ezhik666 Posted December 28, 2013 Report Share Posted December 28, 2013 (edited) Здравствуйте. Спасайте товарищи, нужен совет как избавится от этой гадости http://clip2net.com/s/6u3XBu такая фигня и фаервоксе и в опере. При клике в яндексе переадресовывает периодички на данный сайт ( что выше) Не нашла я лечения на вашем сайте. Чистила куки и журнал, антивирусы все что нашли- удалили, но проблему не решили. И еще будьте добры на пальцах объяснить)) p.s. поправьте меня, если что то не так сделала или перенаправьте - если это пропустила Edited December 28, 2013 by ezhik666 Link to comment Share on other sites More sharing options...
Yezhishe Posted December 28, 2013 Report Share Posted December 28, 2013 Выполните запрос согласно Правилам подраздела, пожалуйста. И - помните, что все рекомендации по лечению - индивидуальны! Выполнение рекомендаций, данных для чужой машины - может привести вашу ОС к полной неработоспособности! Link to comment Share on other sites More sharing options...
ezhik666 Posted December 28, 2013 Author Report Share Posted December 28, 2013 Выполните запрос согласно Правилам подраздела, пожалуйста. И - помните, что все рекомендации по лечению - индивидуальны! Выполнение рекомендаций, данных для чужой машины - может привести вашу ОС к полной неработоспособности! К сожалению нет кнопки отредактировать свое сообщение, поэтому скидываю остальное. если вы про это) CollectionLog-2013.12.28-19.58.zip CollectionLog-2013.12.28-19.58.zip Link to comment Share on other sites More sharing options...
akoK Posted December 28, 2013 Report Share Posted December 28, 2013 AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\Draziw\AppData\Local\Temp\11644694aq',''); DeleteFile('C:\Users\Draziw\AppData\Local\Temp\11644694aq','32'); DeleteFile('C:\Windows\system32\Tasks\At1.job','32'); DeleteFile('C:\Windows\system32\Tasks\At1','32'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true);end.После выполнения скрипта компьютер перезагрузится.begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Полученный архив отправьте при помощи этой формы Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.Если лог не открылся, то найти его можно в следующей папке: %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Link to comment Share on other sites More sharing options...
ezhik666 Posted December 28, 2013 Author Report Share Posted December 28, 2013 i Уведомление:Нет никакой нужды полностью цитировать предыдущие сообщения.Тем более - с той же страницы. MBAM-log-2013-12-29 (00-01-10).txt MBAM-log-2013-12-29 (00-01-10).txt Link to comment Share on other sites More sharing options...
ezhik666 Posted December 28, 2013 Author Report Share Posted December 28, 2013 насчет первого пункта не получается лог получить, т.е. открываю программу - вставляю- работает- говорит вс хорошо- перезагружает- захожу вот нету никакого атмм архива и все, два раза проделала и нет. ищу там же где и был первый лог, да и на всякий по всем папкам соседним побегала. Это архив должен быть? Link to comment Share on other sites More sharing options...
akoK Posted December 28, 2013 Report Share Posted December 28, 2013 Откройте AVZ - сервис - поиск данных в реестре. В поле "образец" впишите webalta, нажмите "пуск" после окончания сохраните протокол и выложите сюда. В MBAM удаляете все записи блоков: Обнаруженные параметры в реестре: Обнаруженные ключи в реестре: Объекты реестра обнаружены: Обнаруженные папки: 9C:\Users\Draziw\AppData\Roaming\Babylon (PUP.Optional.Babylon.A) -> Действие не было предпринято.C:\Program Files\Kinofilmoff.Net (Trojan.InfoStealer) -> Действие не было предпринято.C:\Program Files\SweetIM\Toolbars (PUP.Optional.SweetIM.A) -> Действие не было предпринято.C:\Program Files\SweetIM\Toolbars\Internet Explorer (PUP.Optional.SweetIM.A) -> Действие не было предпринято.C:\Program Files\SweetIM\Toolbars\Internet Explorer\Microsoft.VC90.CRT (PUP.Optional.SweetIM.A) -> Действие не было пр Обнаруженные файлы: 173C:\Program Files\SweetIM\Messenger\ContentPackagesActivationHandler.exe (PUP.Optional.SweetIM) -> Действие не было предпринято.C:\Program Files\SweetIM\Messenger\mgArchive.dll (PUP.Optional.SweetIM) -> Действие не было предпринято.C:\Program Files\SweetIM\Messenger\mgFlashPlayer.dll (PUP.Optional.SweetIM) -> Действие не было предпринято.C:\Program Files\SweetIM\Messenger\mgICQAuto.dll (PUP.Optional.SweetIM) -> Действие не было предпринято.C:\Program Files\SweetIM\Messenger\mgICQMessengerAdapter.dll (PUP.Optional.SweetIM) -> Действие не было предпринято.C:\Program Files\SweetIM\Messenger\mglogger.dll (PUP.Optional.SweetIM) -> Действие не было предпринято.C:\Program Files\SweetIM\Messenger\mgMediaPlayer.dll (PUP.Optional.SweetIM) -> Действие не было предпринято.C:\Program Files\SweetIM\Messenger\mgMsnAuto.dll (PUP.Optional.SweetIM) -> Действие не было предпринято.C:\Program Files\SweetIM\Messenger\mgMsnMessengerAdapter.dll (PUP.Optional.SweetIM) -> Действие не было предпринято.C:\Program Files\SweetIM\Messenger\mgSweetIM.dll (PUP.Optional.SweetIM) -> Действие не было предпринято.C:\Program Files\SweetIM\Messenger\mgYahooAuto.dll (PUP.Optional.SweetIM) -> Действие не было предпринято.C:\Program Files\SweetIM\Messenger\mgYahooMessengerAdapter.dll (PUP.Optional.SweetIM) -> Действие не было предпринято.C:\Program Files\SweetIM\Messenger\resources\sqlite\mgSqlite3.dll (PUP.Optional.SweetIM) -> Действие не было предпринято.C:\ProgramData\SweetIM\Messenger\update\sweetimsetup.exe (PUP.Optional.SweetIM) -> Действие не было предпринято.C:\Users\Draziw\Doctor Web\DrWeb CureIt Quarantine\01\F01726921E2BE57B0043763881D3133E397E1CAC614EB845C34DB72DE366859A (Adware.Agent) -> Действие не было предпринято.C:\Users\Draziw\Doctor Web\DrWeb CureIt Quarantine\EB\FEBF5CC29485EC65066805B5C91D0E412D18D18D818EB6104307243121978311 (Adware.Agent) -> Действие не было предпринято.C:\Windows\Installer\1e2b5a6.msi (PUP.Optional.SweetIM) -> Действие не было предпринято.C:\Users\Draziw\Local Settings\Application Data\Google\Chrome\User Data\Default\Local Storage\chrome-extension_bbjciahceamgodcoidkjpchnokgfpphh_0.localstorage (PUP.Funmoods) -> Действие не было предпринято.C:\Users\Draziw\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_bbjciahceamgodcoidkjpchnokgfpphh_0.localstorage (PUP.Funmoods) -> Действие не было предпринято.C:\Users\Draziw\AppData\Roaming\Funmoods\UpdateProc\UpdateTask.exe (PUP.FunMoods) -> Действие не было предпринято.C:\Users\Draziw\Local Settings\Application Data\Google\Chrome\User Data\Default\Local Storage\chrome-extension_cjpglkicenollcignonpgiafdgfeehoj_0.localstorage (PUP.FunMoods) -> Действие не было предпринято.C:\Users\Draziw\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_cjpglkicenollcignonpgiafdgfeehoj_0.localstorage (PUP.FunMoods) -> Действие не было предпринято.C:\Users\Draziw\AppData\Roaming\Babylon\log_file.txt (PUP.Optional.Babylon.A) -> Действие не было предпринято.C:\Users\Draziw\Documents\Application Data\explorer.dat (Trojan.Explorer) -> Действие не было предпринято. И делаем срез, что с проблемой? Link to comment Share on other sites More sharing options...
ezhik666 Posted December 28, 2013 Author Report Share Posted December 28, 2013 Это протокол. проблема исчезла, что то я даже пропустила этот момент))) думала что программа сканирует и все, т.е. она добралась до истины?:)спасибо за помощь, сейчас нужно еще что то делать? Export.txt Export.txt Link to comment Share on other sites More sharing options...
akoK Posted December 29, 2013 Report Share Posted December 29, 2013 Удалите все найденное в AVZ ключи с Webalta: ПКМ по списку - выбрать все - нажать "удалить отмеченное". Рекомендации после удаления вредоносного ПО Link to comment Share on other sites More sharing options...
ezhik666 Posted December 29, 2013 Author Report Share Posted December 29, 2013 проблема появилась снова. проделала все вышеперечисленное- не помогло(( Link to comment Share on other sites More sharing options...
edde Posted December 29, 2013 Report Share Posted December 29, 2013 Сделайте свежие логи. Link to comment Share on other sites More sharing options...
ezhik666 Posted December 29, 2013 Author Report Share Posted December 29, 2013 выкладываю следующую партию avz_log.txt MBAM-log-2013-12-29 (21-02-04).txt avz_log.txt MBAM-log-2013-12-29 (21-02-04).txt Link to comment Share on other sites More sharing options...
edde Posted December 29, 2013 Report Share Posted December 29, 2013 (edited) Логи авз virusinfo_syscure.zip и virusinfo_syscheck.zip из папки LOG прикрепите к следующему вашему(смотрите дату создания) сообщению, а так же лог RSIT. Удалите то что нашел мбам Edited December 29, 2013 by edde Link to comment Share on other sites More sharing options...
ezhik666 Posted December 30, 2013 Author Report Share Posted December 30, 2013 Логи авз virusinfo_syscure.zip и virusinfo_syscheck.zip из папки LOG прикрепите к следующему вашему(смотрите дату создания) сообщению, а так же лог RSIT. Удалите то что нашел мбам подскажите пожалуйста, как найти эти логи, поиск не дал результатов, в папке их тоже нет. все поудаляла все что находил. проблема вчера исчезла, сегодня опять, после перезагрузки появилась. Link to comment Share on other sites More sharing options...
Gesha45 Posted December 30, 2013 Report Share Posted December 30, 2013 Я избавился от подобной гадости удалив все ярлыки браузеров, а потом по новой их создав. Потом выполнил в AVZ стандартные скрипты и всё стало в норме. Link to comment Share on other sites More sharing options...
edde Posted December 30, 2013 Report Share Posted December 30, 2013 Логи в папке с программой авз в папке LOG, лог RSIT сделать не забудьте. Советом Gesha45 можете воспользоваться, ярлык браузера/ пкм/ свойства/ в поле объект потрите лишнее после пути к программе. Link to comment Share on other sites More sharing options...
Yezhishe Posted December 30, 2013 Report Share Posted December 30, 2013 По своему опыту с webalta могу присоветовать посмотреть также на свойства исполняемых файлов в папках браузеров. И, соответственно - стереть оттуда всё лишнее. Link to comment Share on other sites More sharing options...
ezhik666 Posted December 30, 2013 Author Report Share Posted December 30, 2013 вот такую сделала Link to comment Share on other sites More sharing options...
ezhik666 Posted December 30, 2013 Author Report Share Posted December 30, 2013 (edited) ап ! Предупреждение:"АП" - не приветствуется ни под каким видом. CollectionLog-2013.12.30-16.53.zip log.txt CollectionLog-2013.12.30-16.53.zip log.txt Edited December 30, 2013 by Yezhishe Link to comment Share on other sites More sharing options...
akoK Posted December 30, 2013 Report Share Posted December 30, 2013 (edited) Какой софт устанавливали перед возвращением проблемы и откуда качали? В данном случае идет подмена hosts файла + подмена DNS . Это другой зловред AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end;begin DeleteFile('C:\Windows\system32\Tasks\At1.job','32'); DeleteFile('C:\Windows\system32\Tasks\Funmoods','32'); DeleteFile('C:\Users\Draziw\AppData\Roaming\Funmoods\UPDATE~1\UPDATE~1.EXE','32'); DeleteFile('C:\Users\Draziw\AppData\Local\Temp\11644694aq','32'); BC_ImportDeletedList; BC_Activate; ExecuteSysClean; RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Полученный архив отправьте при помощи этой формы Пофиксить в HijackThis следующие строчки O17 - HKLM\System\CCS\Services\Tcpip\..\{29C02EB5-5AAA-411F-8542-550149B5DF92}: NameServer = 193.111.137.202,8.8.8.8O17 - HKLM\System\CCS\Services\Tcpip\..\{3a539854-6a70-11db-887c-806e6f6e6963}: NameServer = 193.111.137.202,8.8.8.8 Нужен свежий лог MBAM Подготовьте лог SecurityCheck by screen317 Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе. Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Search" и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R1].txt. Прикрепите отчет к своему следующему сообщению. Edited December 30, 2013 by akoK 1 Link to comment Share on other sites More sharing options...
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now