Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Непонятный вирус (http://forum.oszone.net/showthread.php?t=296339)

Kapelka87 03-03-2015 15:43 2478245
Непонятный вирус
 
Неделю назад кажется что-то попало в рабочий компьютер. После загрузки/перезагрузки компьютера браузеры работают в обычном режиме,но потом начинается-выскакивает порно аська,реклама,блокирующие доступ к странице (смс отсылать не просят) и перестают открываться страницы сайтов-"веб-страница не доступна". Проверяла dr.web-удалила вирусы, откатила систему назад,почистила все куки и журналы,файл hosts пустой, а проблема не решилась. Компьютер напарницы от этого же модема работает нормально.Помогите,пожалуйста!!!

Sandor 03-03-2015 16:36 2478276
Здравствуйте!

На каком еще форуме Вы создали тему? Тут требуются другие логи:

Правила оформления запроса о помощи

Kapelka87 03-03-2015 16:46 2478281
Sandor, http://forum.oszone.net/thread-177677.html как здесь написано было

Sandor 03-03-2015 16:49 2478284
Пройдите по ссылке, которую я дал, прочтите и выполните. А также ответьте:
Цитата:
Цитата Sandor
На каком еще форуме Вы создали тему? »

Kapelka87 03-03-2015 17:03 2478286
Sandor, комп не пускает на сайт сборщика логов,пишет что содержит вредоносное по. Нигде я больше не создавала никаких тем.

Sandor 03-03-2015 17:06 2478288
Цитата:
Цитата Kapelka87
комп не пускает на сайт сборщика логов »
По-видимому, Хром. Это его ложное срабатывание. Скачайте другим браузером, например, Internet Explorer.

Kapelka87 03-03-2015 17:42 2478301
Sandor, так?

Sandor 03-03-2015 17:53 2478309
Да, но в этих логах ничего подозрительного.

Скачайте Malwarebytes' Anti-Malware или с зеркала. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: MBAM-log-2014-10-14 (12-18-10).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM, зеркало обновлений MBAM.
Подробнее читайте в руководстве.

Kapelka87 04-03-2015 09:54 2478556
Вложений: 1
Sandor, вот

Sandor 04-03-2015 13:36 2478660
Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).

Подробнее читайте в руководстве.

Код:
Обнаруженные процессы в памяти:  1
C:\Program Files\Application Updater\ApplicationUpdater.exe (PUP.Optional.Spigot.A) -> 1596 -> Действие не было предпринято.

Обнаруженные модули в памяти:  0
(Вредоносных программ не обнаружено)

Обнаруженные ключи в реестре:  9
HKLM\SYSTEM\CurrentControlSet\Services\Application Updater (PUP.Optional.Spigot.A) -> Действие не было предпринято.
HKCR\CLSID\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Optional.Spigot.A) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Optional.Spigot.A) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Optional.Spigot.A) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Optional.Spigot.A) -> Действие не было предпринято.
HKCU\SOFTWARE\SEARCH SETTINGS (PUP.Optional.Spigot.A) -> Действие не было предпринято.
HKCU\Software\AppDataLow\Software\Search Settings (PUP.Optional.Spigot.A) -> Действие не было предпринято.
HKLM\SOFTWARE\APPLICATION UPDATER (PUP.Optional.Spigot.A) -> Действие не было предпринято.
HKLM\SOFTWARE\SEARCH SETTINGS (PUP.Optional.Spigot.A) -> Действие не было предпринято.

Обнаруженные параметры в реестре:  6
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\PROGRAM FILES\APPLICATION UPDATER\APPLICATIONUPDATER.EXE (PUP.Optional.Spigot.A) -> Параметры: 1 -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks|{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Optional.Spigot.A) -> Параметры:  -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar|{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Optional.Spigot.A) -> Параметры: pdfforge Toolbar -> Действие не было предпринято.
HKCU\SOFTWARE\Search Settings|GCProtected (PUP.Optional.Spigot.A) -> Параметры: 0 -> Действие не было предпринято.
HKLM\SOFTWARE\Application Updater|serverURL (PUP.Optional.Spigot.A) -> Параметры: http://www.mybrowserbar.com/ -> Действие не было предпринято.
HKLM\SOFTWARE\Search Settings|installDir (PUP.Optional.Spigot.A) -> Параметры: C:\Program Files\Common Files\Spigot\Search Settings\ -> Действие не было предпринято.

Объекты реестра обнаружены:  0
(Вредоносных программ не обнаружено)

Обнаруженные папки:  4
C:\Program Files\Common Files\Spigot (PUP.Optional.Spigot.A) -> Действие не было предпринято.
C:\Program Files\Common Files\Spigot\Search Settings (PUP.Optional.Spigot.A) -> Действие не было предпринято.
C:\Program Files\Common Files\Spigot\Search Settings\Lang (PUP.Optional.Spigot.A) -> Действие не было предпринято.
C:\Program Files\Common Files\Spigot\Search Settings\Res (PUP.Optional.Spigot.A) -> Действие не было предпринято.

Обнаруженные файлы:
C:\Program Files\Application Updater\ApplicationUpdater.exe (PUP.Optional.Spigot.A) -> Действие не было предпринято.
C:\Program Files\pdfforge Toolbar\IE\10.9\pdfforgeToolbarIE.dll (PUP.Optional.Spigot.A) -> Действие не было предпринято.
C:\Program Files\Application Updater(2)\ApplicationUpdater(2).exe (PUP.Optional.Spigot.A) -> Действие не было предпринято.
C:\Program Files\Common Files\Spigot\Search Settings\wth199.dll (PUP.Optional.Spigot.A) -> Действие не было предпринято.
C:\Program Files\Common Files\Spigot\Search Settings\wthx199.dll (PUP.Optional.Spigot.A) -> Действие не было предпринято.
C:\Program Files\pdfforge Toolbar\WidgiHelper.exe (PUP.Optional.Spigot.A) -> Действие не было предпринято.
C:\Program Files\pdfforge Toolbar\IE\10.9\pdfforgeToolbarIE64.dll (PUP.Optional.Spigot.A) -> Действие не было предпринято.
C:\WINDOWS\Installer\a3585.msi (PUP.Optional.Spigot.A) -> Действие не было предпринято.
C:\Program Files\Common Files\Spigot\Search Settings\config.ini (PUP.Optional.Spigot.A) -> Действие не было предпринято.
C:\Program Files\Common Files\Spigot\Search Settings\SearchSettings64.exe (PUP.Optional.Spigot.A) -> Действие не было предпринято.
C:\Program Files\Common Files\Spigot\Search Settings\Lang\res1031.ini (PUP.Optional.Spigot.A) -> Действие не было предпринято.
C:\Program Files\Common Files\Spigot\Search Settings\Lang\res1033.ini (PUP.Optional.Spigot.A) -> Действие не было предпринято.
C:\Program Files\Common Files\Spigot\Search Settings\Lang\res1034.ini (PUP.Optional.Spigot.A) -> Действие не было предпринято.
C:\Program Files\Common Files\Spigot\Search Settings\Lang\res1036.ini (PUP.Optional.Spigot.A) -> Действие не было предпринято.
C:\Program Files\Common Files\Spigot\Search Settings\Lang\res1040.ini (PUP.Optional.Spigot.A) -> Действие не было предпринято.
После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

Kapelka87 05-03-2015 15:09 2479128
Вложений: 1
Sandor, сделала. Еще заметила,когда только включаешь комп минут 20 все работает,а потом выскакивает реклама и доступ к большинству сайтов пропадает.

Sandor 05-03-2015 16:21 2479166
К сети подключаетесь через роутер? Если да, один компьютер?

Давайте еще так посмотрим:
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Kapelka87 05-03-2015 16:22 2479167
Вложений: 1
вот скрин этой рекламы

Kapelka87 05-03-2015 16:27 2479170
Sandor, обычный черненький модемчик,к нему 2 компьютера через провод. Сейчас попробую,как вы написали

Kapelka87 05-03-2015 16:32 2479175
Вложений: 3
Sandor, вот

Kapelka87 05-03-2015 17:39 2479211
Вложений: 1
Sandor, вот еще пример спама

regist 06-03-2015 22:04 2479802
pdfforge Toolbar v10.9 - рекомендую деинсталировать.
  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Kapelka87 10-03-2015 12:26 2480920
Вложений: 1
regist, вот

Kapelka87 10-03-2015 17:40 2481023
Вложений: 1
regist, удалить pdfforge Toolbar v10.9 не получается.Скрин прилагаю

Kapelka87 11-03-2015 09:26 2481198
Вложений: 1
Sandor, а можно удалить просто из папки?

Sandor 11-03-2015 12:35 2481292
Цитата:
Цитата Kapelka87
черненький модемчик,к нему 2 компьютера »
На втором компьютере спама нет?

Цитата:
Цитата Kapelka87
удалить pdfforge Toolbar v10.9 не получается »
Удалите с помощью Uninstal Tool или Revo Uninstaller.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Kapelka87 11-03-2015 13:18 2481310
Вложений: 1
Sandor, тут спрашивают ключи все удалять от этой программы?

Kapelka87 11-03-2015 13:19 2481311
Sandor, на втором выскакивает рекламка,но она никому не мешает-закрыл и все.

Kapelka87 11-03-2015 13:26 2481316
Вложений: 1
Sandor, вот еще часть реестра,почему-то не загрузилась

Sandor 11-03-2015 13:27 2481317
Цитата:
Цитата Kapelka87
ключи все удалять от этой программы? »
Да.

Сделайте аппаратный сброс настроек модема на заводские, введите правильные настройки, смените пароль на вход в настройки модема на сложный, очистите куки и кэш браузеров.

Kapelka87 11-03-2015 14:05 2481333
Вложений: 1
Sandor, логи

Kapelka87 11-03-2015 14:17 2481340
Sandor, правильные настройки модема можно узнать только у админов?

Sandor 11-03-2015 14:22 2481342
Как правило, эти настройки можно узнать у провайдера, возможно есть на его сайте.

Kapelka87 11-03-2015 14:29 2481345
Sandor, знать бы еще провайдера( А с "сетевые подключения"можно списать данные или они уже неправильные? А по логам все нормально? Реклама так и не ушла(

Sandor 11-03-2015 14:31 2481348
Цитата:
Цитата Kapelka87
знать бы еще провайдера( »
Для выхода в интернет Вы ведь заключали с ним договор, верно?

Kapelka87 11-03-2015 14:35 2481350
Sandor, комп рабочий,я лично ничего не заключала,а админы в другом городе в главном офисе. К ним хотелось бы обращаться в последнюю очередь.

Sandor 11-03-2015 14:38 2481352
Без сброса настроек модема не обойтись.

Kapelka87 11-03-2015 14:43 2481353
Sandor, А с "сетевые подключения"в панели управления можно списать данные или они уже неправильные?

Sandor 11-03-2015 15:04 2481359
Нужно тоже у Ваших админов уточнять - настройки сетевого подключения прописаны жестко или автоматически получаются из модема.


Время: 21:18.

Время: 21:18.
© OSzone.net 2001-