Jump to content
СофтФорум - всё о компьютерах и не только

sesearch.ru - как избавится


Recommended Posts

Здравствуйте.

Спасайте товарищи, нужен совет как избавится от этой гадости http://clip2net.com/s/6u3XBu 

такая фигня и фаервоксе и в опере. При клике в яндексе переадресовывает периодички на данный сайт ( что выше)

Не нашла я лечения на вашем сайте.

Чистила куки и журнал, антивирусы все что нашли- удалили, но проблему не решили.

И еще будьте добры на пальцах объяснить))

 

p.s. поправьте меня, если что то не так сделала или перенаправьте - если это пропустила

Edited by ezhik666
Link to comment
Share on other sites

Выполните запрос согласно Правилам подраздела, пожалуйста.

И - помните, что все рекомендации по лечению - индивидуальны! Выполнение рекомендаций, данных для чужой машины - может привести вашу ОС к полной неработоспособности!

Link to comment
Share on other sites

Выполните запрос согласно Правилам подраздела, пожалуйста.

И - помните, что все рекомендации по лечению - индивидуальны! Выполнение рекомендаций, данных для чужой машины - может привести вашу ОС к полной неработоспособности!

 К сожалению нет кнопки отредактировать свое сообщение, поэтому скидываю остальное.

если вы про это)

CollectionLog-2013.12.28-19.58.zip

CollectionLog-2013.12.28-19.58.zip

Link to comment
Share on other sites

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);if not IsWOW64 then  begin   SearchRootkit(true, true);   SetAVZGuardStatus(True);  end; QuarantineFile('C:\Users\Draziw\AppData\Local\Temp\11644694aq',''); DeleteFile('C:\Users\Draziw\AppData\Local\Temp\11644694aq','32'); DeleteFile('C:\Windows\system32\Tasks\At1.job','32'); DeleteFile('C:\Windows\system32\Tasks\At1','32'); BC_ImportALL;  ExecuteSysClean; BC_Activate; RebootWindows(true);end.
После выполнения скрипта компьютер перезагрузится.

begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.


Полученный архив отправьте при помощи этой формы
 

 

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если лог не открылся, то найти его можно в следующей папке:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
 Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Link to comment
Share on other sites

насчет первого пункта не получается лог получить, т.е. открываю программу - вставляю- работает- говорит вс хорошо- перезагружает- захожу вот нету никакого атмм архива и все, два раза проделала и нет. ищу там же где и был первый лог, да и на всякий по всем папкам соседним побегала. Это архив должен быть?

Link to comment
Share on other sites

Откройте AVZ - сервис - поиск данных в реестре. В поле "образец" впишите webalta, нажмите "пуск" после окончания сохраните протокол и выложите сюда.

 

В MBAM удаляете все записи  блоков:

  • Обнаруженные параметры в реестре:
  • Обнаруженные ключи в реестре:
  • Объекты реестра обнаружены: 
Обнаруженные папки:  9C:\Users\Draziw\AppData\Roaming\Babylon (PUP.Optional.Babylon.A) -> Действие не было предпринято.C:\Program Files\Kinofilmoff.Net (Trojan.InfoStealer) -> Действие не было предпринято.C:\Program Files\SweetIM\Toolbars (PUP.Optional.SweetIM.A) -> Действие не было предпринято.C:\Program Files\SweetIM\Toolbars\Internet Explorer (PUP.Optional.SweetIM.A) -> Действие не было предпринято.C:\Program Files\SweetIM\Toolbars\Internet Explorer\Microsoft.VC90.CRT (PUP.Optional.SweetIM.A) -> Действие не было пр
Обнаруженные файлы:  173C:\Program Files\SweetIM\Messenger\ContentPackagesActivationHandler.exe (PUP.Optional.SweetIM) -> Действие не было предпринято.C:\Program Files\SweetIM\Messenger\mgArchive.dll (PUP.Optional.SweetIM) -> Действие не было предпринято.C:\Program Files\SweetIM\Messenger\mgFlashPlayer.dll (PUP.Optional.SweetIM) -> Действие не было предпринято.C:\Program Files\SweetIM\Messenger\mgICQAuto.dll (PUP.Optional.SweetIM) -> Действие не было предпринято.C:\Program Files\SweetIM\Messenger\mgICQMessengerAdapter.dll (PUP.Optional.SweetIM) -> Действие не было предпринято.C:\Program Files\SweetIM\Messenger\mglogger.dll (PUP.Optional.SweetIM) -> Действие не было предпринято.C:\Program Files\SweetIM\Messenger\mgMediaPlayer.dll (PUP.Optional.SweetIM) -> Действие не было предпринято.C:\Program Files\SweetIM\Messenger\mgMsnAuto.dll (PUP.Optional.SweetIM) -> Действие не было предпринято.C:\Program Files\SweetIM\Messenger\mgMsnMessengerAdapter.dll (PUP.Optional.SweetIM) -> Действие не было предпринято.C:\Program Files\SweetIM\Messenger\mgSweetIM.dll (PUP.Optional.SweetIM) -> Действие не было предпринято.C:\Program Files\SweetIM\Messenger\mgYahooAuto.dll (PUP.Optional.SweetIM) -> Действие не было предпринято.C:\Program Files\SweetIM\Messenger\mgYahooMessengerAdapter.dll (PUP.Optional.SweetIM) -> Действие не было предпринято.C:\Program Files\SweetIM\Messenger\resources\sqlite\mgSqlite3.dll (PUP.Optional.SweetIM) -> Действие не было предпринято.C:\ProgramData\SweetIM\Messenger\update\sweetimsetup.exe (PUP.Optional.SweetIM) -> Действие не было предпринято.C:\Users\Draziw\Doctor Web\DrWeb CureIt Quarantine\01\F01726921E2BE57B0043763881D3133E397E1CAC614EB845C34DB72DE366859A (Adware.Agent) -> Действие не было предпринято.C:\Users\Draziw\Doctor Web\DrWeb CureIt Quarantine\EB\FEBF5CC29485EC65066805B5C91D0E412D18D18D818EB6104307243121978311 (Adware.Agent) -> Действие не было предпринято.C:\Windows\Installer\1e2b5a6.msi (PUP.Optional.SweetIM) -> Действие не было предпринято.C:\Users\Draziw\Local Settings\Application Data\Google\Chrome\User Data\Default\Local Storage\chrome-extension_bbjciahceamgodcoidkjpchnokgfpphh_0.localstorage (PUP.Funmoods) -> Действие не было предпринято.C:\Users\Draziw\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_bbjciahceamgodcoidkjpchnokgfpphh_0.localstorage (PUP.Funmoods) -> Действие не было предпринято.C:\Users\Draziw\AppData\Roaming\Funmoods\UpdateProc\UpdateTask.exe (PUP.FunMoods) -> Действие не было предпринято.C:\Users\Draziw\Local Settings\Application Data\Google\Chrome\User Data\Default\Local Storage\chrome-extension_cjpglkicenollcignonpgiafdgfeehoj_0.localstorage (PUP.FunMoods) -> Действие не было предпринято.C:\Users\Draziw\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_cjpglkicenollcignonpgiafdgfeehoj_0.localstorage (PUP.FunMoods) -> Действие не было предпринято.C:\Users\Draziw\AppData\Roaming\Babylon\log_file.txt (PUP.Optional.Babylon.A) -> Действие не было предпринято.C:\Users\Draziw\Documents\Application Data\explorer.dat (Trojan.Explorer) -> Действие не было предпринято.

И делаем срез, что с проблемой?

Link to comment
Share on other sites

Это протокол. проблема исчезла, что то я даже пропустила этот момент))) думала что программа сканирует и все, т.е. она добралась до истины?:)
спасибо за помощь, сейчас нужно еще что то делать?

Export.txt

Export.txt

Link to comment
Share on other sites

Удалите все найденное в AVZ ключи с Webalta: ПКМ по списку - выбрать все - нажать "удалить отмеченное".


Рекомендации после удаления вредоносного ПО

Link to comment
Share on other sites

Логи авз virusinfo_syscure.zip и virusinfo_syscheck.zip из папки LOG прикрепите к следующему вашему(смотрите дату создания) сообщению, а так же лог RSIT. Удалите то что нашел мбам

Edited by edde
Link to comment
Share on other sites

Логи авз virusinfo_syscure.zip и virusinfo_syscheck.zip из папки LOG прикрепите к следующему вашему(смотрите дату создания) сообщению, а так же лог RSIT. Удалите то что нашел мбам

подскажите пожалуйста, как найти эти логи, поиск не дал результатов, в папке их тоже нет.

все поудаляла все что находил. проблема вчера исчезла, сегодня опять, после перезагрузки появилась.

Link to comment
Share on other sites

Я избавился от подобной гадости удалив все ярлыки браузеров, а потом по новой их создав. Потом выполнил в AVZ стандартные скрипты и всё стало в норме.

Link to comment
Share on other sites

Логи в папке с программой авз в папке LOG, лог RSIT сделать не забудьте.

Советом Gesha45 можете воспользоваться, ярлык браузера/ пкм/ свойства/ в поле объект потрите лишнее после пути к программе.

Link to comment
Share on other sites

По своему опыту с webalta могу присоветовать посмотреть также на свойства исполняемых файлов в папках браузеров. И, соответственно - стереть оттуда всё лишнее.

Link to comment
Share on other sites

Какой софт устанавливали перед возвращением проблемы и откуда качали?

 

В данном случае идет подмена hosts файла + подмена DNS . Это другой зловред

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);if not IsWOW64 then  begin   SearchRootkit(true, true);   SetAVZGuardStatus(True);  end;begin DeleteFile('C:\Windows\system32\Tasks\At1.job','32'); DeleteFile('C:\Windows\system32\Tasks\Funmoods','32'); DeleteFile('C:\Users\Draziw\AppData\Roaming\Funmoods\UPDATE~1\UPDATE~1.EXE','32'); DeleteFile('C:\Users\Draziw\AppData\Local\Temp\11644694aq','32'); BC_ImportDeletedList; BC_Activate; ExecuteSysClean; RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.
 

begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Полученный архив отправьте при помощи этой формы
 

 

Пофиксить в HijackThis следующие строчки

O17 - HKLM\System\CCS\Services\Tcpip\..\{29C02EB5-5AAA-411F-8542-550149B5DF92}: NameServer = 193.111.137.202,8.8.8.8O17 - HKLM\System\CCS\Services\Tcpip\..\{3a539854-6a70-11db-887c-806e6f6e6963}: NameServer = 193.111.137.202,8.8.8.8

Нужен свежий лог MBAM

 

Подготовьте лог  SecurityCheck by screen317

 

 

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Search" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R1].txt.
  • Прикрепите отчет к своему следующему сообщению.
Edited by akoK
  • Upvote 1
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...