Jump to content
СофтФорум - всё о компьютерах и не только

Частый редирект на http://www.sesearch.ru в Opera


Recommended Posts

В браузере Opera 12.16.1860 ни с того ни с сего при щелкании по любой ссылке, в окне ввода текста или просто даже иногда по полю страницы идет редирект на сайт поисковой системы http://www.sesearch.ru, а затем с него на сайт магазина.

CureiT'ом сканировал - нашел 2 вируса, очистил, но все равно продолжается. Кеши и куки чистил.

Вопрос: Что и где погасить?

P.S. Авторство картинок во вложении принадлежит пострадавшему человеку с другого сайта.

hijackthis.log

Пример.jpg

ПРимер2.jpg

hijackthis.log

post-34294-0-80058100-1375911618_thumb.j

post-34294-0-57954200-1375911624_thumb.j

Edited by dnk
Link to comment
Share on other sites

@dnk, логи AVZ не правильные.

прикрепите к своей теме только следующие файлы (логи): virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt.

Перечитайте правила и переделайте п.п. 2 и 3.

Link to comment
Share on other sites

@dnk, логи AVZ не правильные.

Перечитайте правила и переделайте п.п. 2 и 3.

Переделал. А что никто вообще ни в курсе что ли этого вируса sesearch, яндекс уже кишит запросами...virusinfo.info - не открывается сайт, вместо него открывается yandex.ru. В яндексе над сводками погоды отображается информационная лента sesearch. Не всегда, но часто - стоит только щелкнуть по какой-то ссылке или просто по окну вводу текста, а то и по дропбоксу или вообще окну - сразу идет редирект на этот сайт, а с него - на магазины одежды. Причем замечу, что, оказывается не только в opera, но и в firefox тоже, но реже, в IE пока не наблюдал. Отключал все настройки, удалял какой-то torch-браузер, разные тулбары, чистил temp, кеш, отключал средства поиска, блокировал содержимое http://www.sesearch.ru/* http://js.smi2.ru/* http://imgg.dt00.net/* http://static.smi2.ru/* http://s0.teasermaster.ru/* - удалось только сделать так, чтобы браузер блокировал открытие этих сайтов, но не более.

log.zip

1.jpg

log.zip

post-34294-0-15959800-1375701310_thumb.j

Edited by dnk
Link to comment
Share on other sites

@dnk, будьте внимательны. Не нужно менять никаких настроек при выполнении стандартных скриптов. Не нужно упаковывать всю папку с нужными и ненужными логами. Выполняйте только инструкции.

В обязательном порядке скачайте и установите все обновления безопасности windows

Особенное внимание обратите на эти заплатки

MS08-067

MS08-068

MS09-001

Отключите автозапуск программ с различных носителей, кроме CDROM. Пуск - выполнить - cmd (запуск от имени администратора). В окно командной строки скопируйте и вставьте команду:

REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 221

Нажмите enter. Для подтверждения перезаписи нажмите Y.

Загрузите GMER по одной из указанных ссылок

Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)

Запустите программу (пользователям Vista и Windows 7 запускать от имени Администратора по правой кнопке мыши).

Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.

После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

  • Sections
  • IAT/EAT
  • Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)

Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.

Если у вас установлены эмуляторы дисков (Alcohol или Daemon Tools), то необходимо перед сканированием GMER

приостановить их работу для корректной работы утилиты

После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Если GMER не запустится:

Воспользуйтесь графической оболочкой для kidokiller - Quick Killer 3.0 Final - GUI для консольных утилит Лаборатории Касперского. Скачайте архив. Запустите утилиту Quick Killer.exe

  1. Выбрать в списке кидокилер KidoKiller
  2. Установите галочку Записать в лог 'report.txt'
  3. Установите галочку Удаление остатков служб оставшихся после вируса
  4. Перейдите на следующую страницу нажав кнопку >> и выберите Отключить автозапуск со всех носителей
  5. Не ждать нажатия любой клавиши...
  6. Нажмите кнопку Запустить KidoKiller

Дождитесь окончания сканирования и после чего в папке из которой был запущен QuickKiller появится лог report-[Kido].txt прикрепите его к сообщению.

Сделайте повторные логи AVZ + выполните лог RSIT

Edited by Sandor
Link to comment
Share on other sites

Воспользуйтесь графической оболочкой для kidokiller - Quick Killer 3.0 Final - GUI для консольных утилит Лаборатории Касперского. Скачайте архив. Запустите утилиту Quick Killer.exe

Не открывает эту ссылку, выводит страницу яндекса http://yandex.ru/thread-221666.html на которой:

Secret Place

Секретный уровень

Вы попали на секретный уровень Яндекса.

Как попасть сюда еще раз:

ввести часть адреса русскими буквами, например: рудз.yandex.ru вместо help.yandex.ru (скачайте и установите Punto Switcher, если не хотите больше так ошибаться)

или написать особенное имя файла, например: inex.html, idnex.html или index.htm вместо index.html

Если вы оказались здесь, нажав на ссылку, опубликованную на Яндексе, пришлите эту ссылку нашему офицеру по адресу 404@yandex-team.ru, пароль — «четыреста четыре», отзыв — «спасибо, исправим».

Если вы хотите что-то найти в интернете, воспользуйтесь секретным поиском Яндекса: Найти

И помните: никому ни слова.

Что такое страница 404/403?

2.jpg

post-34294-0-52823400-1375702507_thumb.j

Link to comment
Share on other sites

Надо понимать, все до этого пункта вы уже выполнили?

В последовательности рекомендаций смысл лечения.

Edited by Sandor
Link to comment
Share on other sites

Sandor, спасибо, похоже, я разобрался с проблемой.

Вот моё решение, думаю, оно подойдёт.

Dnk, откройте Редактор реестра и раскройте следующую ветку: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\Tcpip\Parameters\Interfaces.

В списке будет несколько подразделов. Щёлкните по каждому из них, и, в правой части, ищите строку NameServer. Если вы увидите, что он не пустая, но имеет значение "5.104.108.204" (зуб даю, что именно это), то удалите это значение. Во всех подразделах раздела Interfaces не должно остаться ни одного ключа, имеющего значение 5.104.108.204. Ключ NameServer вообще должен быть пустым.

После того, как вы удалите все значения, очистите кэш DNS. Пуск — Выполнить — команда cmd — в командной строке введите ipconfig /flushdns и нажмите Enter. Перезапустите браузер, проверьте наличие баннеров.

Другой вопрос: если это троян, то удалены лишь симптомы, но тело вируса где-то продолжает болтаться.

!

Предупреждение:

1. Прежде чем давать советы другим убедитесь что обладаете необходимой квалификацией для этого.

2. Специально для Вас разделил тему, однако Вы упорно продолжаете высказываться в чужой теме.

Штраф за кросспостинг.

Edited by Loader
Link to comment
Share on other sites

@Gashak, не советуйте то, в чем вы не уверены. У ТС кроме подмены DNS целый букет. Если вам лично еще нужна помощь, продолжайте в своей теме, а здесь, пожалуйста, больше не нужно ничего предлагать.

И осторожней с зубами)))

Edited by Sandor
  • Upvote 1
Link to comment
Share on other sites

Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится rbwc87sp.exe случайное имя утилиты (gmer)

rbwc87sp.exe -del service qbwnclrbwc87sp.exe -del file "C:\WINDOWS\system32\kkuleo.dll"rbwc87sp.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\qbwncl"rbwc87sp.exe -del reg "HKLM\SYSTEM\ControlSet012\Services\qbwncl"rbwc87sp.exe -del reg "HKLM\SYSTEM\ControlSet010\Services\qbwncl"rbwc87sp.exe -del reg "HKLM\SYSTEM\ControlSet009\Services\qbwncl"rbwc87sp.exe -del reg "HKLM\SYSTEM\ControlSet008\Services\qbwncl"rbwc87sp.exe -del reg "HKLM\SYSTEM\ControlSet007\Services\qbwncl"rbwc87sp.exe -del reg "HKLM\SYSTEM\ControlSet006\Services\qbwncl"rbwc87sp.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\qbwncl"rbwc87sp.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\qbwncl"rbwc87sp.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\qbwncl"rbwc87sp.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\qbwncl"rbwc87sp.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\qbwncl"rbwc87sp.exe -reboot

И запустите сохранённый пакетный файл cleanup.bat.

Внимание: Компьютер перезагрузится!

Сделайте новый лог gmer.

  • Upvote 1
Link to comment
Share on other sites

Сканировал систему еще раз и GMER 2.1.19163 и Spybot - Search & Destroy 1.6.2 и Kaspersky Virus Removal Tool 11.0.0.1245 (2013.08.06) - никакого толку - по-прежнему отображаются объявления с этого сайта, вместо сайтов kaspersky.ru, cyberforum.ru, pchelpforum.ru и еще, наверняка, многих идет редирект на yandex.ru (секретный уровень какой-то) или вообще сайт не открывается - сервер не найден и все. Ничего не одолевает этот вирус. Обращаю внимание, что указанными выше программами я производил полную проверку всех дисков и почты на тщательном уровне всех файлов с эвристическим анализом и лечением - да касперский нашел 10 вирусов, удалил, GMER тоже находил, но толку все равно никакого. Найти и уничтожить тоже много нашел, в т.ч. остаток от Seneka 2-хлетней давности, удалил, а толку все равно никакого - в системе что-то надо еще править. Sandor, вот, похоже, тот же случай, потому что тот же тизер-seo-оптимизатор гадит. Объявления с сайта sesearch.ru отображаются на том самом месте, куда яндекс обычно вставляет рекламный баннер на flash-анимации.

P.S. Sandor, скрипт выше постом я выполнял, qbwncl удалилось из реестра.

Обнаруженные угрозы.txt

GMER 2.1.19163 (7.08.2013, 15.33).log

Обнаруженные угрозы.txt

GMER 2.1.19163 (7.08.2013, 15.33).log

Edited by dnk
Link to comment
Share on other sites

Gashak и все, кто связан с virusinfo - спасибо

Выполнил:

Dnk, откройте Редактор реестра и раскройте следующую ветку: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\Tcpip\Parameters\Interfaces.В списке будет несколько подразделов. Щёлкните по каждому из них, и, в правой части, ищите строку NameServer. Если вы увидите, что он не пустая, но имеет значение "5.104.108.204" (зуб даю, что именно это), то удалите это значение. Во всех подразделах раздела Interfaces не должно остаться ни одного ключа, имеющего значение 5.104.108.204. Ключ NameServer вообще должен быть пустым.После того, как вы удалите все значения, очистите кэш DNS. Пуск — Выполнить — команда cmd — в командной строке введите ipconfig /flushdns и нажмите Enter. Перезапустите браузер, проверьте наличие баннеров.

Действительно в двух CCS была эта дрянь 5.104.108.204, оставил только DNS-адреса провайдера - сайты касперского и прочих стали открываться, чистил кеш DNS, но, к сожалению эта гадость (sesearch.ru) со своими баннерами еще присутствует и гадит своими редиректами, несмотря даже на то, что в hosts прописал

127.0.0.1	   mg.dt00.net188.127.240.12	   sesearch.ru
Link to comment
Share on other sites

@dnk, пожалуйста, до окончания лечения не выполняйте никаких других действий, кроме тех, что советуют официальные консультанты. Поскольку Вы что-то удаляли (антивирусами), картина изменилась. Поэтому повторите весь комплект логов по правилам и будем продолжать.

Edited by Sandor
Link to comment
Share on other sites

Sandor

Просканировал систему сегодняшними базами Cureit в режиме повышенной защите - он тоже нашел зараженные объекты и грохнул их.

Далее воспользовался KIS по полной, но он пошел медленно (до 1% он дошел, ничего не нашел и я его выключил пока). Параллельно с KIS воспользовался программой Malwarebytes' Anti-Malware 1.75.0.1300 и вот только она, по ходу дела, уже на первых минутах запуска полной проверки нашла 4 подозрительных объекта и отправила их на карантин. Причем сразу же после этого тут же пропали ссылки-баннеры sesearch.ru в яндексе, вместо него появился ничего не появилось, а потом появился штатный flash-баннер яндекса (реклама машин и пр.) и все. Нашла программа аж 30 опасных объектов, но эта дрянь поисковая. Вот привожу лог Malwarebytes' Anti-Malware 1.75.0.1300:

Обнаруженные процессы в памяти:  0(Вредоносных программ не обнаружено)Обнаруженные модули в памяти:  0(Вредоносных программ не обнаружено)Обнаруженные ключи в реестре:  7HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{EEE6C35C-6118-11DC-9C72-001320C79847} (PUP.Optional.SweetPacks) -> Помещено в карантин и успешно удалено.HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35C-6118-11DC-9C72-001320C79847} (PUP.Optional.SweetPacks) -> Помещено в карантин и успешно удалено.HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} (Adware.MyCentria) -> Помещено в карантин и успешно удалено.HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} (Adware.MyCentria) -> Помещено в карантин и успешно удалено.HKCU\SOFTWARE\ADWare (Malware.Trace) -> Помещено в карантин и успешно удалено.HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETPROTOCOL (Trojan.Agent) -> Помещено в карантин и успешно удалено.HKLM\SYSTEM\CurrentControlSet\Services\Netprotocol (Trojan.Agent) -> Помещено в карантин и успешно удалено.Обнаруженные параметры в реестре:  0(Вредоносных программ не обнаружено)Объекты реестра обнаружены:  5HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Page_URL (Hijack.StartPage) -> Плохо: (http://www.smaxi.net) Хорошо: (http://www.google.com) -> Помещено в карантин и успешно исправлено.HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyDocs (PUM.Hijack.StartMenu) -> Плохо: (0) Хорошо: (1) -> Помещено в карантин и успешно исправлено.HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowHelp (PUM.Hijack.StartMenu) -> Плохо: (0) Хорошо: (1) -> Помещено в карантин и успешно исправлено.HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Page_URL (Hijack.StartPage) -> Плохо: (http://www.smaxi.net) Хорошо: (http://www.google.com) -> Помещено в карантин и успешно исправлено.HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Userinit (Hijack.UserInit) -> Плохо: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\apppatch\pqeeeq.exe,) Хорошо: (userinit.exe) -> Помещено в карантин и успешно исправлено.Обнаруженные папки:  0(Вредоносных программ не обнаружено)Обнаруженные файлы:  27C:\Program Files\BurnAware Professional\burnaware.professional..4.7.0-patch.exe (PUP.Hacktool.Patcher) -> Помещено в карантин и успешно удалено.C:\Program Files\GlobalSCAPE\CuteFTP 8 Professional\cuteftp.pro.8.3.4.0007-patch.exe (PUP.Hacktool.Patcher) -> Помещено в карантин и успешно удалено.C:\Program Files\ImTOO\DVD Audio Ripper 5\DVD Audio Ripper 5.0.46.1212 (patch).exe (PUP.Hacktool.Patcher) -> Помещено в карантин и успешно удалено.C:\Program Files\Internet Download Manager\IDM.v6.xx.release.3-patch.exe (PUP.Hacktool.Patcher) -> Помещено в карантин и успешно удалено.C:\Program Files\Multi Password Recovery\HookLib.dll (PUP.Hooker) -> Помещено в карантин и успешно удалено.C:\Program Files\Multi Password Recovery\UpdateChecker.exe (Riskware.MPR) -> Помещено в карантин и успешно удалено.C:\Program Files\Offline Explorer Enterprise\Patch.exe (PUP.Hacktool.Patcher) -> Помещено в карантин и успешно удалено.C:\Program Files\PasswordsPro 3.1.0.0\PasswordsPro.exe (PUP.PasswordsPro) -> Помещено в карантин и успешно удалено.C:\Program Files\PRMT9\Patch PROMT 9.exe (PUP.Hacktool.Patcher) -> Помещено в карантин и успешно удалено.C:\Program Files\Replay Media Catcher\patch.exe (Trojan.Agent.gen) -> Помещено в карантин и успешно удалено.C:\Program Files\WinRAR\Unipatch.exe (RiskWare.Tool.CK) -> Помещено в карантин и успешно удалено.C:\RECYCLER\S-1-5-18\$a76943e7ccd4e8b98e353355565db735\U\00000008.@ (Trojan.0Access) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP128\A0038966.exe (PUP.Optional.SweetIM) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP128\A0038967.dll (PUP.Optional.SweetIM) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP128\A0038968.dll (PUP.Optional.SweetIM) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP128\A0038969.exe (PUP.Optional.SweetIM) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP128\A0038970.dll (PUP.Optional.SweetIM) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP128\A0038972.dll (PUP.Optional.SweetIM) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP128\A0038973.dll (PUP.Optional.SweetIM) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP128\A0038974.dll (PUP.Optional.SweetIM) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP128\A0038975.dll (PUP.Optional.SweetIM) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP128\A0038977.dll (PUP.Optional.SweetIM) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP128\A0038978.dll (PUP.Optional.SweetPacks) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP129\A0039035.exe (Trojan.Downloader) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP132\A0039833.exe (PUP.Hacktool.Patcher) -> Помещено в карантин и успешно удалено.C:\WINDOWS\Installer\1e3990b.msi (PUP.Optional.SweetIM) -> Помещено в карантин и успешно удалено.C:\Documents and Settings\dnk\Application Data\igfxtray.dat (Malware.Trace) -> Помещено в карантин и успешно удалено.

Так вот, эта дрянь была где-то в первых указанных обнаруженных файлах - по ходу дела, в ключах реестра, т.к. патчеры это просто патчеры, но эта хорошая программа, разумеется (что правильно) посчитала и их хактулами, но я вам говорю, что дело здесь было не в патчерах, я в ключах реестра и в файлах восстановления, а также вот в последних указанных файлах. Последний (igfxtray) мне знаком еще по Conficker - эта дрянь, попавшая с зараженной машины через съемные накопители с работы, часто не давала мне покоя дома (на работе ПК общий - а раз общий, то никому ничего не надо, в плане "вирусной чистоты"). Обратите внимание: SweetPacks - это часть какой-то фишинговой программы-мессенджера типа SweetIM - дрянь какая-то, вообщем, которая, как я начинаю мимолетно вспоминать, по-моему, шла вместе с т.н. "torch-браузером", когда я то ли пытался скачать какой-то файл. Сейчас просто завал в интернете вот такой дряни, где предлагают, якобы, для скачивания файла еще что-то скачать, с помощью которого пойдет загрузка требуемого файла (на файлообменниках липовых это часто бывает), в т.ч. и т.н. margetgid.ru со своей рекламой, баннеры которого так любят помещать на торрент-ресурсах, потому что именно там постоянно вскакивают всплывающие окна, бесконечные баннеры, которые так и норовят залезть по мышь.

Кстати, после перезагрузки ПК с установленым KIS 14 ПК рухнул в BSOD (0x0000008E (0x000000C5.....) - видно, когда при старте ПК касперский начинает "шуровать", как он обычно и делает, он напарывается на какой-то драйвер, то ли свой то ли системный и все - этого уже достаточно, чтобы всё накрылось. Я уже давно им не пользуюсь (уже года 3 или 4), хотя раньше даже 1 раз в "белом ветре" лицензию покупал, но потом после заражения из-за того, что истек срок годовой лицензии (хотя ключ еще действовал 8 месяцев!!!!!!) меня по телефону послали на..., а также из-за того, что это ПО ужасно тормозит систему, вызывает, как выяснилось и до сих пор синие экраны, я удалил его тогда и сделал это сейчас. Хотя, не спорю, в новую оболочку разработчики внедрили много функционала...

Я, конечно, сделал точку восстановления, сейчас делаю бакап системы Acronis'ом. Посмотрю ситуацию в динамике, чтобы не дай Бог опять "вдруг" не возникло.

Если подытожить, что помогло:

1)

откройте Редактор реестра и раскройте следующую ветку: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\Tcpip\Parameters\Interfaces.В списке будет несколько подразделов. Щёлкните по каждому из них, и, в правой части, ищите строку NameServer. Если вы увидите, что он не пустая, но имеет значение "5.104.108.204" (зуб даю, что именно это), то удалите это значение. Во всех подразделах раздела Interfaces не должно остаться ни одного ключа, имеющего значение 5.104.108.204. Ключ NameServer вообще должен быть пустым.После того, как вы удалите все значения, очистите кэш DNS. Пуск — Выполнить — команда cmd — в командной строке введите ipconfig /flushdns и нажмите Enter. Перезапустите браузер, проверьте наличие баннеров.

2) ПО Cureit (усиленный режим), GMER, Scan&Destroy 1.62 и самое главное это ПО Malwarebytes' Anti-Malware 1.75.0.130:

Примерно сдедующие участки:

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{EEE6C35C-6118-11DC-9C72-001320C79847} (PUP.Optional.SweetPacks) -> Помещено в карантин и успешно удалено.HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35C-6118-11DC-9C72-001320C79847} (PUP.Optional.SweetPacks) -> Помещено в карантин и успешно удалено.HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} (Adware.MyCentria) -> Помещено в карантин и успешно удалено.HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} (Adware.MyCentria) -> Помещено в карантин и успешно удалено.HKCU\SOFTWARE\ADWare (Malware.Trace) -> Помещено в карантин и успешно удалено.HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETPROTOCOL (Trojan.Agent) -> Помещено в карантин и успешно удалено.HKLM\SYSTEM\CurrentControlSet\Services\Netprotocol (Trojan.Agent) -> Помещено в карантин и успешно удалено.HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Page_URL (Hijack.StartPage) -> Плохо: (http://www.smaxi.net) Хорошо: (http://www.google.com) -> Помещено в карантин и успешно исправлено.HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyDocs (PUM.Hijack.StartMenu) -> Плохо: (0) Хорошо: (1) -> Помещено в карантин и успешно исправлено.HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowHelp (PUM.Hijack.StartMenu) -> Плохо: (0) Хорошо: (1) -> Помещено в карантин и успешно исправлено.HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Page_URL (Hijack.StartPage) -> Плохо: (http://www.smaxi.net) Хорошо: (http://www.google.com) -> Помещено в карантин и успешно исправлено.HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Userinit (Hijack.UserInit) -> Плохо: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\apppatch\pqeeeq.exe,) Хорошо: (userinit.exe) -> Помещено в карантин и успешно исправлено.C:\RECYCLER\S-1-5-18\$a76943e7ccd4e8b98e353355565db735\U\00000008.@ (Trojan.0Access) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP128\A0038966.exe (PUP.Optional.SweetIM) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP128\A0038967.dll (PUP.Optional.SweetIM) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP128\A0038968.dll (PUP.Optional.SweetIM) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP128\A0038969.exe (PUP.Optional.SweetIM) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP128\A0038970.dll (PUP.Optional.SweetIM) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP128\A0038972.dll (PUP.Optional.SweetIM) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP128\A0038973.dll (PUP.Optional.SweetIM) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP128\A0038974.dll (PUP.Optional.SweetIM) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP128\A0038975.dll (PUP.Optional.SweetIM) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP128\A0038977.dll (PUP.Optional.SweetIM) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP128\A0038978.dll (PUP.Optional.SweetPacks) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP129\A0039035.exe (Trojan.Downloader) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP132\A0039833.exe (PUP.Hacktool.Patcher) -> Помещено в карантин и успешно удалено.C:\WINDOWS\Installer\1e3990b.msi (PUP.Optional.SweetIM) -> Помещено в карантин и успешно удалено.C:\Documents and Settings\dnk\Application Data\igfxtray.dat (Malware.Trace) -> Помещено в карантин и успешно удалено.

mbam-log-2013-08-07 (20-37-44).txt

mbam-log-2013-08-07 (20-37-44).txt

Link to comment
Share on other sites

@dnk, я разве просил Вас сканировать cureit, kis, mbam?

Наоборот, я попросил (вежливо) ничего такого не делать, а повторить комплект логов из правил - программы AVZ и RSIT.

Если Вы отказываетесь выполнять указания консультантов и предпочитаете самостоятельно решать проблему, можно попросить модераторов закрыть тему.

  • Upvote 1
Link to comment
Share on other sites

Guest
This topic is now closed to further replies.
 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...