![]() |
Внимание!!! "рекламная пауза"
Вложений: 2
Не открываются страницы вконтакте и мейл.ру,при попытке их открытия появляется сообщение Внимание!"рекламная пауза" и рекламный баннер,дальше инструкции,но толку от их выполнения нет,все повторяется.Я сделала все,что указано в разделе "лечение систем от вредноносных программ",но проблема осталась-теперь нет ни рекламы,ни указаний,просто пустая страница!
|
Выполните скрипт в AVZ:
Код:
begin Сайт 24w.ru сами ставили на стартовую? Если нет, то пофиксите в HijackThis: Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.24w.ru Код:
O9 - Extra button: Начни день с 24w.ru - {10954C80-4F0F-11d3-B17C-00C0DFE39737} - http://www.24w.ru (file missing) |
acid_vision, Здавствуйте. Добавлю к предыдущему посту.
У вас 2 антивируса, ESET NOD32 и по логам ещё DrWeb, оставьте один. см. Антивирусы - Как правильно удалить Антивирус(Ы) из системы Чистка системы после некорректного удаления антивируса Найдите с помощью AVZ – сервис – поиск файлов на диске или с помощью файлового менеджера, например FAR (если через проводник – включите показ скрытых файлов) и проверьте на http://www.virustotal.com/ или http://virscan.org/ файлы: Код:
C:\WINDOWS\system32\ckldrv.sys Запустите HiJackThis, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked". Код:
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - (no file) |
Вложений: 2
|
acid_vision, SiteAccess.dll - http://www.virustotal.com/ru/analisi...a23af91c89c3e6
Плагин какой-то вирусный. Его уже у Вас нет. Так у Вас vkontakte.ru заработал? |
Котяра, нет,не заработал к сожалению...=((и мейл.ру тоже
|
Найдите файл C:\WINDOWS\system32\drivers\etc\hosts Жмите правой кнопкой на него > Открыть с помощью, выбираете блокнот и заменяете весь текст на
Код:
127.0.0.1 localhost Для общего развития: В этом файле URL'у можно сопоставить любой IP-адрес. У вас сейчас там миллиону сайтов указан ваш внутренний IP-адрес. Т.е. когда вы набираете www.vkontakte.ru, mail.ru, icq.com или любой из тех, что указаны у вас в этом файле, браузер заходит не на сервер в интернете, а пытается найти его на 127.0.0.1 т.е. у вас на компе. Раньше когда у вас был вирус он запускал мини сервер, заходя на сайт вы перенаправлялись на него. Вирус удалили, а следы остались. Этот файл содержит сопоставления IP-адресов именам узлов. # Каждый элемент должен располагаться в отдельной строке. IP-адрес должен # находиться в первом столбце, за ним должно следовать соответствующее имя. # IP-адрес и имя узла должны разделяться хотя бы одним пробелом. add: не заметил, извиняюсь |
CaminoDeFlores, hosts уже очищался в скрипте командой ClearHostsFile
acid_vision, Выполните в AVZ скрипт Код:
begin Код:
begin AVPTool можете удалить Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner - скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected. - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected - нажмите No, если вы хотите оставить ваши сохраненные пароли - если вы используете Opera, нажмите Opera - Select All - Empty Selected - нажмите No, если вы хотите оставить ваши сохраненные пароли Скачайте Malwarebytes' Anti-Malware здесь, здесь, здесь или здесь. Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (удалить выделенные, внимание - проверьте то, что удаляете). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть). Базы МВАМ можно обновить отдельно - downloading the update MBAM Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. Установите Recovery Console по инструкции (на англ.яз) - how-to-use-combofix и здесь - скачайте установочный файл для своей ОС (например Windows XP с пакетом обновления 2 (SP2) - для Windows XP SP3 использовать этот же файл) на рабочий стол, закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix и установите Microsoft Recovery Console. Доп. см. Установочные диски для установки с гибкого диска. После установки консоли восстановления программа предложит запустить сканирование, подтвердите, нажав Yes. Когда процесс сканирования завершится, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Внимание! Перед запуском сканирования обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix и не нажимайте кнопки мыши. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Как использовать ComboFix - how-to-use-combofix (на англ.яз.) и здесь (на русском) Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe Cкачайте полиморфный AVZ, переименованный в game.pif здесь, сохраните в отдельную папку и запустите. Обновлять антивирусные базы для этой версии не требуется. Сделайте новые логи полиморфным AVZ virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ) и лог hijackthis |
Pili
Malwarebytes' Anti-Malware 1.36 Версия базы данных: 2162 Windows 5.1.2600 Service Pack 3 21.05.2009 17:31:16 mbam-log-2009-05-21 (17-31-16).txt Тип проверки: Полная (C:\|) Проверено объектов: 166101 Прошло времени: 1 hour(s), 8 minute(s), 55 second(s) Заражено процессов в памяти: 0 Заражено модулей в памяти: 0 Заражено ключей реестра: 7 Заражено значений реестра: 0 Заражено параметров реестра: 3 Заражено папок: 0 Заражено файлов: 6 Заражено процессов в памяти: (Вредоносные программы не обнаружены) Заражено модулей в памяти: (Вредоносные программы не обнаружены) Заражено ключей реестра: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3dc201fb-e9c9-499c-a11f-23c360d7c3f8} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{9ff05104-b030-46fc-94b8-81276e4e27df} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1d4db7d2-6ec9-47a3-bd87-1e41684e07bb} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\uti3otqy (Rootkit.Bagle) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\uti3otqy (Rootkit.Bagle) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\uti3otqy (Rootkit.Bagle) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Multimedia\WMPlayer\Schemes\f3pss (Adware.MyWebSearch) -> Quarantined and deleted successfully. Заражено значений реестра: (Вредоносные программы не обнаружены) Заражено параметров реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. Заражено папок: (Вредоносные программы не обнаружены) Заражено файлов: C:\System Volume Information\_restore{0ED7151D-5466-4ACC-B779-EF1E25502BDC}\RP637\A0161225.sys (Rootkit.Bagle) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{0ED7151D-5466-4ACC-B779-EF1E25502BDC}\RP638\A0161335.sys (Rootkit.Bagle) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{0ED7151D-5466-4ACC-B779-EF1E25502BDC}\RP638\A0161343.sys (Rootkit.Bagle) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{0ED7151D-5466-4ACC-B779-EF1E25502BDC}\RP639\A0161442.sys (Rootkit.Bagle) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{0ED7151D-5466-4ACC-B779-EF1E25502BDC}\RP639\A0161498.sys (Rootkit.Bagle) -> Quarantined and deleted successfully. C:\WINDOWS\system32\drivers\uti3otqy.sys (Rootkit.Bagle) -> Quarantined and deleted successfully. |
acid_vision, ждем остальные логи.
|
Вложений: 2
логи
|
acid_vision, по логам есть следы Dr.Web и AntiVir. У Вас оба стоят?
|
Котяра,я удалила Dr.Web и Eset Nod32 и установила AntiVir...но Dr.Web наверно как-то не так,раз он еще где-то фигурирует????
Pili Файл quarantine.zip отправьте на newvirus@kaspersky.com, в письме укажите пароль virus, когда придет ответ, сообщите, можете отправить также в вирлаб DrWeb ответ:Здравствуйте, В присланном Вами файле не найдено ничего вредоносного. |
Цитата:
|
akok,спасибо!!
|
Давайте еще посмотрим:
Скачайте DDS или с зеркала и сохраните на рабочий стол, отключите антивирус и запустите dds.scr, когда сканирование закончится, запакуйте файлы из файлов DDS.txt и Attach.txt и вложите в сообщение. Скачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его. |
Очень похоже что блокируется запись в реестре и изменение hosts файла. Вы защитное ПО отключали на время выполнения скрипта?
У вас Avira и DrWeb активны, есть ещё Spybot - Search & Destroy (и в нем teatimer - отключите временно), в Avira в настройках не установлена защита hosts файла? Если да -отключите. Нажмите пуск - выполнить - скопируйте в строчку Код:
attrib -r -s -h C:\WINDOWS\system32\drivers\etc\hosts Файл c:\windows\RiiQ.exe проверьте на virustotal.com и дайте ссылку на результат проверки. Отключите защитное ПО и выполните скрипт в AVZ Код:
begin Распакуйте файл AutorunDisabled.zip и примените reg файл Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. временно выключите антивирус, firewall и другое защитное программное обеспечение Код:
Folder:: ![]() Когда сохранится новый отчет ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Создайте новую контрольную точку восстановления и очистите предыдущие: - Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить - Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать В AVZ включите AVZM (см. правила) и сделайте новый лог virusinfo_syscheck.zip |
Цитата:
c:\windows\RiiQ.exe я попыталась проверить этот файл,но в этот же момент антивирус выдал,что это файл может нанести вред,я его отправила в карантин,попробовла еще раз проверить на virustotal.com,но там какая-то ошибка,а сейчас файла вообще нет в папке windows... |
Цитата:
Код:
attrib -r -s -h C:\WINDOWS\system32\drivers\etc\hosts |
Цитата:
Цитата:
![]() ![]() Вот как-то так :) |
Вложений: 1
akok,
RiiQ.exe так и назвал,а я удалила его из карантина и установила рускоязычную версию антивируса Цитата:
|
Вложений: 1
Pili, логи
|
Деинсталируйте Spybot - Search & Destroy
|
acid_vision, TeaTimer в Spybot - Search & Destroy отключали? Похоже нет, т.к. в реестр изменения не внеслись и hosts файл не изменился. Если не знаете как отключить teatimer, деинсталлируйте Search & Destroy
Деинсталлируйте ComboFix: нажмите пуск – выполнить - Combofix /u Скачайте OTCleanIt, запустите, нажмите CleanUp! Проверьте ещё файл c:\windows\system32\drivers\EKBfltr.sys нв virustotal.com Скачайте HostsXpert Распакуйте в папку C:\HostsXpert Запустите HostsExpert.exe, выберите "File Handling" и нажмите 'Restore MS Hosts file' и нажмите OK. Нажмите на "Make Read Only?", закройте программу. Запустите в AVZ, Файл - Мастер поиска и устранения проблем, выберите все системные проблемы, выставьте степень опасности "Все проблемы", исправьте найденные проблемы. То же самое можно выполнить в категории проблемы "Настройки и твики браузера". Проверьте наличие записей в файле C:\WINDOWS\system32\drivers\etc\hosts и наличие проблемы Если проблема останется: Скачайте Lop S&D Запустите Lop S&D и выберите Option 2 (Fix + Hosts) Не закрывайте окно в течение работы Lop S&D! После окончания сканирования скопируйте текст из файла C:\lopR.txt в сообщение или запакуйте файл и вложите в сообщение Скачайте OTListIt2, сохраните на рабочий стол и запустите, выберите: Scan All Users, Minimal Output, File Age: 30 Days, поставьте галочку LOP Check, Purity Check и в Extra Registry - Use Safe list. Нажмите Run Scan, когда закончится процесс сканирования, откроются два файла OTListIt.Txt и Extras.txt , скопируйте (Ctrl+A, Ctrl+C) текст из этих файлов и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте полученные логи C:\OTListIt.Txt и C:\Extras.txt и прикрепите к сообщению. |
Цитата:
|
Цитата:
Avira отключали? |
Avira отключала,точно!
HostsXpert помог,в C:\WINDOWS\system32\drivers\etc\hosts нет записей,вконтакте заработал,мейл.ру тоже))))))))) http://www.virustotal.com/ru/analisi...c61-1242987963 |
acid_vision, файл EKBfltr.sys чист. Очень странно, что AVZ не отрабатывал и не чистил hosts файл.
SpyBot можете теперь обратно поставить, полезная программа ) В завершение. Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner - скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected. - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected - нажмите No, если вы хотите оставить ваши сохраненные пароли - если вы используете Opera, нажмите Opera - Select All - Empty Selected - нажмите No, если вы хотите оставить ваши сохраненные пароли Создайте новую контрольную точку восстановления и очистите предыдущие: - Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить - Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать Выгрузите драйвер расширенного мониторинга процессов AVZ: запустите AVZ, в меню - AVZM - удалить и выгрузить драйвер расширенного мониторинга процессов и перезагрузите компьютер или выполните скрипт Код:
begin Рекомендую также использовать McAfee SiteAdvisor Регулярно устанавливаете обновления - http://windowsupdate.microsoft.com и обновляйте антивирусные базы По проблемам и вопросам, связанным с защитой ПК, советую посетить раздел Защита компьютерных систем Дополнительно можете протестировать и настроить безопасность с помощью Belarc Advisor доп. см. здесь И проверить программное обеспечения на безопасность и наличие обновлений с помощью Secunia Online Software Inspector (OSI) Советую прочитать Безопасный Интернет. Универсальная защита для Windows ME - Vista, Базовая концепция системы безопасности ОС Windows семейства NT Вы можете оказать помощь в сборе и пополнении базы чистых файлов AVZ Чистого вам интернета! |
спасибо огромное!!!!!!!!!!!!!а opera тоже плохо???
|
acid_vision, нет, но в Опере нет такого прекрасного инструмента, как NoScript и ещё в этом разделе было несколько случаев, когда вредоносный js (порноплагин) устанавливается в папку пользовательских скриптов оперы.
Вообще по теме браузеров вам лучше обратится в тему Opera 9, Mozilla FireFox |
обязательно обращусь,еще раз спасибо,я не думала,что можно решить проблему не отдавая куда-либо компьютер)))))
|
acid_vision, пожалуйста :) Рекомендации из поста 28 рекомендую не игнорировать, если настроите безопасность - уменьшите риск заражения.
Тема закрыта. Для открытия темы топикстартер может обратиться в РМ, для всех остальных - создавайте новую тему с учетом правил |
Время: 16:10. |
Время: 16:10.
© OSzone.net 2001-