Схватил Вирус - Форум технической поддержки ESET NOD32

Сообщений: 41

Баллов: 20

Регистрация: 01.04.2014

Размещено 25.08.2014 14:39:30

Добрый день!
Прошу помочь, я схватил какой то вирус. Ни один браузер на прямую не открывается. При открытии моментально сворачивается и не видно его.
Что интересно, то что я в почте Outlook Express, у меня остались ссылки в письмах, по ссылкам могу зайти в браузер. При этом В браузерах начинате лезть реклама, порой открываются новые окна с рекламой.
Вирус появился после того как на одном из сайтов по скачиванию книг я закачал себе себе какую то прогу, она создала у меня на компе папки с названием "Baidu.." или что такое в этом роде.
Очень прошу помочь.

Прикрепленные файлы

METALL_2014-08-25_14-28-54.7z (321.27 КБ)

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 25.08.2014 14:48:02

Доброго времени суток!

В папке с программой UVS будет файл script.cmd
Запустить файл, запустится окно программы для ввода скрипта,
скопировать скрипт написанный ниже и вставить в окно программы.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ ВСЕ БРАУЗЕРЫ!

Код
;uVS v3.83 BETA 22 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 zoo %SystemDrive%\FIREFOX.BAT zoo %SystemDrive%\IEXPLORE.BAT zoo %SystemDrive%\OPERA.BAT zoo %SystemDrive%\DOCUMENTS AND SETTINGS\КОНСТАНТИН\APPLICATION DATA\ETRANSLATOR\ETRANSLATOR.EXE delall %SystemDrive%\PROGRAM FILES\BROWSER TAB SEARCH BY ASK\SAFETYNUT\SAFETYCRT.DLL zoo %SystemDrive%\PROGRAM FILES\TEST\BIND.EXE delall %SystemDrive%\PROGRAM FILES\TEST\BIND.EXE delall TASKLIST.EXE delall %SystemDrive%\FIREFOX.BAT delall %SystemDrive%\IEXPLORE.BAT delall %SystemDrive%\OPERA.BAT delref HTTP://WWW.YANDEX.RU/?WIN=83&CLID=2015120 delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&IMSID=7B41BCDE5DC2723D8A69BCF02ABB74EE&TEXT={SEARCHTERMS} zoo %SystemDrive%\DOCUMENTS AND SETTINGS\КОНСТАНТИН\LOCAL SETTINGS\TEMP\F0722_S_30803.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\КОНСТАНТИН\LOCAL SETTINGS\TEMP\F0722_S_30803.EXE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\КОНСТАНТИН\LOCAL SETTINGS\TEMP\G0722_S_70904.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\КОНСТАНТИН\LOCAL SETTINGS\TEMP\G0722_S_70904.EXE exec "C:\Program Files\Browser Tab Search by Ask\SafetyNut\BrowserTabSearch\BrowserTabSearchUninstall.exe" /browser=ff exec "C:\Documents and Settings\Константин\Application Data\eTranslator\eTranslator.exe" /uninstall exec MsiExec.exe /X{B1DDC387-5E2C-4CF4-BD8B-05B65E987B0C} exec MsiExec.exe /X{63CD0C4E-17FE-4C97-9216-5D566508879A} regt 3 regt 18 deltmp delnfr restart

Код

;uVS v3.83 BETA 22 [http://dsrt.dyndns.org]
;Target OS: NTv5.1

zoo %SystemDrive%\FIREFOX.BAT
zoo %SystemDrive%\IEXPLORE.BAT
zoo %SystemDrive%\OPERA.BAT
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\КОНСТАНТИН\APPLICATION DATA\ETRANSLATOR\ETRANSLATOR.EXE
delall %SystemDrive%\PROGRAM FILES\BROWSER TAB SEARCH BY ASK\SAFETYNUT\SAFETYCRT.DLL
zoo %SystemDrive%\PROGRAM FILES\TEST\BIND.EXE
delall %SystemDrive%\PROGRAM FILES\TEST\BIND.EXE
delall TASKLIST.EXE
delall %SystemDrive%\FIREFOX.BAT
delall %SystemDrive%\IEXPLORE.BAT
delall %SystemDrive%\OPERA.BAT
delref HTTP://WWW.YANDEX.RU/?WIN=83&CLID=2015120
delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&IMSID=7B41BCDE5DC2723D8A69BCF02ABB74EE&TEXT={SEARCHTERMS}
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\КОНСТАНТИН\LOCAL SETTINGS\TEMP\F0722_S_30803.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\КОНСТАНТИН\LOCAL SETTINGS\TEMP\F0722_S_30803.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\КОНСТАНТИН\LOCAL SETTINGS\TEMP\G0722_S_70904.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\КОНСТАНТИН\LOCAL SETTINGS\TEMP\G0722_S_70904.EXE
exec "C:\Program Files\Browser Tab Search by Ask\SafetyNut\BrowserTabSearch\BrowserTabSearchUninstall.exe" /browser=ff
exec "C:\Documents and Settings\Константин\Application Data\eTranslator\eTranslator.exe" /uninstall
exec MsiExec.exe /X{B1DDC387-5E2C-4CF4-BD8B-05B65E987B0C}
exec MsiExec.exe /X{63CD0C4E-17FE-4C97-9216-5D566508879A}
regt 3
regt 18
deltmp
delnfr
restart

И жмем кнопку Выполнить.
На запросы программы по удалению жмите ДА
ПК перезагрузится.

В папке с программой UVS будет папка zoo, ее поместить в архив, установить пароль virus и прислать сюда [email protected]

Далее(даже если проблема решена) выполнить лог программой MBAM
http://forum.esetnod32.ru/forum9/topic10688/
Выбрать быстрое сканирование. Отчет предоставить для анализа

Сообщений: 41

Баллов: 20

Регистрация: 01.04.2014

Размещено 25.08.2014 16:12:04

файл отправил.
незнаю дойдет или нет он весит 40 мб.

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 25.08.2014 16:27:31

Врядли, залейте архив сюда https://mega.co.nz и дайте ссылку.

Далее(даже если проблема решена) выполнить лог программой MBAM
http://forum.esetnod32.ru/forum9/topic10688/
Выбрать быстрое сканирование. Отчет предоставить для анализа

Сообщений: 41

Баллов: 20

Регистрация: 01.04.2014

Размещено 26.08.2014 10:13:48

https://mega.co.nz/#!q9MG0bAK!mNvKuEuP0QkNFI6GOc-_sDESN0Zq_k9KBwRKox0Opgg
лог программой MBAM во вложении
так же во вложении pdf файл - это скрин экрана после прогона программы MBAM - подскажите что делать с этой ошибкой?

после запуска script.cmd - "firefox" - запускается нормально т.е. не сворачивается как ранее, но при этом вывод спама все равно остался.
Спам выходит либо сбоку либо при открытии новой страницы

все что нашел MBAM поместил в карантин и после этого сделал еще один лог - во вложении

Прикрепленные файлы

MetallINST.txt (5.07 КБ)
MetallINST1.pdf (235.5 КБ)
metallINST_Log.txt (5.34 КБ)

Изменено: Константин Вершинин - 26.08.2014 10:24:47 (Добавил Файл metallINST_Log - после помещения в каратин MBAM)

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 26.08.2014 10:21:57

Удалить все объекты в программе! Перезагрузить ПК.

Выполните
http://forum.esetnod32.ru/forum9/topic7084/

Сообщений: 41

Баллов: 20

Регистрация: 01.04.2014

Размещено 26.08.2014 10:34:56

[QUOTE]zloyDi пишет:

Удалить все объекты в программе! Перезагрузить ПК.

все удалил, ПК перезагрузил, Браузер запускается но открывается не домашняя страница, а реклама dernake.ru и дальше кидает по сайту

Сообщений: 41

Баллов: 20

Регистрация: 01.04.2014

Размещено 26.08.2014 10:36:48

добавил файл после обработки AdwCleaner
подскажите надо ли все удалять что там вышло?

что делать дальше!

Прикрепленные файлы

MetallINST_26082014.txt (2.76 КБ)

Изменено: Константин Вершинин - 26.08.2014 11:29:58

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 26.08.2014 11:36:15

в АдвКлинере после сканирования,в секции Папки, снимите галки на записях mail.ru, yandex
остальное удалите по кнопке Очистить

далее

выполните рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

[ Как создать образ автозапуска? ]

Сообщений: 41

Баллов: 20

Регистрация: 01.04.2014

Размещено 26.08.2014 12:24:37

все отчистил.
но все равно при входе в браузер выкидывает на рекламную страницу:(
сейчас выполняю рекомендации

[ Закрыто ] Схватил Вирус