[решено] Помогите, пожалуйста, в системе вирусы.

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

Помогите, пожалуйста, в системе вирусы.

В браузерах постоянно всплывают окна с рекламой, которые тормозят систему. Касперский установлен. Вирусов не находит
Спасибо.

1. В панели управления - установка удаление программ найдите и удалите :

mystartsearch

AnyProtectEx

BasementDuster

2.

• HiJackThis. Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hppp&ts=1426522814&from=cmi&uid=SPCCXSSD110_001110001B

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mystart.com/?pr=vmn&id=mystarttb&v=5_4&ent=hp_5108&src=5108

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hppp&ts=1426522814&from=cmi&uid=SPCCXSSD110_001110001B

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=dspp&ts=1426522814&from=cmi&uid=SPCCXSSD110_001110001B&q={searchTerms}

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=dspp&ts=1426522814&from=cmi&uid=SPCCXSSD110_001110001B&q={searchTerms}

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hppp&ts=1426522814&from=cmi&uid=SPCCXSSD110_001110001B

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.mystartsearch.com/web/?type=dspp&ts=1426522814&from=cmi&uid=SPCCXSSD110_001110001B&q={searchTerms}

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.mystartsearch.com/web/?type=dspp&ts=1426522814&from=cmi&uid=SPCCXSSD110_001110001B&q={searchTerms}

O3 - Toolbar: (no name) - {EFEED92A-A33D-4873-BA8F-32BAA631E54D} - (no file)

O3 - Toolbar: (no name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - (no file)

3.

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:



begin

SetAVZGuardStatus(True);

SearchRootkit(true, true);

 QuarantineFile('C:\Program Files\AnyProtectEx\AnyProtect.exe','');

 QuarantineFile('C:\Documents and Settings\user\Local Settings\Application Data\9C048120-1426532841-11D5-A9D5-001E8CEC8239\bnso4FC7.exe','');

 QuarantineFile('C:\Documents and Settings\user\Application Data\Browsers\exe.xoferif.bat','');

 QuarantineFile('C:\Documents and Settings\user\Application Data\Browsers\exe.xoferif.bat http://lowsearch.ru','');

 QuarantineFile('C:\Documents and Settings\user\Application Data\Browsers\exe.resworb.bat http://lowsearch.ru','');

 QuarantineFile('C:\Documents and Settings\user\Application Data\Browsers\exe.erolpxei.bat http://lowsearch.ru','');

 QuarantineFile('C:\Documents and Settings\user\Application Data\Browsers\exe.emorhc.bat http://lowsearch.ru','');

 QuarantineFile('C:\Documents and Settings\user\Application Data\Browsers\exe.arepo.bat http://lowsearch.ru','');

 QuarantineFile('C:\Program Files\IGS\BasementDuster.exe','');

 DeleteService('BasementDuster');

 SetServiceStart('BasementDuster', 4);

 StopService('BasementDuster');

 QuarantineFile('C:\Program Files\IGS\BasementDusterCert.dll','');

 QuarantineFile('c:\program files\igs\basementduster.exe','');

 DeleteFile('c:\program files\igs\basementduster.exe','32');

 DeleteFile('C:\Program Files\IGS\BasementDusterCert.dll','32');

 DeleteFile('C:\Program Files\IGS\BasementDuster.exe','32');

 DeleteFile('C:\Documents and Settings\user\Application Data\Browsers\exe.arepo.bat http://lowsearch.ru','32');

 DeleteFile('C:\Documents and Settings\user\Application Data\Browsers\exe.emorhc.bat http://lowsearch.ru','32');

 DeleteFile('C:\Documents and Settings\user\Application Data\Browsers\exe.erolpxei.bat http://lowsearch.ru','32');

 DeleteFile('C:\Documents and Settings\user\Application Data\Browsers\exe.resworb.bat http://lowsearch.ru','32');

 DeleteFile('C:\Documents and Settings\user\Application Data\Browsers\exe.xoferif.bat http://lowsearch.ru','32');

 DeleteFile('C:\Documents and Settings\user\Application Data\Browsers\exe.xoferif.bat','32');

 DeleteFile('C:\Documents and Settings\user\Local Settings\Application Data\9C048120-1426532841-11D5-A9D5-001E8CEC8239\bnso4FC7.exe','32');

 DeleteFile('C:\Program Files\AnyProtectEx\AnyProtect.exe','32');

 DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP1.job','32');

 DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP2.job','32');

 DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP3.job','32');

BC_ImportAll;

ExecuteSysClean;

ExecuteWizard('TSW',2,3,true);

BC_Activate;

RebootWindows(true);

end.

После всех процедур выполните скрипт

Код:

begin

 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

4.

• Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, подробнее здесь . Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:

Код:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt

+ - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

+

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Через панель управления удалила только одну программу Mystartsearch, двух других в списке не было.
Все остальное сделала по пунктам.
Прикрепляю лог

лог Check_Browsers_LNK.log

Запустите сканирование МБАМ и удалите все , что будет найдено кроме этого

Цитата:

PUP.Optional.CrossRider.A, HKLM\SOFTWARE\Cinema Plus Pro 3.2cV24.03, , [fb365c35652581b5355e9940e320ce32],
PUP.Optional.CrossRider.A, HKLM\SOFTWARE\Cinema Plus Pro 3.2cV24.03-nv, , [d55cbed35e2cc86eade644953ac96e92],
PUP.Optional.CrossRider.A, HKLM\SOFTWARE\Cinema Plus Pro 3.2cV24.03-nv-ie, , [f53c01904a400531a2f18950d42f32ce],

+ перед этим

Пожалуйста, запустите adwcleaner.exe
Нажмите Uninstall (Удалить).
Подтвердите удаление нажав кнопку: Да.

Подробнее читайте в этом руководстве.

- выполните такой скрипт в AVZ

Код:

begin

 ClearQuarantine;

 QuarantineFile('C:\Documents and Settings\All Users\Start Menu\Programs\Google Chrome\Gооgle Сhrоme.lnk','');

 QuarantineFile('C:\Documents and Settings\All Users\Start Menu\Programs\Мozillа Firеfох.lnk','');

 QuarantineFile('C:\Documents and Settings\user\Application Data\Microsoft\Internet Explorer\Quick Launch\Gооgle Chrоme.lnk','');

 QuarantineFile('C:\Documents and Settings\user\Application Data\Microsoft\Internet Explorer\Quick Launch\Lаunch Internet Ехрlоrеr Вrоwser.lnk','');

 QuarantineFile('C:\Documents and Settings\user\Application Data\Microsoft\Internet Explorer\Quick Launch\Yаndeх.lnk','');

 QuarantineFile('C:\Documents and Settings\user\Application Data\Microsoft\Internet Explorer\Quick Launch\Мail.Ru.lnk','');

 QuarantineFile('C:\Documents and Settings\user\Application Data\Microsoft\Internet Explorer\Quick Launch\Мozilla Firеfox.lnk','');

 QuarantineFile('C:\Documents and Settings\user\Application Data\Microsoft\Internet Explorer\Quick Launch\Оperа.lnk','');

 QuarantineFile('C:\Documents and Settings\user\Desktop\Неиспользуемые ярлыки\Орerа.lnk','');

 QuarantineFile('C:\Documents and Settings\user\Start Menu\Programs\Accessories\System Tools\Intеrnеt Еxрlоrer (Nо Аdd-ons).lnk','');

 QuarantineFile('C:\Documents and Settings\user\Start Menu\Programs\Intеrnеt Еxрlorer.lnk','');

 QuarantineFile('C:\Documents and Settings\All Users\Desktop\Рicture Motion Brоwser.lnk','');

 QuarantineFile('C:\Documents and Settings\All Users\Start Menu\Programs\Sony Picture Utility\Инструменты для Handycam (жесткий диск)\НDD Handyсam Utility.lnk','');

 QuarantineFile('C:\Documents and Settings\All Users\Start Menu\Programs\Sony Picture Utility\Источник импорта\Наndyсam (жесткий диск).lnk','');

 QuarantineFile('C:\Documents and Settings\All Users\Start Menu\Programs\Sony Picture Utility\Рiсture Motiоn Вrоwsеr.lnk','');

 QuarantineFile('C:\Documents and Settings\user\Application Data\Browsers\exe.emorhc.bat','');

 QuarantineFile('C:\Documents and Settings\user\Application Data\Browsers\exe.xoferif.bat','');

 QuarantineFile('C:\Documents and Settings\user\Application Data\Browsers\exe.erolpxei.bat','');

 QuarantineFile('C:\Documents and Settings\user\Application Data\Browsers\exe.resworb.bat','');

 QuarantineFile('C:\Documents and Settings\user\Application Data\Browsers\exe.arepo.bat','');

 QuarantineFile('C:\Documents and Settings\user\Application Data\Browsers\exe.resworbups.bat','');

 QuarantineFile('C:\Documents and Settings\user\Application Data\Browsers\exe.rehcnualppa1ddhups.bat','');

 DeleteFile('C:\Documents and Settings\user\Application Data\Browsers\exe.emorhc.bat','');

 DeleteFile('C:\Documents and Settings\user\Application Data\Browsers\exe.xoferif.bat','');

 DeleteFile('C:\Documents and Settings\user\Application Data\Browsers\exe.erolpxei.bat','');

 DeleteFile('C:\Documents and Settings\user\Application Data\Browsers\exe.resworb.bat','');

 DeleteFile('C:\Documents and Settings\user\Application Data\Browsers\exe.arepo.bat','');

 DeleteFile('C:\Documents and Settings\user\Application Data\Browsers\exe.resworbups.bat','');

 DeleteFile('C:\Documents and Settings\user\Application Data\Browsers\exe.rehcnualppa1ddhups.bat','');

CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');

end.

Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.