Решена rustraflab

[zanaveska]

При запуске браузера (Опера, Хром) открывается страница rustraflab.ru и сразу же перенаправляет на различные рекламные сайты.
Что необходимо сделать?
Благодарю

 

[Кирилл]

Удалите через установку и удаление программ:
Sweet Page

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

[zanaveska]

я все сфейлил =\ и потер все что там нашлось, еще есть варианты решения проблемы?

 

[Кирилл]

еще есть варианты решения проблемы?

Мы только начали)


Удалите с помощью clearlink приписки ярлыков:

>>> [modified][RO] "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Gооglе Сhrоmе.lnk"  -> ["C:\Program Files (x86)\Google\chrome.bat"  -> "hxxp://kopsearch.ru" ]
>>> [modified][RO] "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HP\HP Deskjet 2050 J510 series\Программное обеспечение и настройка принтера.lnk"  -> ["C:\Program Files (x86)\HP\USBSetupLauncher.bat"  -> "hxxp://kopsearch.ru" ]
>>> [modified][RO] "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Оpеrа.lnk"  -> ["C:\launcher.bat"  -> "hxxp://kopsearch.ru" ]
>>> [modified][RO] "C:\Users\Public\Desktop\Gооglе Сhrоmе.lnk"  -> ["C:\Program Files (x86)\Google\chrome.bat"  -> "hxxp://kopsearch.ru" ]
>>> [modified][RO] "C:\Users\Public\Desktop\Оpеrа.lnk"  -> ["C:\launcher.bat"  -> "hxxp://kopsearch.ru" ]
>>> [modified][RO] "C:\Users\Пушкин\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gооglе Сhrоmе.lnk"  -> ["C:\Program Files (x86)\Google\chrome.bat"  -> "hxxp://kopsearch.ru" ]
>>> [modified][RO] "C:\Users\Пушкин\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunсh Intеrnеt Ехplоrеr Вrоwsеr.lnk"  -> ["C:\iexplore.bat"  -> "hxxp://kopsearch.ru" ]
>>> [modified][RO] "C:\Users\Пушкин\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrоmе.lnk"  -> ["C:\Program Files (x86)\Google\chrome.bat"  -> "hxxp://kopsearch.ru" ]
>>> [modified][RO] "C:\Users\Пушкин\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Оpеrа.lnk"  -> ["C:\launcher.bat"  -> "hxxp://kopsearch.ru" ]
>>> [modified][RO] "C:\Users\Пушкин\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехplоrеr (Nо Аdd-оns).lnk"  -> ["C:\iexplore.bat"  -> "hxxp://kopsearch.ru" ]
>>> [modified][RO] "C:\Users\Пушкин\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехplоrеr (64-bit).lnk"  -> ["C:\iexplore.bat"  -> "hxxp://kopsearch.ru" ]
>>> [modified][RO] "C:\Users\Пушкин\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехplоrеr.lnk"  -> ["C:\iexplore.bat"  -> "hxxp://kopsearch.ru" ]

1. Скачайте Universal Virus Sniffer (uVS)
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
   
   !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.​
4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
   
   !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".​
5. Подробнее читайте в руководстве Как подготовить лог UVS

• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.

• Прикрепите отчет к своему следующему сообщению.

Это тоже забыли вы...

 

[zanaveska]

Это тоже забыли вы...

это я сделал и все почистил и удалил и нет больше возможности найти файл AdwCleaner[R0] =\ и папка карантин пуста
и кстати проблема то решена, рекламы больше нет

 

[Кирилл]

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
   
   ;uVS v3.85 [http://dsrt.dyndns.org]
   ;Target OS: NTv6.1
   v385c
   breg
   ; C:\WINDOWS\SYSTEM32\DRIVERS\BD0001_1.SYS
   addsgn BA6F9BB219E18E3E801D46249B37ED4CAE5AB57D40B29CBCAD2A6349AF29BD80EFDB0F9BF2995185E74C48531A160DFA18DF9E723CDAD32C4877F82FA5064673 64 baidu
   
   ; C:\WINDOWS\SYSTEM32\DRIVERS\BDSAFEBROWSER.SYS
   addsgn BA6F9BB219E18E3E801D46249B37ED4CAE5AB57D40B29CBCAD2AD3CBAF29BD80C3F7C3573E559D492B80849F1AFC49FA5D4FE872953AB02C2D77A42FC7062273 64 baidu.troyan
   
   ; C:\USERS\ПУШКИН\APPDATA\ROAMING\MICROSOFT\WINDOWS\TEMPLATES\A.KOTNORB.COM
   addsgn 9A1035DA5582BC8DF42BAEB164C81205158AFCF6C9FA1F7885C3C5BCEF91DE06355D1A13AF5DA3596D964A5E461649FA7DDFE97255DAB02C2D77A42F85546D3D 8 Email-Worm.Win32.VB.ay
   
   zoo %SystemDrive%\USERS\ПУШКИН\APPDATA\ROAMING\MICROSOFT\WINDOWS\TEMPLATES\A.KOTNORB.COM
   bl 902792C0116ADF49F55F111E82C81DB0 81920
   delall %SystemDrive%\USERS\ПУШКИН\APPDATA\ROAMING\MICROSOFT\WINDOWS\TEMPLATES\A.KOTNORB.COM
   delref %SystemDrive%\PROGRAM FILES (X86)\BAIDU\BAIDUS.EXE
   zoo %SystemDrive%\USERS\ПУШКИН\APPDATA\LOCAL\LSASS.EXE
   ; C:\USERS\ПУШКИН\APPDATA\LOCAL\LSASS.EXE
   delmz %SystemDrive%\USERS\ПУШКИН\APPDATA\LOCAL\LSASS.EXE
   delall %SystemDrive%\USERS\ПУШКИН\APPDATA\LOCAL\LSASS.EXE
   zoo %SystemDrive%\USERS\ПУШКИН\APPDATA\LOCAL\SERVICES.EXE
   ; C:\USERS\ПУШКИН\APPDATA\LOCAL\SERVICES.EXE
   delmz %SystemDrive%\USERS\ПУШКИН\APPDATA\LOCAL\SERVICES.EXE
   delall %SystemDrive%\USERS\ПУШКИН\APPDATA\LOCAL\SERVICES.EXE
   zoo %SystemDrive%\USERS\ПУШКИН\APPDATA\LOCAL\WINLOGON.EXE
   ; C:\USERS\ПУШКИН\APPDATA\LOCAL\WINLOGON.EXE
   delmz %SystemDrive%\USERS\ПУШКИН\APPDATA\LOCAL\WINLOGON.EXE
   delall %SystemDrive%\USERS\ПУШКИН\APPDATA\LOCAL\WINLOGON.EXE
   zoo %SystemDrive%\USERS\ПУШКИН\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\EMPTY.PIF
   ; C:\USERS\ПУШКИН\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\EMPTY.PIF
   delall %SystemDrive%\USERS\ПУШКИН\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\EMPTY.PIF
   ; C:\USERS\ПУШКИН\APPDATA\LOCAL\SMSS.EXE
   delall %SystemDrive%\USERS\ПУШКИН\APPDATA\LOCAL\SMSS.EXE
   delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\LOCAL\SMSS.EXE
   zoo %SystemRoot%\INF\NORBTOK.EXE
   ; C:\WINDOWS\INF\NORBTOK.EXE
   delall %SystemRoot%\INF\NORBTOK.EXE
   delref %SystemDrive%\USERS\ПУШКИН\APPDATA\LOCAL\DM\TINYDM.EXE
   zoo %Sys32%\DRIVERS\BD0001_1.SYS
   bl F75F5F5703182987905AE13CC18E72EA 181072
   delall %Sys32%\DRIVERS\BD0001_1.SYS
   zoo %Sys32%\DRIVERS\BDSAFEBROWSER.SYS
   bl C71234DC7873CAB679E482AAD3E54144 49480
   delall %Sys32%\DRIVERS\BDSAFEBROWSER.SYS
   zoo %SystemDrive%\LAUNCHER.BAT
   del %SystemDrive%\LAUNCHER.BAT
   delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\BAIDU\BDDOWNLOAD\108\BDCOMPROXY.DLL
   delref %Sys32%\DRIVERS\BDENHANCEBOOST.SYS
   delref HTTP://KOPSEARCH.RU
   delref %SystemDrive%\USERS\ПУШКИН\APPDATA\ROAMING\SWEET-PAGE\UNINSTALLMANAGER.EXE
   deltmp
   chklst
   delvir
   restart
   
   
4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
   
   Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.​
7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
8. Подробнее читайте в этом руководстве.

Повторите лог UVs,смените пароли к электронной почте.

 

[zanaveska]

все сделал, отправил

 

[Кирилл]

Повторите лог UVs

 

[zanaveska]

оно?

 

[Кирилл]

Нет.

1. Скачайте Universal Virus Sniffer (uVS)
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
   
   !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.​
4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
   
   !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".​
5. Подробнее читайте в руководстве Как подготовить лог UVS

 

[zanaveska]

1

 

[akok]

Проблема еще наблюдается?

 

[zanaveska]

нет, спасибо огромное

 

[regist]

1)

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
   
   ;uVS v3.85.3 [http://dsrt.dyndns.org]
   ;Target OS: NTv6.1
   v385c
   BREG
   delref %SystemDrive%\USERS\ПУШКИН\APPDATA\LOCAL\YANDEX\UPDATER2\BROWSERMANAGERSHOW.EXE
   del %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\СHRОMЕ.BАT.EXE
   del %SystemDrive%\LАUNСHЕR.BАT.EXE
   zoo %SystemRoot%\SYSWOW64\DRIVERS\BDARKIT.SYS
   bl 12536E3769B335640D69EA986E1BA227 151368
   delall %SystemRoot%\SYSWOW64\DRIVERS\BDARKIT.SYS
   deldir %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\BAIDU\
   czoo
   regt 2
   regt 3
   restart
4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
   
   Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.​
7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
8. Подробнее читайте в этом руководстве.

2)

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

3) Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

 

[zanaveska]

C:\AdwCleaner\AdwCleaner[R0].txt. такого файла уже не будет, т.к. цифры меняются от количества сканов =\ или я не знаю у меня с 0 не идет скан

 

[regist]

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
QuarantineFile('C:\Users\Пушкин\documents\documents.exe', '');
DeleteFile('C:\Users\Пушкин\documents\documents.exe', '32');
ExecuteSysClean;
ExecuteRepair(2);
RebootWindows(true);
end.

после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

• Пожалуйста, запустите adwcleaner.exe
• Нажмите Uninstall (Удалить).
• Подтвердите удаление нажав кнопку: Да.

Подробнее читайте в этом руководстве.

Скачайте Malwarebytes' Anti-Malware или с зеркала. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:

%appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs

Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: MBAM-log-2014-10-14 (12-18-10).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM, зеркало обновлений MBAM.
Подробнее читайте в руководстве.

Смените пароли.

 

[zanaveska]

1

 

[regist]

1) Удалите папку

C:\Users\Пушкин\Desktop\AutoLogger\AutoLogger\AVZ\Quarantine\

и из мусорной корзинки также её удалите.

2) Повторите сканирование в MBAM если уже его закрыли, отметьте галочками всё кроме указанных ниже строчек - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).

Подробнее читайте в руководстве.

Обнаруженные процессы в памяти: 1
C:\Windows\KMService.exe (RiskWare.Tool.CK) -> 1768 -> Действие не было предпринято.
Обнаруженные файлы:
C:\Windows\KMService.exe (RiskWare.Tool.CK) -> Действие не было предпринято.
C:\Program Files\Sony\Vegas Pro 12.0\vegas.pro.12.-patch.exe (PUP.RiskwareTool.CK) -> Действие не было предпринято.
D:\UltraISO Premium Edition v9.5.3.2901 Final Ml_Rus\Retail\Keygens\Keygen-ZWT\keygen.exe (RiskWare.Tool.CK) -> Действие не было предпринято.
D:\vegaspro12.0.367\MultiKeygen\Keygen.exe (RiskWare.Tool.HCK) -> Действие не было предпринято.
D:\vegaspro12.0.367\Portable Sony Vegas Pro 12.0 Build 367 x64\Sony Vegas 12 64\MultiKeygen\Keygen.exe (RiskWare.Tool.HCK) -> Действие не было предпринято.
D:\vegaspro12.0.367\vegas.pro.12.-patch.exe\vegas.pro.12.-patch.exe (PUP.RiskwareTool.CK) -> Действие не было предпринято.
D:\загрузки\komp\cpu-z_1.62-setup-en.exe (PUP.Optional.ToolBarInstaller.A) -> Действие не было предпринято.
D:\загрузки\PowerISO 5.0+portable\PowerISO 5.0\keygen-CORE.exe (Malware.Packer) -> Действие не было предпринято.
D:\загрузки\PowerISO 5.0+portable\PowerISO 5.0\keygen-CRD.exe (Trojan.Agent) -> Действие не было предпринято.
D:\загрузки\PowerISO 5.0+portable\power_iso_5.0_portable\PowerISO\%drive_D%\kk\Crack\rld.dll (VirTool.Obfuscator) -> Действие не было предпринято.
D:\загрузки\PowerISO 5.0+portable\power_iso_5.0_portable\PowerISO\%drive_E%\pes\Crack\rld.dll (VirTool.Obfuscator) -> Действие не было предпринято.
D:\загрузки\SonyVegas Pro 8.0c\VegasPro8.0cBuild260Eng32bit\Sony.Products.Keygen.and.Patch.Only.FIXED.READ.NFO-DI\Sony.Products.Keygen.and.Patch.Only.FIXED.READ.NFO-DI\Keygen.exe (RiskWare.Tool.CK) -> Действие не было предпринято.

После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

 

[zanaveska]

1

 

[regist]

zanaveska, извините, своё сообщение предыдущее поправил. Восстановите удалённые записи из карантина и удалите всё кроме них.