dnk Опубликовано 26 июля, 2013 Жалоба Поделиться Опубликовано 26 июля, 2013 (изменено) В браузере Opera 12.16.1860 ни с того ни с сего при щелкании по любой ссылке, в окне ввода текста или просто даже иногда по полю страницы идет редирект на сайт поисковой системы http://www.sesearch.ru, а затем с него на сайт магазина. CureiT'ом сканировал - нашел 2 вируса, очистил, но все равно продолжается. Кеши и куки чистил. Вопрос: Что и где погасить? P.S. Авторство картинок во вложении принадлежит пострадавшему человеку с другого сайта. hijackthis.log hijackthis.log Изменено 7 августа, 2013 пользователем dnk Ссылка на комментарий Поделиться на другие сайты Поделиться
dnk Опубликовано 29 июля, 2013 Автор Жалоба Поделиться Опубликовано 29 июля, 2013 кто-нибудь сталкивался с этой проблемой? Ссылка на комментарий Поделиться на другие сайты Поделиться
Sandor Опубликовано 31 июля, 2013 Жалоба Поделиться Опубликовано 31 июля, 2013 Сделайте полный комплект логов по правилам. Ссылка на комментарий Поделиться на другие сайты Поделиться
dnk Опубликовано 5 августа, 2013 Автор Жалоба Поделиться Опубликовано 5 августа, 2013 Сделайте полный комплект логов по правилам. Логи.rar Логи.rar Ссылка на комментарий Поделиться на другие сайты Поделиться
Sandor Опубликовано 5 августа, 2013 Жалоба Поделиться Опубликовано 5 августа, 2013 @dnk, логи AVZ не правильные. прикрепите к своей теме только следующие файлы (логи): virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt. Перечитайте правила и переделайте п.п. 2 и 3. Ссылка на комментарий Поделиться на другие сайты Поделиться
dnk Опубликовано 5 августа, 2013 Автор Жалоба Поделиться Опубликовано 5 августа, 2013 (изменено) @dnk, логи AVZ не правильные. Перечитайте правила и переделайте п.п. 2 и 3. Переделал. А что никто вообще ни в курсе что ли этого вируса sesearch, яндекс уже кишит запросами...virusinfo.info - не открывается сайт, вместо него открывается yandex.ru. В яндексе над сводками погоды отображается информационная лента sesearch. Не всегда, но часто - стоит только щелкнуть по какой-то ссылке или просто по окну вводу текста, а то и по дропбоксу или вообще окну - сразу идет редирект на этот сайт, а с него - на магазины одежды. Причем замечу, что, оказывается не только в opera, но и в firefox тоже, но реже, в IE пока не наблюдал. Отключал все настройки, удалял какой-то torch-браузер, разные тулбары, чистил temp, кеш, отключал средства поиска, блокировал содержимое http://www.sesearch.ru/* http://js.smi2.ru/* http://imgg.dt00.net/* http://static.smi2.ru/* http://s0.teasermaster.ru/* - удалось только сделать так, чтобы браузер блокировал открытие этих сайтов, но не более. log.zip log.zip Изменено 5 августа, 2013 пользователем dnk Ссылка на комментарий Поделиться на другие сайты Поделиться
Sandor Опубликовано 5 августа, 2013 Жалоба Поделиться Опубликовано 5 августа, 2013 (изменено) @dnk, будьте внимательны. Не нужно менять никаких настроек при выполнении стандартных скриптов. Не нужно упаковывать всю папку с нужными и ненужными логами. Выполняйте только инструкции. В обязательном порядке скачайте и установите все обновления безопасности windows Особенное внимание обратите на эти заплатки MS08-067 MS08-068 MS09-001 Отключите автозапуск программ с различных носителей, кроме CDROM. Пуск - выполнить - cmd (запуск от имени администратора). В окно командной строки скопируйте и вставьте команду: REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 221 Нажмите enter. Для подтверждения перезаписи нажмите Y. Загрузите GMER по одной из указанных ссылок Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку) Запустите программу (пользователям Vista и Windows 7 запускать от имени Администратора по правой кнопке мыши). Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No. После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов: Sections IAT/EAT Show all Из всех дисков оставьте отмеченным только системный диск (обычно C:\) Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK. Если у вас установлены эмуляторы дисков (Alcohol или Daemon Tools), то необходимо перед сканированием GMER приостановить их работу для корректной работы утилиты После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. Если GMER не запустится: Воспользуйтесь графической оболочкой для kidokiller - Quick Killer 3.0 Final - GUI для консольных утилит Лаборатории Касперского. Скачайте архив. Запустите утилиту Quick Killer.exe Выбрать в списке кидокилер KidoKiller Установите галочку Записать в лог 'report.txt' Установите галочку Удаление остатков служб оставшихся после вируса Перейдите на следующую страницу нажав кнопку >> и выберите Отключить автозапуск со всех носителей Не ждать нажатия любой клавиши... Нажмите кнопку Запустить KidoKiller Дождитесь окончания сканирования и после чего в папке из которой был запущен QuickKiller появится лог report-[Kido].txt прикрепите его к сообщению. Сделайте повторные логи AVZ + выполните лог RSIT Изменено 5 августа, 2013 пользователем Sandor Ссылка на комментарий Поделиться на другие сайты Поделиться
dnk Опубликовано 5 августа, 2013 Автор Жалоба Поделиться Опубликовано 5 августа, 2013 Воспользуйтесь графической оболочкой для kidokiller - Quick Killer 3.0 Final - GUI для консольных утилит Лаборатории Касперского. Скачайте архив. Запустите утилиту Quick Killer.exe Не открывает эту ссылку, выводит страницу яндекса http://yandex.ru/thread-221666.html на которой: Secret PlaceСекретный уровень Вы попали на секретный уровень Яндекса. Как попасть сюда еще раз: ввести часть адреса русскими буквами, например: рудз.yandex.ru вместо help.yandex.ru (скачайте и установите Punto Switcher, если не хотите больше так ошибаться) или написать особенное имя файла, например: inex.html, idnex.html или index.htm вместо index.html Если вы оказались здесь, нажав на ссылку, опубликованную на Яндексе, пришлите эту ссылку нашему офицеру по адресу 404@yandex-team.ru, пароль — «четыреста четыре», отзыв — «спасибо, исправим». Если вы хотите что-то найти в интернете, воспользуйтесь секретным поиском Яндекса: Найти И помните: никому ни слова. Что такое страница 404/403? Ссылка на комментарий Поделиться на другие сайты Поделиться
Sandor Опубликовано 5 августа, 2013 Жалоба Поделиться Опубликовано 5 августа, 2013 (изменено) Надо понимать, все до этого пункта вы уже выполнили? В последовательности рекомендаций смысл лечения. Изменено 5 августа, 2013 пользователем Sandor Ссылка на комментарий Поделиться на другие сайты Поделиться
Gashak Опубликовано 5 августа, 2013 Жалоба Поделиться Опубликовано 5 августа, 2013 (изменено) Sandor, спасибо, похоже, я разобрался с проблемой. Вот моё решение, думаю, оно подойдёт. Dnk, откройте Редактор реестра и раскройте следующую ветку: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\Tcpip\Parameters\Interfaces. В списке будет несколько подразделов. Щёлкните по каждому из них, и, в правой части, ищите строку NameServer. Если вы увидите, что он не пустая, но имеет значение "5.104.108.204" (зуб даю, что именно это), то удалите это значение. Во всех подразделах раздела Interfaces не должно остаться ни одного ключа, имеющего значение 5.104.108.204. Ключ NameServer вообще должен быть пустым. После того, как вы удалите все значения, очистите кэш DNS. Пуск — Выполнить — команда cmd — в командной строке введите ipconfig /flushdns и нажмите Enter. Перезапустите браузер, проверьте наличие баннеров. Другой вопрос: если это троян, то удалены лишь симптомы, но тело вируса где-то продолжает болтаться. ! Предупреждение: 1. Прежде чем давать советы другим убедитесь что обладаете необходимой квалификацией для этого. 2. Специально для Вас разделил тему, однако Вы упорно продолжаете высказываться в чужой теме. Штраф за кросспостинг. Изменено 5 августа, 2013 пользователем Loader Ссылка на комментарий Поделиться на другие сайты Поделиться
Sandor Опубликовано 5 августа, 2013 Жалоба Поделиться Опубликовано 5 августа, 2013 (изменено) @Gashak, не советуйте то, в чем вы не уверены. У ТС кроме подмены DNS целый букет. Если вам лично еще нужна помощь, продолжайте в своей теме, а здесь, пожалуйста, больше не нужно ничего предлагать. И осторожней с зубами))) Изменено 5 августа, 2013 пользователем Sandor 1 Ссылка на комментарий Поделиться на другие сайты Поделиться
dnk Опубликовано 5 августа, 2013 Автор Жалоба Поделиться Опубликовано 5 августа, 2013 добавляю лог GMER 2.1.19163.log GMER 2.1.19163.log Ссылка на комментарий Поделиться на другие сайты Поделиться
Sandor Опубликовано 6 августа, 2013 Жалоба Поделиться Опубликовано 6 августа, 2013 Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится rbwc87sp.exe случайное имя утилиты (gmer) rbwc87sp.exe -del service qbwnclrbwc87sp.exe -del file "C:\WINDOWS\system32\kkuleo.dll"rbwc87sp.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\qbwncl"rbwc87sp.exe -del reg "HKLM\SYSTEM\ControlSet012\Services\qbwncl"rbwc87sp.exe -del reg "HKLM\SYSTEM\ControlSet010\Services\qbwncl"rbwc87sp.exe -del reg "HKLM\SYSTEM\ControlSet009\Services\qbwncl"rbwc87sp.exe -del reg "HKLM\SYSTEM\ControlSet008\Services\qbwncl"rbwc87sp.exe -del reg "HKLM\SYSTEM\ControlSet007\Services\qbwncl"rbwc87sp.exe -del reg "HKLM\SYSTEM\ControlSet006\Services\qbwncl"rbwc87sp.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\qbwncl"rbwc87sp.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\qbwncl"rbwc87sp.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\qbwncl"rbwc87sp.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\qbwncl"rbwc87sp.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\qbwncl"rbwc87sp.exe -reboot И запустите сохранённый пакетный файл cleanup.bat. Внимание: Компьютер перезагрузится! Сделайте новый лог gmer. 1 Ссылка на комментарий Поделиться на другие сайты Поделиться
dnk Опубликовано 7 августа, 2013 Автор Жалоба Поделиться Опубликовано 7 августа, 2013 (изменено) Сканировал систему еще раз и GMER 2.1.19163 и Spybot - Search & Destroy 1.6.2 и Kaspersky Virus Removal Tool 11.0.0.1245 (2013.08.06) - никакого толку - по-прежнему отображаются объявления с этого сайта, вместо сайтов kaspersky.ru, cyberforum.ru, pchelpforum.ru и еще, наверняка, многих идет редирект на yandex.ru (секретный уровень какой-то) или вообще сайт не открывается - сервер не найден и все. Ничего не одолевает этот вирус. Обращаю внимание, что указанными выше программами я производил полную проверку всех дисков и почты на тщательном уровне всех файлов с эвристическим анализом и лечением - да касперский нашел 10 вирусов, удалил, GMER тоже находил, но толку все равно никакого. Найти и уничтожить тоже много нашел, в т.ч. остаток от Seneka 2-хлетней давности, удалил, а толку все равно никакого - в системе что-то надо еще править. Sandor, вот, похоже, тот же случай, потому что тот же тизер-seo-оптимизатор гадит. Объявления с сайта sesearch.ru отображаются на том самом месте, куда яндекс обычно вставляет рекламный баннер на flash-анимации. P.S. Sandor, скрипт выше постом я выполнял, qbwncl удалилось из реестра. Обнаруженные угрозы.txt GMER 2.1.19163 (7.08.2013, 15.33).log Обнаруженные угрозы.txt GMER 2.1.19163 (7.08.2013, 15.33).log Изменено 7 августа, 2013 пользователем dnk Ссылка на комментарий Поделиться на другие сайты Поделиться
dnk Опубликовано 7 августа, 2013 Автор Жалоба Поделиться Опубликовано 7 августа, 2013 Gashak и все, кто связан с virusinfo - спасибо Выполнил: Dnk, откройте Редактор реестра и раскройте следующую ветку: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\Tcpip\Parameters\Interfaces.В списке будет несколько подразделов. Щёлкните по каждому из них, и, в правой части, ищите строку NameServer. Если вы увидите, что он не пустая, но имеет значение "5.104.108.204" (зуб даю, что именно это), то удалите это значение. Во всех подразделах раздела Interfaces не должно остаться ни одного ключа, имеющего значение 5.104.108.204. Ключ NameServer вообще должен быть пустым.После того, как вы удалите все значения, очистите кэш DNS. Пуск — Выполнить — команда cmd — в командной строке введите ipconfig /flushdns и нажмите Enter. Перезапустите браузер, проверьте наличие баннеров. Действительно в двух CCS была эта дрянь 5.104.108.204, оставил только DNS-адреса провайдера - сайты касперского и прочих стали открываться, чистил кеш DNS, но, к сожалению эта гадость (sesearch.ru) со своими баннерами еще присутствует и гадит своими редиректами, несмотря даже на то, что в hosts прописал 127.0.0.1 mg.dt00.net188.127.240.12 sesearch.ru Ссылка на комментарий Поделиться на другие сайты Поделиться
Sandor Опубликовано 7 августа, 2013 Жалоба Поделиться Опубликовано 7 августа, 2013 (изменено) @dnk, пожалуйста, до окончания лечения не выполняйте никаких других действий, кроме тех, что советуют официальные консультанты. Поскольку Вы что-то удаляли (антивирусами), картина изменилась. Поэтому повторите весь комплект логов по правилам и будем продолжать. Изменено 7 августа, 2013 пользователем Sandor Ссылка на комментарий Поделиться на другие сайты Поделиться
dnk Опубликовано 7 августа, 2013 Автор Жалоба Поделиться Опубликовано 7 августа, 2013 Sandor Просканировал систему сегодняшними базами Cureit в режиме повышенной защите - он тоже нашел зараженные объекты и грохнул их. Далее воспользовался KIS по полной, но он пошел медленно (до 1% он дошел, ничего не нашел и я его выключил пока). Параллельно с KIS воспользовался программой Malwarebytes' Anti-Malware 1.75.0.1300 и вот только она, по ходу дела, уже на первых минутах запуска полной проверки нашла 4 подозрительных объекта и отправила их на карантин. Причем сразу же после этого тут же пропали ссылки-баннеры sesearch.ru в яндексе, вместо него появился ничего не появилось, а потом появился штатный flash-баннер яндекса (реклама машин и пр.) и все. Нашла программа аж 30 опасных объектов, но эта дрянь поисковая. Вот привожу лог Malwarebytes' Anti-Malware 1.75.0.1300: Обнаруженные процессы в памяти: 0(Вредоносных программ не обнаружено)Обнаруженные модули в памяти: 0(Вредоносных программ не обнаружено)Обнаруженные ключи в реестре: 7HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{EEE6C35C-6118-11DC-9C72-001320C79847} (PUP.Optional.SweetPacks) -> Помещено в карантин и успешно удалено.HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35C-6118-11DC-9C72-001320C79847} (PUP.Optional.SweetPacks) -> Помещено в карантин и успешно удалено.HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} (Adware.MyCentria) -> Помещено в карантин и успешно удалено.HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} (Adware.MyCentria) -> Помещено в карантин и успешно удалено.HKCU\SOFTWARE\ADWare (Malware.Trace) -> Помещено в карантин и успешно удалено.HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETPROTOCOL (Trojan.Agent) -> Помещено в карантин и успешно удалено.HKLM\SYSTEM\CurrentControlSet\Services\Netprotocol (Trojan.Agent) -> Помещено в карантин и успешно удалено.Обнаруженные параметры в реестре: 0(Вредоносных программ не обнаружено)Объекты реестра обнаружены: 5HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Page_URL (Hijack.StartPage) -> Плохо: (http://www.smaxi.net) Хорошо: (http://www.google.com) -> Помещено в карантин и успешно исправлено.HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyDocs (PUM.Hijack.StartMenu) -> Плохо: (0) Хорошо: (1) -> Помещено в карантин и успешно исправлено.HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowHelp (PUM.Hijack.StartMenu) -> Плохо: (0) Хорошо: (1) -> Помещено в карантин и успешно исправлено.HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Page_URL (Hijack.StartPage) -> Плохо: (http://www.smaxi.net) Хорошо: (http://www.google.com) -> Помещено в карантин и успешно исправлено.HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Userinit (Hijack.UserInit) -> Плохо: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\apppatch\pqeeeq.exe,) Хорошо: (userinit.exe) -> Помещено в карантин и успешно исправлено.Обнаруженные папки: 0(Вредоносных программ не обнаружено)Обнаруженные файлы: 27C:\Program Files\BurnAware Professional\burnaware.professional..4.7.0-patch.exe (PUP.Hacktool.Patcher) -> Помещено в карантин и успешно удалено.C:\Program Files\GlobalSCAPE\CuteFTP 8 Professional\cuteftp.pro.8.3.4.0007-patch.exe (PUP.Hacktool.Patcher) -> Помещено в карантин и успешно удалено.C:\Program Files\ImTOO\DVD Audio Ripper 5\DVD Audio Ripper 5.0.46.1212 (patch).exe (PUP.Hacktool.Patcher) -> Помещено в карантин и успешно удалено.C:\Program Files\Internet Download Manager\IDM.v6.xx.release.3-patch.exe (PUP.Hacktool.Patcher) -> Помещено в карантин и успешно удалено.C:\Program Files\Multi Password Recovery\HookLib.dll (PUP.Hooker) -> Помещено в карантин и успешно удалено.C:\Program Files\Multi Password Recovery\UpdateChecker.exe (Riskware.MPR) -> Помещено в карантин и успешно удалено.C:\Program Files\Offline Explorer Enterprise\Patch.exe (PUP.Hacktool.Patcher) -> Помещено в карантин и успешно удалено.C:\Program Files\PasswordsPro 3.1.0.0\PasswordsPro.exe (PUP.PasswordsPro) -> Помещено в карантин и успешно удалено.C:\Program Files\PRMT9\Patch PROMT 9.exe (PUP.Hacktool.Patcher) -> Помещено в карантин и успешно удалено.C:\Program Files\Replay Media Catcher\patch.exe (Trojan.Agent.gen) -> Помещено в карантин и успешно удалено.C:\Program Files\WinRAR\Unipatch.exe (RiskWare.Tool.CK) -> Помещено в карантин и успешно удалено.C:\RECYCLER\S-1-5-18\$a76943e7ccd4e8b98e353355565db735\U\00000008.@ (Trojan.0Access) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP128\A0038966.exe (PUP.Optional.SweetIM) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP128\A0038967.dll (PUP.Optional.SweetIM) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP128\A0038968.dll (PUP.Optional.SweetIM) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP128\A0038969.exe (PUP.Optional.SweetIM) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP128\A0038970.dll (PUP.Optional.SweetIM) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP128\A0038972.dll (PUP.Optional.SweetIM) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP128\A0038973.dll (PUP.Optional.SweetIM) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP128\A0038974.dll (PUP.Optional.SweetIM) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP128\A0038975.dll (PUP.Optional.SweetIM) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP128\A0038977.dll (PUP.Optional.SweetIM) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP128\A0038978.dll (PUP.Optional.SweetPacks) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP129\A0039035.exe (Trojan.Downloader) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP132\A0039833.exe (PUP.Hacktool.Patcher) -> Помещено в карантин и успешно удалено.C:\WINDOWS\Installer\1e3990b.msi (PUP.Optional.SweetIM) -> Помещено в карантин и успешно удалено.C:\Documents and Settings\dnk\Application Data\igfxtray.dat (Malware.Trace) -> Помещено в карантин и успешно удалено. Так вот, эта дрянь была где-то в первых указанных обнаруженных файлах - по ходу дела, в ключах реестра, т.к. патчеры это просто патчеры, но эта хорошая программа, разумеется (что правильно) посчитала и их хактулами, но я вам говорю, что дело здесь было не в патчерах, я в ключах реестра и в файлах восстановления, а также вот в последних указанных файлах. Последний (igfxtray) мне знаком еще по Conficker - эта дрянь, попавшая с зараженной машины через съемные накопители с работы, часто не давала мне покоя дома (на работе ПК общий - а раз общий, то никому ничего не надо, в плане "вирусной чистоты"). Обратите внимание: SweetPacks - это часть какой-то фишинговой программы-мессенджера типа SweetIM - дрянь какая-то, вообщем, которая, как я начинаю мимолетно вспоминать, по-моему, шла вместе с т.н. "torch-браузером", когда я то ли пытался скачать какой-то файл. Сейчас просто завал в интернете вот такой дряни, где предлагают, якобы, для скачивания файла еще что-то скачать, с помощью которого пойдет загрузка требуемого файла (на файлообменниках липовых это часто бывает), в т.ч. и т.н. margetgid.ru со своей рекламой, баннеры которого так любят помещать на торрент-ресурсах, потому что именно там постоянно вскакивают всплывающие окна, бесконечные баннеры, которые так и норовят залезть по мышь. Кстати, после перезагрузки ПК с установленым KIS 14 ПК рухнул в BSOD (0x0000008E (0x000000C5.....) - видно, когда при старте ПК касперский начинает "шуровать", как он обычно и делает, он напарывается на какой-то драйвер, то ли свой то ли системный и все - этого уже достаточно, чтобы всё накрылось. Я уже давно им не пользуюсь (уже года 3 или 4), хотя раньше даже 1 раз в "белом ветре" лицензию покупал, но потом после заражения из-за того, что истек срок годовой лицензии (хотя ключ еще действовал 8 месяцев!!!!!!) меня по телефону послали на..., а также из-за того, что это ПО ужасно тормозит систему, вызывает, как выяснилось и до сих пор синие экраны, я удалил его тогда и сделал это сейчас. Хотя, не спорю, в новую оболочку разработчики внедрили много функционала... Я, конечно, сделал точку восстановления, сейчас делаю бакап системы Acronis'ом. Посмотрю ситуацию в динамике, чтобы не дай Бог опять "вдруг" не возникло. Если подытожить, что помогло: 1) откройте Редактор реестра и раскройте следующую ветку: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\Tcpip\Parameters\Interfaces.В списке будет несколько подразделов. Щёлкните по каждому из них, и, в правой части, ищите строку NameServer. Если вы увидите, что он не пустая, но имеет значение "5.104.108.204" (зуб даю, что именно это), то удалите это значение. Во всех подразделах раздела Interfaces не должно остаться ни одного ключа, имеющего значение 5.104.108.204. Ключ NameServer вообще должен быть пустым.После того, как вы удалите все значения, очистите кэш DNS. Пуск — Выполнить — команда cmd — в командной строке введите ipconfig /flushdns и нажмите Enter. Перезапустите браузер, проверьте наличие баннеров. 2) ПО Cureit (усиленный режим), GMER, Scan&Destroy 1.62 и самое главное это ПО Malwarebytes' Anti-Malware 1.75.0.130: Примерно сдедующие участки: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{EEE6C35C-6118-11DC-9C72-001320C79847} (PUP.Optional.SweetPacks) -> Помещено в карантин и успешно удалено.HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35C-6118-11DC-9C72-001320C79847} (PUP.Optional.SweetPacks) -> Помещено в карантин и успешно удалено.HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} (Adware.MyCentria) -> Помещено в карантин и успешно удалено.HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} (Adware.MyCentria) -> Помещено в карантин и успешно удалено.HKCU\SOFTWARE\ADWare (Malware.Trace) -> Помещено в карантин и успешно удалено.HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETPROTOCOL (Trojan.Agent) -> Помещено в карантин и успешно удалено.HKLM\SYSTEM\CurrentControlSet\Services\Netprotocol (Trojan.Agent) -> Помещено в карантин и успешно удалено.HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Page_URL (Hijack.StartPage) -> Плохо: (http://www.smaxi.net) Хорошо: (http://www.google.com) -> Помещено в карантин и успешно исправлено.HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyDocs (PUM.Hijack.StartMenu) -> Плохо: (0) Хорошо: (1) -> Помещено в карантин и успешно исправлено.HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowHelp (PUM.Hijack.StartMenu) -> Плохо: (0) Хорошо: (1) -> Помещено в карантин и успешно исправлено.HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Page_URL (Hijack.StartPage) -> Плохо: (http://www.smaxi.net) Хорошо: (http://www.google.com) -> Помещено в карантин и успешно исправлено.HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Userinit (Hijack.UserInit) -> Плохо: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\apppatch\pqeeeq.exe,) Хорошо: (userinit.exe) -> Помещено в карантин и успешно исправлено.C:\RECYCLER\S-1-5-18\$a76943e7ccd4e8b98e353355565db735\U\00000008.@ (Trojan.0Access) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP128\A0038966.exe (PUP.Optional.SweetIM) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP128\A0038967.dll (PUP.Optional.SweetIM) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP128\A0038968.dll (PUP.Optional.SweetIM) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP128\A0038969.exe (PUP.Optional.SweetIM) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP128\A0038970.dll (PUP.Optional.SweetIM) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP128\A0038972.dll (PUP.Optional.SweetIM) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP128\A0038973.dll (PUP.Optional.SweetIM) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP128\A0038974.dll (PUP.Optional.SweetIM) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP128\A0038975.dll (PUP.Optional.SweetIM) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP128\A0038977.dll (PUP.Optional.SweetIM) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP128\A0038978.dll (PUP.Optional.SweetPacks) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP129\A0039035.exe (Trojan.Downloader) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP132\A0039833.exe (PUP.Hacktool.Patcher) -> Помещено в карантин и успешно удалено.C:\WINDOWS\Installer\1e3990b.msi (PUP.Optional.SweetIM) -> Помещено в карантин и успешно удалено.C:\Documents and Settings\dnk\Application Data\igfxtray.dat (Malware.Trace) -> Помещено в карантин и успешно удалено. mbam-log-2013-08-07 (20-37-44).txt mbam-log-2013-08-07 (20-37-44).txt Ссылка на комментарий Поделиться на другие сайты Поделиться
Sandor Опубликовано 8 августа, 2013 Жалоба Поделиться Опубликовано 8 августа, 2013 @dnk, я разве просил Вас сканировать cureit, kis, mbam? Наоборот, я попросил (вежливо) ничего такого не делать, а повторить комплект логов из правил - программы AVZ и RSIT. Если Вы отказываетесь выполнять указания консультантов и предпочитаете самостоятельно решать проблему, можно попросить модераторов закрыть тему. 1 Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения