Решена Вирусы в браузерах

Статус
В этой теме нельзя размещать новые ответы.

MrTunez1

Новый пользователь
Сообщения
8
Реакции
0
Здравствуйте, уважаемые модераторы. Помогите, пожалуйста, справиться с заразой.
 

Вложения

  • virusinfo_syscheck.zip
    179.9 KB · Просмотры: 2
  • virusinfo_syscure.zip
    181.3 KB · Просмотры: 3
  • hijackthis.log
    19.7 KB · Просмотры: 7
Приветствую MrTunez1, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



***​

Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


***​

Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
__________________________________________________
С уважением, администрация SafeZone.
 
Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true); 
 QuarantineFile('c:\users\new_user\appdata\local\temp\1jfuweif.exe','');
 QuarantineFile('C:\Users\New_user\AppData\Local\Temp\24168454FdOh','');
 DeleteFile('c:\users\new_user\appdata\local\temp\1jfuweif.exe');
 DeleteFile('C:\Users\New_user\AppData\Local\Temp\24168454FdOh');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S953228');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','24169234');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(10);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Сделайте новые логи virusinfo_syscheck.zip; log.txt, info.txt.
 
Вот
 

Вложения

  • virusinfo_syscheck.zip
    177.8 KB · Просмотры: 3
  • hijackthis.log
    19 KB · Просмотры: 1
жду

+ Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Выполните обновление баз (Меню Файл - Обновление баз)
  3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт № 4 ("Скрипт сбора неопознанных и подозрительных файлов") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  5. Закачайте полученный архив, как описано на этой странице.
  6. Если размер архива превышает 20 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zalil, Dump.Ru или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

+ у вас в hosts очень много записей, скорее всего добавленные туда какой-то программой типа Spybot. Из-за этого страницы в браузере могут быть медленнее открываться. Я бы рекомендовал эти записи почистить, а Spybot - Search & Destroy если он установлен деинсталировать.

+ что с проблемой ?
 
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
 
+

1. Запустить HijackThis, нажать "Do a system scan only", отметить указанные строки и нажать "Fix сhecked".
Код:
O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O17 - HKLM\System\CCS\Services\Tcpip\..\{0314ECD2-9B13-4B32-ACA1-BEC6021D0B4B}: NameServer = 193.111.137.200
O17 - HKLM\System\CCS\Services\Tcpip\..\{846ee342-7039-11de-9d20-806e6f6e6963}: NameServer = 193.111.137.200
O17 - HKLM\System\CCS\Services\Tcpip\..\{87011F8C-DE31-4BD6-A674-3BC180F9F254}: NameServer = 193.111.137.200
O17 - HKLM\System\CS1\Services\Tcpip\..\{0314ECD2-9B13-4B32-ACA1-BEC6021D0B4B}: NameServer = 193.111.137.200
O17 - HKLM\System\CS2\Services\Tcpip\..\{0314ECD2-9B13-4B32-ACA1-BEC6021D0B4B}: NameServer = 193.111.137.200

Если после этого пропадет интернет, тогда откройте ваше сетевое подключение в свойствах протокола TCP/IPv4 пропишите адреса DNS-серверов вашего провайдера или публичные
8.8.8.8 - основной
8.8.4.4 - альтернативный
2. Очистите кэш DNS, для этого в командной строке, запущенной от администратора выполните:
("Пуск"=>Введите cmd => По найденному объекту кликните правой кнопкой мыши и выберите пункт Запустить с правами администратора")

3. MrTunez1, карантин на форум не выкладываем!

Сделайте новые логи virusinfo_syscheck.zip; log.txt, info.txt.
Где???
 
Последнее редактирование:
Готово
 

Вложения

  • MBAM-log-2013-06-22 (12-23-01).txt
    3.5 KB · Просмотры: 2
Готово
 

Вложения

  • virusinfo_syscheck.zip
    181.5 KB · Просмотры: 2
  • log.txt
    70.3 KB · Просмотры: 2
  • info.txt
    47.4 KB · Просмотры: 1
======Файл Hosts======

127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
сами добавили ?

что с проблемой ?

  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Скопируйте содержимое файла в свое следующее сообщение.
Подробнее читайте в этом разделе форума поддержки утилиты.
 
И у меня как-то буквы сместились и поплыли в браузере, не подскажете что сделать? Заранее спасибо)

Добавлено через 30 секунд
Реклама то исчезла
 
Готово
 

Вложения

  • SecurityCheck.txt
    3.6 KB · Просмотры: 1
И у меня как-то буквы сместились и поплыли в браузере, не подскажете что сделать?
почистить кеш браузера.
-----------
Контроль учётных записей пользователя отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Запрос на повышение прав для администраторов отключен
Автоматическое обновление отключено
Java(TM) 6 Update 24 (64-bit) v.6.0.240 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jdk-6u45-windows-x64.exe)^
Java 7 Update 9 (64-bit) v.7.0.90 Внимание! Скачать обновления
^Скачайте jre-7u25-windows-x64.exe^
Java(TM) 6 Update 31 v.6.0.310 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jdk-6u45-windows-i586.exe)^
Adobe Shockwave Player 11.5 v.11.5.9.620 Внимание! Скачать обновления
Adobe Reader X (10.1.7) MUI v.10.1.7 Внимание! Скачать обновления


обновляетесь :)

+ Выполните рекомендации после лечения
 
Хорошо, сделаю) Кэш почистил, вроде не изменилось(
 

Вложения

  • 01.jpg
    01.jpg
    18.5 KB · Просмотры: 48
Проблема не имеет отношения к вирусам. Возможно, что-то там блокирует какие элементы страницы, возможно в настройках браузера включена какая-то подгонка по ширине ... это уже к настройке браузера.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу