Мешают самовсплывающие вкладки на браузере
 

Здравствуйте! Комп нахватался вредоносных программ. Теперь в браузере самопроизвольно открываются вкладки различных сайтов (игровые и торговые). Иногда это происходит при нажатии какой либо опции (например "перевод" в онлайн-переводчике). На днях самоудалился скайп из автозагрузки. Прилагаю логи в архиве. Если логи не установятся, значит у меня исчерпан лимит для вложения. Я не знаю как его очистить. Помогите.

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Пересоздайте ярлыки для браузеров.

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве

Сделал. Только теперь у меня исчерпан лимит вложений. Как его очистить?

Личный кабинет => Вложения

В MBAM удалите все кроме:

После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

"Личный блокнот" нашел, "Личные сообщения" нашел, а "Личный кабинет" не нашел. Может быть укажите мне путь подробнее?
Открыл МВАМ, нажал "Отчеты". Там высветилось нечто не похожее, на то, что написали Вы. Там указаны текстовые фалы отчета. Поэтому я в недоумении, что мне удалять, а что "кроме"... Пока не предпринимаю ничего...
Поясните мне как ребенку, более подробно.

postoronim, Профиль - Разное (файлы)

Спасибо! Личный кабинет нашел и вложения вычистил. А вот как выполнить задание ув. mike 1 по-прежнему не знаю.

Удалил через МВАМ что требовалось. Прилагаю отчет.

Вот это зря удалили:

Восстанавливайте теперь эти записи по этой http://safezone.cc/threads/faq-po-ra...malware.16050/ инструкции

После восстановления еще раз просканируйте и прикрепите новый лог MBAM.

Кажется восстановил.

Сделайте новые логи по правилам диагностики.

Сделано.

Прошу прощения за длительный ответ.

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R1].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Сделал.

• Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan".
• По окончанию сканирования снимите галочки со следующих строк:
  
  Код:

  ---

  Folder Found C:\Program Files\Mail.Ru
Folder Found C:\Users\Александр\AppData\Local\Mail.Ru
Value Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Run [MailRuUpdater]

  ---

• Нажмите кнопку "Clean" и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

Еще раз сделайте лог MBAM.

Я просканировал. Но прога либо зависла либо еще что... я ее поведение не понял. Никаких строк я не увидел, поэтому галочки снимать не откуда было. Я решил нажать "очистить"... подумалось, может тогда предложат мне какие-то строки. Но эта зараза стала чистить без всяких вопросов. Что она там вычистила, наверное, известно из отчета.

Сделайте лог MBAM.

Сделал. Но появились новые трудности: во-первых, опять проникли вредоносные проги, которые стали выделять ключевые слова и цифры в текстах как кнопки-ссылки на разные торговые сайты. Браузер Гугл-Хром, который всегда работал отлично, стал зависать или при переключении вкладок изображение дергает вверх-вниз.

В MBAM удалите все кроме:

После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

Я не знаю, где надо искать то, что надо удалять и то, что не надо удалять. Если в отчете, то там нет этих троянов.

В MBAM нужно удалить все кроме указанных записей. Вот http://safezone.cc/threads/faq-po-ra...malware.16050/ инструкция как удалить объекты в MBAM.

Сделано.

Хорошо. Теперь сделайте новые логи по правилам диагностики.

Сделано. Но у меня по-прежнему в браузере Гугл Хром остается какая-то зараза, которая превращает некоторые слова и цифры в активные ссылки-кнопки. По ним я попадаю на зараженные сайты

Здравствуйте!

1) Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):


2) Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

3) выполните 2-й стандартный скрипт такой версией AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.

4) Удалите/отключите все расширения в Хроме.

Сделал. Отправил по форме. По третьему пункту выполнил. Но не могу найти файл virusinfo_syscheck.zip. По п.4 зашел в настройки - расширения и удалил все что удалялось и снял галочки с тех, что не удалялись. Оставил только оповещение почты (оно мне очень удобно). Или его тоже удалить?

Всякий раз как вхожу в Гугл-Хром мой Нортон предотвращает атаку с какого-то компьютера. О чем пишет в своем отчете. Отчеты прилагаю.

Отчет.

postoronim, скачайте, пожалуйста, снова Autologger и повторите сбор логов по правилам диагностики.

Сделал.

1) Скачайте uVS.

2)

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
   
   Код:

   ---

   ;uVS v3.82 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
BREG
regt 27

   ---

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы.
6. Подробнее читайте в этом руководстве.

--------------------------
3) Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

1. Запустите AVZ.
2. Выполните обновление баз (Меню Файл - Обновление баз)
3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт № 4 ("Скрипт сбора неопознанных и подозрительных файлов") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
5. Закачайте полученный архив закачайте на любой файлообменник, не требующий ввода капчи (например: RGhost, Zalil, Dump.Ru или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

4) что с проблемой?

Сделал - http://webfile.ru/92e50464a60976a5bd6db1c59d201a32

Проблема с самовсплывающими рекламами вроде не наблюдается. Но остается проблема с Нортоном, который блокирует чью-то попытку залезть мне на комп. Вот я выкладываю скрин сообщения Нортона.

postoronim, проверьте установленные расширения в Хроме, на скрине явно видно что это обращение к сайту от вашего Хрома. Скорее всего расширение так и будет называться - WebSearch, но если там есть другие незнакомые расширения тоже удалите их.

Я зашел в Хром-настройки-расширения. По-моему там работает только Яндекс.Почта. Посмотрите скрин.

1. Скачайте Universal Virus Sniffer (uVS)
2. Извлеките uVS из архива или из zip-папки.
3. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
4. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
5. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
   
   Код:

   ---

   ;uVS v3.82 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
BREG
regt 27
deltmp

   ---

6. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
7. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы.
   
8. Подробнее читайте в этом руководстве.

проверьте, что с проблемой? Яндекс почта если нужна установите заново.

Проделал операцию c uVs но Нортон по-прежнему после перезагрузки и входа в Хром предупреждает о блокировании атаки. И самопроизвольно открылась вкладка с сайтом: http://www.****

удалите Хром вместе с профилем и установите заново. Проверьте, что с проблемой.

Удалил. Установил заново. Нортон больше не предупреждает. Из настроек браузера удалил расширение, про которое везде пишут, что оно паразитарное.

Если проблем больше нет, для профилактики и защиты от повторных заражений скачайте и запустите SecurityCheck by glax24. Когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности.
Скачайте и установите обновления по ссылкам.

Нортон заблокировал работу этой программы и удалил ее. Может быть мне временно выгрузить Нортон пока она отработает отчет?

да.

Сделал.

по отчету : ПО в актуальном состоянии.

postoronim, обновление системы запустите вручную, вижу что вы его недавно поставили и пока похоже никаких обновлений не устаналивали так что не смотря на то что ПО в актуальном состояние система уязвима.

+ Выполните рекомендации после лечения

Мне не ясно про какую систему идет речь и как ее обновлять.

про ваш виндоус.

Да, спасибо. Догадался. Посмотрел. Скопилось 71 обновление. Почему-то автоматически не хочет обновляться. Включил "обновить".