Решена Торможение браузеров, всплывающая реклама.

Статус
В этой теме нельзя размещать новые ответы.

Razey

Опытный участник
Сообщения
729
Реакции
33
здравствуйте! Человек запустил якобы мод, но скачанный не с сайта танков. После этого куча всплывающей рекламы, торможение браузеров и т.д. Логи во вложении.
 

Вложения

  • CollectionLog-2015.03.01-21.47.zip
    118.2 KB · Просмотры: 5
Удалите через апплет установка и удаление программ:
  • Super Fast Download Manager Packages
  • SpeedCheck
  • SmartWeb
  • mystartsearch
  • AnyProtect
  • ConvertAd
  • Ask toolbar
Эти программы вам знакомы,вы это используете?

  • Амиго браузер
  • Unity Web Player
  • Poker Superstars III
  • MediaGet
  • Advertising Center
  • Agatha Christie
  • Magic Desktop
  • PlayFree Браузер
  • Интернет
  • AnySend
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
TerminateProcessByName('c:\users\Алексей\appdata\local\31464e43-1425147349-5731-4d56-101f74bff47d\ansi8eaf.exe');
QuarantineFile('c:\program files (x86)\ver4speedcheck\y2speedcheckf72.exe', '');
QuarantineFile('c:\users\Алексей\appdata\local\gmsd_ru_146\upgmsd_ru_146.exe', '');
QuarantineFile('c:\users\Алексей\appdata\local\31464e43-1425231596-5731-4d56-101f74bff47d\jnsd4414.exe', '');
QuarantineFile('c:\users\Алексей\appdata\local\31464e43-1425231596-5731-4d56-101f74bff47d\insy52e3.tmp', '');
QuarantineFile('c:\program files (x86)\igs\basementduster.exe', '');
QuarantineFile('c:\users\Алексей\appdata\local\31464e43-1425147349-5731-4d56-101f74bff47d\cnsi9ae0.tmp', '');
QuarantineFile('c:\users\Алексей\appdata\roaming\aspackage\assrv.exe', '');
QuarantineFile('c:\users\Алексей\appdata\local\31464e43-1425147349-5731-4d56-101f74bff47d\ansi8eaf.exe', '');
QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\b40160231e0c64ee\Первый пользователь - Chrome.lnk', '');
QuarantineFile('C:\Users\Public\Desktop\Gооglе Сhrоmе.lnk', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Gооglе Сhrоmе.lnk', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Яндекс\Яндекс.Бар\Онлайн помощь по Яндекс.Бару для Intеrnеt Ехрlоrеr.lnk', '');
QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Mаil.Ru.lnk', '');
QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Mоzillа Firеfох.lnk', '');
QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mаil.Ru.lnk', '');
QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mоzillа Firеfох (2).lnk', '');
QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mоzillа Firеfох.lnk', '');
QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехрlоrеr (Nо Аdd-оns).lnk', '');
QuarantineFile('C:\Users\Алексей\Desktop\Первый пользователь - Сhrоmе.lnk', '');
QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk', '');
QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk', '');
QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вконтакте.lnk', '');
QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Одноклассники.lnk', '');
QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk', '');
QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Вконтакте.lnk', '');
QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Одноклассники.lnk', '');
QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Вконтакте.lnk', '');
QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Одноклассники.lnk', '');
QuarantineFile('C:\Users\Алексей\Desktop\Вконтакте.lnk', '');
QuarantineFile('C:\Users\Алексей\Desktop\Одноклассники.lnk', '');
QuarantineFile('C:\Users\Алексей\Links\Cloud Mail.Ru.lnk', '');
QuarantineFile('C:\Users\Алексей\Desktop\Искать в Интернете.lnk', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mоzillа Firеfох.lnk', '');
QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Yandex.lnk', '');
QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Амиго.lnk', '');
QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Pirates\Рirаtеs.lnk', '');
QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Pirates.lnk', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games\Сrush thе Саstlе 2.lnk', '');
QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder\WаrThundеr.lnk', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Comodo\GeekBuddy\GeekBuddy.lnk', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Start GeekBuddy.lnk', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Wоrld оf Tаnks.lnk', '');
QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PlayFree Браузер\РlаyFrее Браузер.lnk', '');
QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\World of Tanks\Wоrld оf Tаnks.lnk', '');
QuarantineFile('C:\Users\Алексей\Desktop\IMG_20141123_143253.jpg - Ярлык.lnk', '');
QuarantineFile('C:\Users\Алексей\Desktop\VID_20141123_124921.3gp - Ярлык.lnk', '');
QuarantineFile('C:\Users\Алексей\Desktop\VID_20141123_134626.3gp - Ярлык.lnk', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\baidu\baidu.lnk', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ghost Recon Future Soldier - Raven Strike\Начать игру.lnk', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ghost Recon Future Soldier - Raven Strike\Удалить игру.lnk', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MaxDownload\Uninstall.lnk', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\McDonald'+#39+'s Dragons\Dragons.lnk', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\McDonald'+#39+'s Dragons\Uninstall McDonald'+#39+'s Dragons.lnk', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nival\Prime World\Prime World.lnk', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nival\Prime World\Удалить игру.lnk', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Деинсталлировать World of Tanks.lnk', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Официальный сайт игры.lnk', '');
QuarantineFile('C:\Games\World_of_Tanks\World_of_Tanks\website.url', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Последние изменения.lnk', '');
QuarantineFile('C:\Games\World_of_Tanks\World_of_Tanks\readme.url', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Руководство по игре.lnk', '');
QuarantineFile('C:\Games\World_of_Tanks\World_of_Tanks\game_manual.url', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Энциклопедия.lnk', '');
QuarantineFile('C:\Games\World_of_Tanks\World_of_Tanks\wiki.url', '');
QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\COMODO GeekBuddy.lnk', '');
QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\naPUrXmzaR.lnk', '');
QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Играть! GameXP.lnk', '');
QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AnyProtect PC Backup\AnyProtect.lnk', '');
QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MediaGet2\Удалить MediaGet.lnk', '');
QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SmartWeb.lnk', '');
QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\World of Tanks\Деинсталлировать World of Tanks.lnk', '');
QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\World of Tanks\Официальный сайт игры.lnk', '');
QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\World of Tanks\Последние изменения.lnk', '');
QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\World of Tanks\Руководство по игре.lnk', '');
QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\World of Tanks\Энциклопедия.lnk', '');
QuarantineFile('C:\Users\Алексей\Desktop\Dragons.lnk', '');
QuarantineFile('C:\Users\Алексей\Pictures\2011-11-23 001\степка - Ярлык.lnk', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Akella Games\Guilty Gear Isuka\Ссылки\www.akella.com.url', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Akella Games\Guilty Gear Isuka\Ссылки\www.cdgames.ru.url', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Buka\Hammerfight\Сайт KranX Productions.url', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Buka\Hammerfight\Сайт компании Бука.url', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Buka\Hammerfight\Сайт с игрой.url', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nival\Prime World\Открыть официальный сайт игры.url', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nival\Prime World\Сайт компании Nival.url', '');
QuarantineFile('C:\Users\Алексей\AppData\Local\PlayFree Browser\Games\city_racing-gs_ig7\play.url', '');
QuarantineFile('C:\Users\Алексей\AppData\Local\PlayFree Browser\Games\farm_frenzy-gs_rus\play.url', '');
QuarantineFile('C:\Users\Алексей\AppData\Local\PlayFree Browser\Games\farm_frenzy-gs_rus\website.url', '');
QuarantineFile('C:\Users\Алексей\AppData\Local\PlayFree Browser\Games\farm_frenzy_2-gs_rus\play.url', '');
QuarantineFile('C:\Users\Алексей\AppData\Local\PlayFree Browser\Games\farm_frenzy_2-gs_rus\website.url', '');
QuarantineFile('C:\Users\Алексей\AppData\Local\PlayFree Browser\Games\farm_frenzy_3-gs_rus\play.url', '');
QuarantineFile('C:\Users\Алексей\AppData\Local\PlayFree Browser\Games\farm_frenzy_3-gs_rus\website.url', '');
QuarantineFile('C:\Users\Алексей\AppData\Local\PlayFree Browser\Games\funny_farm-gs_rus\play.url', '');
QuarantineFile('C:\Users\Алексей\AppData\Local\PlayFree Browser\Games\funny_farm-gs_rus\website.url', '');
QuarantineFile('C:\Users\Алексей\AppData\Local\PlayFree Browser\Games\nitro_racers-gs_ig7\play.url', '');
QuarantineFile('C:\Users\Алексей\AppData\Local\PlayFree Browser\Games\police_racing-gs_ig7\play.url', '');
QuarantineFile('C:\Users\Алексей\AppData\Local\PlayFree Browser\Games\police_racing-gs_ig7\website.url', '');
QuarantineFile('C:\Users\Алексей\AppData\Local\PlayFree Browser\Games\road_attack-gs_rus\play.url', '');
QuarantineFile('C:\Users\Алексей\AppData\Local\PlayFree Browser\Games\road_attack-gs_rus\website.url', '');
QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mail.Ru\Cross Fire\Запустить Cross Fire.url', '');
QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mail.Ru\Cross Fire\Удалить игру.url', '');
QuarantineFile('C:\Users\Алексей\Desktop\Бесплатные Программы Pу.url', '');
QuarantineFile('C:\Users\Алексей\Desktop\Мои Программы - OpenProg.Ru.url', '');
QuarantineFile('C:\Users\Алексей\Favorites\@MAIL.RU - почта, новости, работа, рассылки, развлечения.url', '');
QuarantineFile('C:\Users\Алексей\Favorites\Links\Mail.Ru.url', '');
QuarantineFile('C:\Users\Алексей\Favorites\Links\Видео.url', '');
QuarantineFile('C:\Users\Алексей\Favorites\Links\Диск.url', '');
QuarantineFile('C:\Users\Алексей\Favorites\Links\Карты.url', '');
QuarantineFile('C:\Users\Алексей\Favorites\Links\Маркет.url', '');
QuarantineFile('C:\Users\Алексей\Favorites\Links\Музыка.url', '');
QuarantineFile('C:\Users\Алексей\Favorites\Links\Новости.url', '');
QuarantineFile('C:\Users\Алексей\Favorites\Links\Почта.url', '');
QuarantineFile('C:\Users\Алексей\Favorites\Links\Словари.url', '');
QuarantineFile('C:\Users\Алексей\Favorites\Links\Яндекс.url', '');
QuarantineFile('C:\Users\Алексей\Favorites\Mail.Ru Агент - используй для общения!.url', '');
QuarantineFile('C:\Users\Алексей\Favorites\Mail.Ru.url', '');
QuarantineFile('C:\Users\Алексей\Favorites\Одноклассники.url', '');
QuarantineFile('C:\Users\Алексей\Pictures\Сайт любителей World of Tanks.url', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HP\hpDST.lnk', '');
QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\hpDST.lnk', '');
QuarantineFile('C:\Program Files (x86)\Google\Chrome\chrome.bat', '');
QuarantineFile('C:\Program Files (x86)\Internet Explorer\iexplore.bat', '');
QuarantineFile('c:\users\Алексей\appdata\local\xpom\chrome.bat', '');
QuarantineFile('C:\Program Files\Internet Explorer\iexplore.bat', '');
QuarantineFile('C:\Users\Алексей\AppData\Local\Amigo\chrome.bat', '');
QuarantineFile('C:\Program Files (x86)\Mozilla Firefox\firefox.bat', '');
QuarantineFile('C:\Program Files (x86)\HP Games\Web Link - Crush the Castle 2\launcher.bat', '');
QuarantineFile('C:\Program Files (x86)\WarThunder\launcher.bat', '');
QuarantineFile('C:\Games\World_of_Tanks\World_of_Tanks\wotlauncher.bat', '');
QuarantineFile('C:\Users\Алексей\AppData\Local\PlayFree Browser\Application\playfreebrowser.bat', '');
DeleteFile('c:\users\Алексей\appdata\local\31464e43-1425147349-5731-4d56-101f74bff47d\ansi8eaf.exe', '32');
DeleteFile('C:\Program Files (x86)\Google\Chrome\chrome.bat', '');
DeleteFile('C:\Program Files (x86)\Internet Explorer\iexplore.bat', '');
DeleteFile('c:\users\Алексей\appdata\local\xpom\chrome.bat', '');
DeleteFile('C:\Program Files\Internet Explorer\iexplore.bat', '');
DeleteFile('C:\Users\Алексей\AppData\Local\Amigo\chrome.bat', '');
DeleteFile('C:\Program Files (x86)\Mozilla Firefox\firefox.bat', '');
DeleteFile('C:\Program Files (x86)\HP Games\Web Link - Crush the Castle 2\launcher.bat', '');
DeleteFile('C:\Program Files (x86)\WarThunder\launcher.bat', '');
DeleteFile('C:\Games\World_of_Tanks\World_of_Tanks\wotlauncher.bat', '');
DeleteFile('C:\Users\Алексей\AppData\Local\PlayFree Browser\Application\playfreebrowser.bat', '');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.



  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.


  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  5. Подробнее читайте в руководстве Как подготовить лог UVS.
 
Скрипт выполнил. Quarantine по ссылке загрузил. Логи во вложении.
 

Вложения

  • AdwCleaner[R0].txt
    25.8 KB · Просмотры: 2
  • ClearLNK-04.03.2015_02-14.log
    12.8 KB · Просмотры: 4
  • АЛЕКСЕЙ-HP_2015-03-04_02-24-20.7z
    671.4 KB · Просмотры: 2
Все программы из этого списка можно удалить.
 
- Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.
 
Razey, немного поправлю:
Сначала
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню скрипт - выполнить скрипт из файла - в открывшемся меню выберите путь к этому файлу (предварительно скачайте его в удобное место):

    скрипт.txt


  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.​
  7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
  8. Подробнее читайте в этом руководстве.


А затем
- Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.


После этого лог прикрепите.

Программа Интернет - возможно это от менеджера подключения,будьте внимательны перед удалением.

Повторите лог UVS
 

Вложения

  • скрипт.txt
    76.1 KB · Просмотры: 3
Карантин отправил к вам на почту (ссылку отправил, т.к. файл был объемом около 21 Мб.). Лог о работе AdwLeaner'a прикрепил. Лог UvS во вложении.
 

Вложения

  • AdwCleaner[S0].txt
    22.7 KB · Просмотры: 2
  • АЛЕКСЕЙ-HP_2015-03-05_23-12-57.7z
    614.9 KB · Просмотры: 2
  • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

*если используете mail.ru то снимите галочки со строк,содержащих в себе упоминание о mail.ru

  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v3.85.7 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v385c
    breg
    
    delref %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\ROAMING\NEWSI_645\S_INST.EXE
    deldir %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\ROAMING\NEWSI_645
    delref %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\ROAMING\NEWSI_636\S_INST.EXE
    deldir %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\ROAMING\NEWSI_636
    delref %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\ROAMING\NEWSI_619\S_INST.EXE
    deldir %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\ROAMING\NEWSI_619
    deltmp
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. Подробнее читайте в этом руководстве.

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
 
Последнее редактирование:
Все ваши рекомендации выполнил, см. вложения. Вот еще что: человек жаловался, что ребенок запустил что-то на компьютере и после этого "...где-то появились "смайлики...". Обратите внимание, возможно, еще какие-нибудь логи надо сделать?
 

Вложения

  • CollectionLog-2015.03.09-16.13.zip
    77.4 KB · Просмотры: 3
  • AdwCleaner[S1].txt
    3.7 KB · Просмотры: 3
Удалите через установку и удаление программ:
etranslator

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\users\Алексей\appdata\local\31464e43-1425231596-5731-4d56-101f74bff47d\insy52e3.tmp');
 SetServiceStart('BasementDuster', 4);
 SetServiceStart('qiduvoko', 4);
 StopService('BasementDuster');
 StopService('qiduvoko');
 QuarantineFile('C:\Windows\system32\BDL.dll', '');
 QuarantineFile('C:\Users\Алексей\AppData\Roaming\eTranslator\eTranslator.exe', '');
 QuarantineFile('C:\Program Files (x86)\IGS\BasementDuster.exe', '');
 QuarantineFile(':\found.006', '');
 QuarantineFile(':\found.007', '');
 QuarantineFile(':\found.009', '');
 QuarantineFileF('C:\Users\Алексей\AppData\Roaming\eTranslator', '*', true, '', 0 , 0);
 QuarantineFileF('C:\Users\Алексей\AppData\Local\31464E43-1425231596-5731-4D56-101F74BFF47D', '*', true, '', 0 , 0);
 QuarantineFile('c:\users\Алексей\appdata\local\31464e43-1425231596-5731-4d56-101f74bff47d\insy52e3.tmp', '');
 DeleteFile('C:\Users\Алексей\AppData\Local\31464E43-1425231596-5731-4D56-101F74BFF47D\insy52E3.tmp', '32');
 DeleteFile('C:\Program Files (x86)\IGS\BasementDuster.exe', '32');
 DeleteFile('C:\Users\Алексей\AppData\Roaming\eTranslator\eTranslator.exe', '32');
 DeleteService('BasementDuster');
 DeleteService('qiduvoko');
 DeleteFileMask('C:\Users\Алексей\AppData\Roaming\eTranslator', '*', true);
 DeleteFileMask('C:\Users\Алексей\AppData\Local\31464E43-1425231596-5731-4D56-101F74BFF47D', '*', true);
 DeleteDirectory('C:\Users\Алексей\AppData\Roaming\eTranslator', '');
 DeleteDirectory('C:\Users\Алексей\AppData\Local\31464E43-1425231596-5731-4D56-101F74BFF47D', '');
 DelBHO('{8984B388-A5BB-4DF7-B274-77B879E179DB}');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'eTranslator Update');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

Скачайте Malwarebytes' Anti-Malware или с зеркала. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: MBAM-log-2014-10-14 (12-18-10).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM, зеркало обновлений MBAM.
Подробнее читайте в руководстве.
 
Скрипт выполнил, карантин на форму отправил. Повторный лог autologger'a во вложении. лог MBAM'a готовится - выложу, как будет готов. Также пользователь жалуется на невозможность нормального захода в свой аккаунт на сайте танков, а также на низкую скорость закачки самой игры.
 

Вложения

  • CollectionLog-2015.03.13-22.38.zip
    76.9 KB · Просмотры: 2
Здравствуйте! Сканирование MBAM'ом никак не получается завершить - он вылетает и впоследствии компьютер теряет подключение к интернету. Пользователю приходится перезагружать компьютер, чтобы я смог зайти удаленно (выполняю ваши указания удаленно через TeamViewer). Что делать в таком случае? Такое повторялось уже раза 2, если не более.
 
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Просканировал Farbar Recovery scan. Логи во вложении.
 

Вложения

  • Addition.txt
    38.4 KB · Просмотры: 2
  • FRST.txt
    80 KB · Просмотры: 4
  • Shortcut.txt
    150.6 KB · Просмотры: 5
Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
Код:
start
ShortcutTarget: Cloud Mail.Ru.lnk -> C:\Users\Алексей\AppData\Local\Mail.Ru\Cloud\Cloud.exe (No File)
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=newcustom3",
            "hxxp://www.mystartsearch.com/?type=hp&ts=1425157290&from=cmi&uid=TOSHIBAXMK5076GSX_61ONB0RVBXX61ONB0RVB"
CHR Extension: (No Name) - C:\Users\Алексей\AppData\Local\Google\Chrome\User Data\Default\Extensions\caficnijbecdceenmgfphpoaamopmmjg [2015-03-06]
2015-03-12 08:45 - 2015-03-12 08:45 - 00001066 _____ () C:\Users\Алексей\Desktop\Обнови Софт.lnk
2015-03-12 08:45 - 2015-03-12 08:51 - 00000000 ____D () C:\Users\Алексей\AppData\Roaming\Obnovi Soft
2015-03-12 08:45 - 2015-03-12 08:45 - 00000000 ____D () C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Обнови Софт
2015-03-12 08:45 - 2015-03-12 08:45 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Обнови Софт
2015-03-12 08:45 - 2015-03-12 08:45 - 00000000 ____D () C:\Program Files (x86)\Obnovi Soft
Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Обнови Софт\Uninstall.lnk -> C:\Program Files (x86)\Obnovi Soft\uninstall.exe ()
Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Обнови Софт\Обнови Софт.lnk -> C:\Program Files (x86)\Obnovi Soft\ObnoviSoft.exe (www.obnovi-soft.ru)
Shortcut: C:\Users\Все пользователи\Microsoft\Windows\Start Menu\Programs\Обнови Софт\Uninstall.lnk -> C:\Program Files (x86)\Obnovi Soft\uninstall.exe ()
Shortcut: C:\Users\Все пользователи\Microsoft\Windows\Start Menu\Programs\Обнови Софт\Обнови Софт.lnk -> C:\Program Files (x86)\Obnovi Soft\ObnoviSoft.exe (www.obnovi-soft.ru)
ShortcutWithArgument: C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехрlоrеr (Nо Аdd-оns).LNK -> C:\Program Files (x86)\Internet Explorer\iexplore.bat () ->  -extoff

EmptyTemp:
Reboot:
end
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 QuarantineFile('C:\Program Files (x86)\Internet Explorer\iexplore.bat', '');
 QuarantineFile('C:\Program Files (x86)\HP Games\Web Link - Crush the Castle 2\launcher.bat', '');
 QuarantineFile('C:\Games\World_of_Warplanes\wowplauncher.bat', '');
 QuarantineFile('C:\Program Files (x86)\WarThunder\launcher.bat ', '');
 QuarantineFile('C:\Program Files (x86)\Google\Chrome\chrome.bat', '');
 DeleteFile('C:\Program Files (x86)\Internet Explorer\iexplore.bat');
 DeleteFile('C:\Program Files (x86)\HP Games\Web Link - Crush the Castle 2\launcher.bat');
 DeleteFile('C:\Games\World_of_Warplanes\wowplauncher.bat');
 DeleteFile('C:\Program Files (x86)\WarThunder\launcher.bat ');
 DeleteFile('C:\Program Files (x86)\Google\Chrome\chrome.bat');
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

- Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:
Код:
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Яндекс\Яндекс.Бар\Intеrnеt Ехрlоrеr.LNK 
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Gооglе Сhrоmе.LNK 
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games\Сrush thе Саstlе 2.lnk 
C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\World of Warplanes\Wоrld оf Wаrрlаnеs.lnk 
C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder\WаrThundеr.lnk 
C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Pirates\Рirаtеs.lnk 
C:\Users\Все пользователи\Microsoft\Windows\Start Menu\Programs\Яндекс\Яндекс.Бар\Intеrnеt Ехрlоrеr.LNK
Повторите лог Farbar Recovery Scan Tool
И сообщите как проблема.
 
Все выполнил, логи во вложении (не "обновился" лог addition.txt, поэтому его не выкладываю). По поводу проблемы человек сообщит (да и я отпишусь, соответственно) завтра...
 

Вложения

  • FRST.txt
    78.9 KB · Просмотры: 6
  • Shortcut.txt
    149.7 KB · Просмотры: 2
По поводу проблемы - танки начали скачиваться быстро, однако в аккаунт зайти невозможно... Это может быть как-то связано с "остатками" заражения, или это уже "другая тема"?
 
Последнее редактирование:
"...Не удается установить соединение с сервером. Возможно, сервер недоступен или требуется проверка настроек сетевого подключения..."
Всем спасибо! Проблема решена. Можете закрывать тему. Выполнил рекомендации, данные на тех. форуме "танков" по этой проблеме. Сбросил сетевой стек системы в командной строке Windows с помощью команды «netsh winsock reset» и все стало работать. Взято здесь: https://ru.wargaming.net/support/Kn...18/chto-delt-esli-vozniket-oshibk-no_loginapp
 
Последнее редактирование:
  • Like
Реакции: akok
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу