ezhik666 Опубликовано 28 декабря, 2013 Жалоба Поделиться Опубликовано 28 декабря, 2013 (изменено) Здравствуйте. Спасайте товарищи, нужен совет как избавится от этой гадости http://clip2net.com/s/6u3XBu такая фигня и фаервоксе и в опере. При клике в яндексе переадресовывает периодички на данный сайт ( что выше) Не нашла я лечения на вашем сайте. Чистила куки и журнал, антивирусы все что нашли- удалили, но проблему не решили. И еще будьте добры на пальцах объяснить)) p.s. поправьте меня, если что то не так сделала или перенаправьте - если это пропустила Изменено 28 декабря, 2013 пользователем ezhik666 Ссылка на комментарий Поделиться на другие сайты Поделиться
Yezhishe Опубликовано 28 декабря, 2013 Жалоба Поделиться Опубликовано 28 декабря, 2013 Выполните запрос согласно Правилам подраздела, пожалуйста. И - помните, что все рекомендации по лечению - индивидуальны! Выполнение рекомендаций, данных для чужой машины - может привести вашу ОС к полной неработоспособности! Ссылка на комментарий Поделиться на другие сайты Поделиться
ezhik666 Опубликовано 28 декабря, 2013 Автор Жалоба Поделиться Опубликовано 28 декабря, 2013 Выполните запрос согласно Правилам подраздела, пожалуйста. И - помните, что все рекомендации по лечению - индивидуальны! Выполнение рекомендаций, данных для чужой машины - может привести вашу ОС к полной неработоспособности! К сожалению нет кнопки отредактировать свое сообщение, поэтому скидываю остальное. если вы про это) CollectionLog-2013.12.28-19.58.zip CollectionLog-2013.12.28-19.58.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 28 декабря, 2013 Жалоба Поделиться Опубликовано 28 декабря, 2013 AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\Draziw\AppData\Local\Temp\11644694aq',''); DeleteFile('C:\Users\Draziw\AppData\Local\Temp\11644694aq','32'); DeleteFile('C:\Windows\system32\Tasks\At1.job','32'); DeleteFile('C:\Windows\system32\Tasks\At1','32'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true);end.После выполнения скрипта компьютер перезагрузится.begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Полученный архив отправьте при помощи этой формы Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.Если лог не открылся, то найти его можно в следующей папке: %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Ссылка на комментарий Поделиться на другие сайты Поделиться
ezhik666 Опубликовано 28 декабря, 2013 Автор Жалоба Поделиться Опубликовано 28 декабря, 2013 i Уведомление:Нет никакой нужды полностью цитировать предыдущие сообщения.Тем более - с той же страницы. MBAM-log-2013-12-29 (00-01-10).txt MBAM-log-2013-12-29 (00-01-10).txt Ссылка на комментарий Поделиться на другие сайты Поделиться
ezhik666 Опубликовано 28 декабря, 2013 Автор Жалоба Поделиться Опубликовано 28 декабря, 2013 насчет первого пункта не получается лог получить, т.е. открываю программу - вставляю- работает- говорит вс хорошо- перезагружает- захожу вот нету никакого атмм архива и все, два раза проделала и нет. ищу там же где и был первый лог, да и на всякий по всем папкам соседним побегала. Это архив должен быть? Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 28 декабря, 2013 Жалоба Поделиться Опубликовано 28 декабря, 2013 Откройте AVZ - сервис - поиск данных в реестре. В поле "образец" впишите webalta, нажмите "пуск" после окончания сохраните протокол и выложите сюда. В MBAM удаляете все записи блоков: Обнаруженные параметры в реестре: Обнаруженные ключи в реестре: Объекты реестра обнаружены: Обнаруженные папки: 9C:\Users\Draziw\AppData\Roaming\Babylon (PUP.Optional.Babylon.A) -> Действие не было предпринято.C:\Program Files\Kinofilmoff.Net (Trojan.InfoStealer) -> Действие не было предпринято.C:\Program Files\SweetIM\Toolbars (PUP.Optional.SweetIM.A) -> Действие не было предпринято.C:\Program Files\SweetIM\Toolbars\Internet Explorer (PUP.Optional.SweetIM.A) -> Действие не было предпринято.C:\Program Files\SweetIM\Toolbars\Internet Explorer\Microsoft.VC90.CRT (PUP.Optional.SweetIM.A) -> Действие не было пр Обнаруженные файлы: 173C:\Program Files\SweetIM\Messenger\ContentPackagesActivationHandler.exe (PUP.Optional.SweetIM) -> Действие не было предпринято.C:\Program Files\SweetIM\Messenger\mgArchive.dll (PUP.Optional.SweetIM) -> Действие не было предпринято.C:\Program Files\SweetIM\Messenger\mgFlashPlayer.dll (PUP.Optional.SweetIM) -> Действие не было предпринято.C:\Program Files\SweetIM\Messenger\mgICQAuto.dll (PUP.Optional.SweetIM) -> Действие не было предпринято.C:\Program Files\SweetIM\Messenger\mgICQMessengerAdapter.dll (PUP.Optional.SweetIM) -> Действие не было предпринято.C:\Program Files\SweetIM\Messenger\mglogger.dll (PUP.Optional.SweetIM) -> Действие не было предпринято.C:\Program Files\SweetIM\Messenger\mgMediaPlayer.dll (PUP.Optional.SweetIM) -> Действие не было предпринято.C:\Program Files\SweetIM\Messenger\mgMsnAuto.dll (PUP.Optional.SweetIM) -> Действие не было предпринято.C:\Program Files\SweetIM\Messenger\mgMsnMessengerAdapter.dll (PUP.Optional.SweetIM) -> Действие не было предпринято.C:\Program Files\SweetIM\Messenger\mgSweetIM.dll (PUP.Optional.SweetIM) -> Действие не было предпринято.C:\Program Files\SweetIM\Messenger\mgYahooAuto.dll (PUP.Optional.SweetIM) -> Действие не было предпринято.C:\Program Files\SweetIM\Messenger\mgYahooMessengerAdapter.dll (PUP.Optional.SweetIM) -> Действие не было предпринято.C:\Program Files\SweetIM\Messenger\resources\sqlite\mgSqlite3.dll (PUP.Optional.SweetIM) -> Действие не было предпринято.C:\ProgramData\SweetIM\Messenger\update\sweetimsetup.exe (PUP.Optional.SweetIM) -> Действие не было предпринято.C:\Users\Draziw\Doctor Web\DrWeb CureIt Quarantine\01\F01726921E2BE57B0043763881D3133E397E1CAC614EB845C34DB72DE366859A (Adware.Agent) -> Действие не было предпринято.C:\Users\Draziw\Doctor Web\DrWeb CureIt Quarantine\EB\FEBF5CC29485EC65066805B5C91D0E412D18D18D818EB6104307243121978311 (Adware.Agent) -> Действие не было предпринято.C:\Windows\Installer\1e2b5a6.msi (PUP.Optional.SweetIM) -> Действие не было предпринято.C:\Users\Draziw\Local Settings\Application Data\Google\Chrome\User Data\Default\Local Storage\chrome-extension_bbjciahceamgodcoidkjpchnokgfpphh_0.localstorage (PUP.Funmoods) -> Действие не было предпринято.C:\Users\Draziw\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_bbjciahceamgodcoidkjpchnokgfpphh_0.localstorage (PUP.Funmoods) -> Действие не было предпринято.C:\Users\Draziw\AppData\Roaming\Funmoods\UpdateProc\UpdateTask.exe (PUP.FunMoods) -> Действие не было предпринято.C:\Users\Draziw\Local Settings\Application Data\Google\Chrome\User Data\Default\Local Storage\chrome-extension_cjpglkicenollcignonpgiafdgfeehoj_0.localstorage (PUP.FunMoods) -> Действие не было предпринято.C:\Users\Draziw\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_cjpglkicenollcignonpgiafdgfeehoj_0.localstorage (PUP.FunMoods) -> Действие не было предпринято.C:\Users\Draziw\AppData\Roaming\Babylon\log_file.txt (PUP.Optional.Babylon.A) -> Действие не было предпринято.C:\Users\Draziw\Documents\Application Data\explorer.dat (Trojan.Explorer) -> Действие не было предпринято. И делаем срез, что с проблемой? Ссылка на комментарий Поделиться на другие сайты Поделиться
ezhik666 Опубликовано 28 декабря, 2013 Автор Жалоба Поделиться Опубликовано 28 декабря, 2013 Это протокол. проблема исчезла, что то я даже пропустила этот момент))) думала что программа сканирует и все, т.е. она добралась до истины?:)спасибо за помощь, сейчас нужно еще что то делать? Export.txt Export.txt Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 29 декабря, 2013 Жалоба Поделиться Опубликовано 29 декабря, 2013 Удалите все найденное в AVZ ключи с Webalta: ПКМ по списку - выбрать все - нажать "удалить отмеченное". Рекомендации после удаления вредоносного ПО Ссылка на комментарий Поделиться на другие сайты Поделиться
ezhik666 Опубликовано 29 декабря, 2013 Автор Жалоба Поделиться Опубликовано 29 декабря, 2013 проблема появилась снова. проделала все вышеперечисленное- не помогло(( Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 29 декабря, 2013 Жалоба Поделиться Опубликовано 29 декабря, 2013 Сделайте свежие логи. Ссылка на комментарий Поделиться на другие сайты Поделиться
ezhik666 Опубликовано 29 декабря, 2013 Автор Жалоба Поделиться Опубликовано 29 декабря, 2013 выкладываю следующую партию avz_log.txt MBAM-log-2013-12-29 (21-02-04).txt avz_log.txt MBAM-log-2013-12-29 (21-02-04).txt Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 29 декабря, 2013 Жалоба Поделиться Опубликовано 29 декабря, 2013 (изменено) Логи авз virusinfo_syscure.zip и virusinfo_syscheck.zip из папки LOG прикрепите к следующему вашему(смотрите дату создания) сообщению, а так же лог RSIT. Удалите то что нашел мбам Изменено 29 декабря, 2013 пользователем edde Ссылка на комментарий Поделиться на другие сайты Поделиться
ezhik666 Опубликовано 30 декабря, 2013 Автор Жалоба Поделиться Опубликовано 30 декабря, 2013 Логи авз virusinfo_syscure.zip и virusinfo_syscheck.zip из папки LOG прикрепите к следующему вашему(смотрите дату создания) сообщению, а так же лог RSIT. Удалите то что нашел мбам подскажите пожалуйста, как найти эти логи, поиск не дал результатов, в папке их тоже нет. все поудаляла все что находил. проблема вчера исчезла, сегодня опять, после перезагрузки появилась. Ссылка на комментарий Поделиться на другие сайты Поделиться
Gesha45 Опубликовано 30 декабря, 2013 Жалоба Поделиться Опубликовано 30 декабря, 2013 Я избавился от подобной гадости удалив все ярлыки браузеров, а потом по новой их создав. Потом выполнил в AVZ стандартные скрипты и всё стало в норме. Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 30 декабря, 2013 Жалоба Поделиться Опубликовано 30 декабря, 2013 Логи в папке с программой авз в папке LOG, лог RSIT сделать не забудьте. Советом Gesha45 можете воспользоваться, ярлык браузера/ пкм/ свойства/ в поле объект потрите лишнее после пути к программе. Ссылка на комментарий Поделиться на другие сайты Поделиться
Yezhishe Опубликовано 30 декабря, 2013 Жалоба Поделиться Опубликовано 30 декабря, 2013 По своему опыту с webalta могу присоветовать посмотреть также на свойства исполняемых файлов в папках браузеров. И, соответственно - стереть оттуда всё лишнее. Ссылка на комментарий Поделиться на другие сайты Поделиться
ezhik666 Опубликовано 30 декабря, 2013 Автор Жалоба Поделиться Опубликовано 30 декабря, 2013 вот такую сделала Ссылка на комментарий Поделиться на другие сайты Поделиться
ezhik666 Опубликовано 30 декабря, 2013 Автор Жалоба Поделиться Опубликовано 30 декабря, 2013 (изменено) ап ! Предупреждение:"АП" - не приветствуется ни под каким видом. CollectionLog-2013.12.30-16.53.zip log.txt CollectionLog-2013.12.30-16.53.zip log.txt Изменено 30 декабря, 2013 пользователем Yezhishe Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 30 декабря, 2013 Жалоба Поделиться Опубликовано 30 декабря, 2013 (изменено) Какой софт устанавливали перед возвращением проблемы и откуда качали? В данном случае идет подмена hosts файла + подмена DNS . Это другой зловред AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end;begin DeleteFile('C:\Windows\system32\Tasks\At1.job','32'); DeleteFile('C:\Windows\system32\Tasks\Funmoods','32'); DeleteFile('C:\Users\Draziw\AppData\Roaming\Funmoods\UPDATE~1\UPDATE~1.EXE','32'); DeleteFile('C:\Users\Draziw\AppData\Local\Temp\11644694aq','32'); BC_ImportDeletedList; BC_Activate; ExecuteSysClean; RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Полученный архив отправьте при помощи этой формы Пофиксить в HijackThis следующие строчки O17 - HKLM\System\CCS\Services\Tcpip\..\{29C02EB5-5AAA-411F-8542-550149B5DF92}: NameServer = 193.111.137.202,8.8.8.8O17 - HKLM\System\CCS\Services\Tcpip\..\{3a539854-6a70-11db-887c-806e6f6e6963}: NameServer = 193.111.137.202,8.8.8.8 Нужен свежий лог MBAM Подготовьте лог SecurityCheck by screen317 Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе. Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Search" и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R1].txt. Прикрепите отчет к своему следующему сообщению. Изменено 30 декабря, 2013 пользователем akoK 1 Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Для публикации сообщений создайте учётную запись или авторизуйтесь
Вы должны быть пользователем, чтобы оставить комментарий
Создать учетную запись
Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!
Регистрация нового пользователяВойти
Уже есть аккаунт? Войти в систему.
Войти