[regist]

Цитата:

подскажите что делать

.......
Вам нужна помощь? Нам нужны ваши логи! Если их не будет, мы отправим вас в эту тему.

[igg751111]

логи!

[regist]

Здравствуйте!

BetterSurf Plus V1 [1.1], RelevantKnowledge [1.3.331.322] - деинсталируйте.

Guard@Mail.Ru - если не используете тоже.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true); 
 QuarantineFile('C:\Program Files\Internet Explorer\iexplore.url','');
 DeleteFile('C:\Program Files\Internet Explorer\iexplore.url','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','CMD');
 ExecuteRepair(3);
 ExecuteRepair(4);
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.

после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[igg751111]

логи

[regist]

ещё деинсталируйте RelevantKnowledge [1.3.331.322] деинсталируйте, а также ZaycevNet Browser [1.0.5064.35144]
Этот браузер на самом деле является нежелательном ПО, вот реакция антвирусов на него https://www.virustotal.com/ru/file/6...8d75/analysis/

Вам знакомы файлы указанные ниже ?

Код:

C:\Windows\System32\Music_St_Peterburg_Music_for_the_soul_head_heart_body_and_mind_10084_Muzyka_Sankt-Peterburga_Saksofon-saxophone_9835_-_Muzyka_dlya_Dushi_golovy_serdca_tela_i_mysley_Music_for_the_soul_head_heart_body_and.lnk
C:\Windows\System32\Club-RAY---3062012-Samye-luchshie-treki-u-menya-id133659587-13062011--Fuck-Me-I39m-Famous----tegi-2012-hit-leta-zimy-vesny-leto-vesna-katya-sambuka-tony-igy-dj-next-4k-sarevan-minimal-techno-spartaq.com).lnk [C:\Users\HP\Desktop\ПРОСЛУШАТЬ\ВЗВОД\Club-RAY---3062012-Samye-luchshie-treki-u-menya-id133659587-13062011--Fuck-Me-I39m-Famous----tegi-2012-hit-leta-zimy-vesny-leto-vesna-katya-sambuka-tony-igy-dj-next-4k-sarevan-minimal-techno-spartaque--dj(muzofon.com).mp3  [(Дата=25.11.2013 Время=01:51:48 Размер=5327.3 Кб) [266902F24CAC9F58072E972285C7AE3C]]]
C:\Windows\System32\Music_St_Peterburg_Music_for_the_soul_head_heart_body_and_mind_10084_Muzyka_Sankt-Peterburga_Saksofon-saxophone_9835_-_Muzyka_dlya_Dushi_golovy_serdca_tela_i_mysley_Music_for_the_soul_head_heart_body_and.lnk [C:\Users\HP\Desktop\Music_St_Peterburg_Music_for_the_soul_head_heart_body_and_mind_10084_Muzyka_Sankt-Peterburga_Saksofon-saxophone_9835_-_Muzyka_dlya_Dushi_golovy_serdca_tela_i_mysley_Music_for_the_soul_head_heart_body_and_mind_10084_Muzyka_Sank.mp3  (File not found)]

Профиксите в HijackThis

Код:

O2 - BHO: BetterSurf - {6E3C6B04-08FE-43BC-8E50-F90285024DEA} - C:\Program Files\BetterSurf\ie\BetterSurf.dll (file missing)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre7\bin\ssv.dll
O2 - BHO: BetterSrf - {8271B5D6-76D3-4ABF-AEB3-1721161C76BC} - C:\Program Files\Better-Surf\ie\BetterSrf.dll (file missing)
O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Отправить в OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file)
O9 - Extra 'Tools' menuitem: &Отправить в OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file)
O9 - Extra button: &Связанные заметки OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - (no file)
O9 - Extra 'Tools' menuitem: &Связанные заметки OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - (no file)

Папку

Код:

C:\Program Files\MediaPlayerV1

удалите вручную.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:

Код:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве


Чтобы полностью удалить webalta, запустите AVZ - сервис - Поиск данных в реестре. В строку "образец" впишите webalta, нажмите "начать поиск", сохраните протокол и выложите в ответ. НИЧЕГО НЕ УДАЛЯЙТЕ САМОСТОЯТЕЛЬНО !!!.

[igg751111]

ZaycevNet Browser удалил, RelevantKnowledge не могу найти. Файлы в папке system32 не знакомы!

[Sandor]

Цитата regist:

Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt. Прикрепите отчет к своему следующему сообщению. »

Еще этот, пожалуйста.

[igg751111]

1234

[Sandor]

На результатах поиска AVZ правой кнопкой - Выделить все - Удалить отмеченные.

• Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Clean" и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

Если уже закрыли MBAM, повторите сканирование (можно только диск С) и удалите все, кроме:

Цитата:

Обнаруженные файлы: C:\Program Files\Common Files\microsoft shared\Smart Tag\SmartTagInstall.exe (Trojan.FakeMS) -> Действие не было предпринято. C:\Program Files\Windows Defender\MpCmdRun.exe (Trojan.FakeMS) -> Действие не было предпринято. C:\Program Files\Windows Journal\PDIALOG.exe (Trojan.FakeMS) -> Действие не было предпринято. C:\Program Files\Microsoft Games\Mahjong\Mahjong.exe (Trojan.FakeMS) -> Действие не было предпринято. C:\Program Files\Microsoft Games\SpiderSolitaire\SpiderSolitaire.exe (Trojan.FakeMS) -> Действие не было предпринято. C:\Windows\winsxs\x86_microsoft-windows-s..inboxgames-shanghai_31bf3856ad364e35_6.1.7600.16385_none_c07a51d9507d9398\Mahjong.exe (Trojan.FakeMS) -> Действие не было предпринято. C:\Windows\winsxs\x86_microsoft-windows-s..mes-spidersolitaire_31bf3856ad364e35_6.1.7600.16385_none_828e8a89d6a2ba3d\SpiderSolitaire.exe (Trojan.FakeMS) -> Действие не было предпринято. C:\Windows\winsxs\x86_microsoft-windows-vssservice_31bf3856ad364e35_6.1.7600.16385_none_5aa3249a792b0938\VSSVC.exe (Trojan.FakeMS) -> Действие не было предпринято. C:\Windows\winsxs\x86_microsoft-windows-wmpnss-service_31bf3856ad364e35_6.1.7600.16385_none_035d21f62fe736df\wmpnetwk.exe (Trojan.FakeMS) -> Действие не было предпринято. C:\Users\HP\Desktop\Мои документы\программы\DTLite4452-0287.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято. C:\Users\HP\Desktop\Мои документы\программы\Astroburn Pro v3.0.0.0172 Final + Portable ML_RUS\AstroburnPro300-0172.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято. C:\Users\HP\Desktop\Мои документы\программы\UltraISO Premium Edition v9.5.3.2901 Final Ml_Rus\Retail\Keygens\Keygen-ZWT\keygen.exe (Riskware.Tool.CK) -> Действие не было предпринято.

Повторите сканирование MBAM и приложите новый лог.