
1,375
#10
Закройте все программы, временно выгрузите антивирус, фаерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):
Код:
begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
  if not IsWOW64
   then
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
    end;
 QuarantineFile('C:\Users\танька\AppData\Local\PirritSuggestor\RegFltrX86.sys','');
 QuarantineFile('C:\Program Files\GamesRS\GUpdater.exe','');
 QuarantineFile('C:\Windows\system32\usrinit.exe','');
 QuarantineFile('C:\Users\танька\appdata\local\temp\rarsfx2\msisetup.exe','');
 DeleteFile('C:\Windows\system32\usrinit.exe');
 DeleteFile('C:\Users\танька\appdata\local\temp\rarsfx2\msisetup.exe');
 DeleteFile('C:\Program Files\GamesRS\GUpdater.exe','32');
 DeleteFile('C:\Users\танька\AppData\Local\PirritSuggestor\RegFltrX86.sys','32');
 DeleteFileMask('C:\Program Files\GamesRS\', '*', true);
 DeleteFileMask('C:\Users\танька\AppData\Local\PirritSuggestor\', '*', true);
 DeleteDirectory('C:\Program Files\GamesRS\');
 DeleteDirectory('C:\Users\танька\AppData\Local\PirritSuggestor\');
 DeleteService('RegFltrX86');
 DeleteService('GamesRS');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 ExecuteWizard('SCU',2,3,true);
 RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Еще раз повторите логи. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.
 

дзю

Пользователь
Сообщения
11
Симпатии
0
#11
окна на раб столе при загрузке , euro.ru и kbrowser - все равно выскакивают. и бабы в рекламе на однокласниках ..повторные логи
 

Вложения

Sandor

Ассоциация VN/VIP
Сообщения
3,919
Симпатии
1,375
#12
1. Выполните скрипт в AVZ (Файл - Выполнить скрипт):
Код:
begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
  if not IsWOW64
   then
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
    end;
 QuarantineFile('C:\Program Files\Muzabaza\Muzabaza player\Muzabaza.exe','');
 QuarantineFile('C:\Program Files\Zaxar\ZaxarLoader.exe','');
 DeleteFile('C:\Program Files\Zaxar\ZaxarLoader.exe','32');
 DeleteFile('C:\Program Files\Muzabaza\Muzabaza player\Muzabaza.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Muzbaza');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 ExecuteWizard('SCU',2,3,true);
 RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

2. Пофиксите в HijackThis следующие строчки:
Код:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:9880
O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)
O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
O4 - HKCU\..\Run: [Muzbaza] C:\Program Files\Muzabaza\Muzabaza player\Muzabaza.exe -m
O4 - Startup: Zaxar Games Browser.lnk = C:\Program Files\Zaxar\ZaxarLoader.exe
Некоторых строк может не быть.

3. Подготовьте и выложите лог HiJackThis.

4. В меню AVZ - Сервис - Поиск данных в реестре.
В поле 'Образец' впишите webalta, нажмите 'Пуск'.
После окончания сохраните протокол и выложите сюда.
Поиск не закрывайте.
 

akok

Команда форума
Администратор
Сообщения
14,020
Симпатии
11,725
#14
Удалите все найденное в AVZ ключи с Webalta: ПКМ по списку - выбрать все - нажать "удалить отмеченное".

Еще пофиксить нужно:
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&text={searchTerms}
Что с проблемой?
 

дзю

Пользователь
Сообщения
11
Симпатии
0
#15
удалил и пофиксил, но порнуха в однокласниках(использует браузер опера) висит и окна редиректа открывает.логи малваребайт
 

Вложения

дзю

Пользователь
Сообщения
11
Симпатии
0
#17
MBAM не закрыл , в портабл версии - нет рекламы.порнуха все равно болтается, и окно всплывает - "познакомимся" ?+ редирект.
 
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
14,020
Симпатии
11,725
#18
Какой браузер? Нужно выключать все приложения лишние или переустановить браузер с полным удалением
 
Статус
В этой теме нельзя размещать новые ответы.