Avast WEBforum
Non-English Zone => Русский => Topic started by: wert_kgb on May 31, 2013, 08:25:33 AM
-
Добрый день. Поймал вирус на 3 компах. При загрузке любого браузера вылезает баннер, который редиректит на сайты с трояном JS: Redirect - AOX [Trj]. Сканирование системы всеми возможными утилитами к результатам не привело. Не могу его поймать. Кто нибудь может помоч?
-
В т.ч. не помогло сканирование до загрузки авастовское?
И DrWeb LiveCD?
-
Да в том числе и это, включая CureIt
-
Утилитой АВЗ пробовали?
-
Думаю, тут без Andrey,pro не обойтись.
Дабы скоротать время, подготовьте логи OTL и Malwarebytes anti-malware по инструкции: http://forum.avast.com/index.php?topic=100566.0 и прикрепите их в следующем сообщении. И ждём появления Andrey,pro на форуме.
-
Да в том числе и это, включая CureIt
Зайдите,прочитайте,скачайте,запишите на диск DVD-RW,вставьте в привод и перезагрузка.
От Windows-
http://windows.microsoft.com/ru-ru/windows/what-is-windows-defender-offline
Вопросы и ответы-
http://windows.microsoft.com/ru-RU/windows/windows-defender-offline-faq
А можно и AntiWinLocker-
http://www.antiwinlocker.ru/
http://rutracker.org/forum/viewtopic.php?t=4355887 Здесь и скачать и как пользоваться.
-
Выложите пож-та лог сканирования HJThis
http://sourceforge.net/projects/hjt/
-
В понедельник все будет
-
Да в том числе и это, включая CureIt
Зайдите,прочитайте,скачайте,запишите на диск DVD-RW,вставьте в привод и перезагрузка.
От Windows-
http://windows.microsoft.com/ru-ru/windows/what-is-windows-defender-offline
Вопросы и ответы-
http://windows.microsoft.com/ru-RU/windows/windows-defender-offline-faq
А можно и AntiWinLocker-
http://www.antiwinlocker.ru/
http://rutracker.org/forum/viewtopic.php?t=4355887 Здесь и скачать и как пользоваться.
Факт в том что он не блокирует виндоувс и браузер, он постоянно вылезает в виде банера при загрузке любой страницы!
-
Да в том числе и это, включая CureIt
Зайдите,прочитайте,скачайте,запишите на диск DVD-RW,вставьте в привод и перезагрузка.
От Windows-
http://windows.microsoft.com/ru-ru/windows/what-is-windows-defender-offline
Вопросы и ответы-
http://windows.microsoft.com/ru-RU/windows/windows-defender-offline-faq
А можно и AntiWinLocker-
http://www.antiwinlocker.ru/
http://rutracker.org/forum/viewtopic.php?t=4355887 Здесь и скачать и как пользоваться.
Факт в том,что он не блокирует винду и браузер, он постоянно вылезает в виде баннера при загрузке любой страницы!
Тогда только удалять браузер прогой RevoUnistaller,она и диск и реестр подчистит,а потом устанавливать новую версию.Что-то где-то сидит в самом браузере.
-
Тогда только удалять браузер прогой RevoUnistaller,она и диск и реестр подчистит,а потом устанавливать новую версию.Что-то где-то сидит в самом браузере.
Зачем удалять? Сначала нужно просто посмотреть. Возможно, зараза не только в реестре сидит, а еще и в хосте. Для этого лог и нужен.
-
wert_kgb
Как вариант, гляньте в свойствах сетевой карты => протокол ip v4 => адрес DNS сервера, либо на по умолчанию скиньте, либо смените на первичный 8.8.8.8 вторичный 8.8.4.4 это днс гугла, в браузерах вычистить КЭШ => перезагрузка.
ivanovich
Зачем Вы флудите не по теме?
По какой причине Вы сразу стреляете из пушки по воробьям?
Написано же, что в ЛЮБОМ браузере.
Kaskad
Думаю, тут без Andrey,pro не обойтись.
Точно? =))
-
Log Malwarebytes Anti-Malware
-
Log OTL
-
wert_kgb
В днс уберите 88.198.15.115, смените на 8.8.4.4
Выше написал как это сделать.
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 88.198.15.115 8.8.8.8
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{ADC92F61-9B01-489C-A35A-BC271673B295}: DhcpNameServer = 88.198.15.115 8.8.8.8
-
Log aswMBR
-
Log HiJackThis
-
wert_kgb
В днс уберите 88.198.15.115, смени на 8.8.4.4
Выше написал как это сделать.
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 88.198.15.115 8.8.8.8
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{ADC92F61-9B01-489C-A35A-BC271673B295}: DhcpNameServer = 88.198.15.115 8.8.8.8
Сделал
-
wert_kgb
Исправилось?
p.s. Это не вирус так делает, а фаил реестра, такой же подобный и файл hosts правит.
-
Вообщем дело такое. В пятницу проводил дозагрузочное сканирование авастом. Потом ушел домой. Сейчас проблема решилась, но аваст выловил сегодня файл по пути
C:\Users\user\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\NQISW6RB\ga[1].js
До сканирования еще отключал поддержку JavaScript в гугле и разных надстроек. Но потом снова пришлось включить.
-
wert_kgb, если DNS-адреса исправили, давайте почистим временные папки,
для этого запустите снова программу OTL by OldTimer . В окно Custom Scans/Fixes скопируйте скрипт:
:OTL
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
:Commands
[purity]
[emptytemp]
[CREATERESTOREPOINT]
[Reboot]- Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку "Run Fix"
- Компьютер перезагрузится.
- После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.
ВНИМАНИЕ! данный скрипт написан только для этого пользователя,использование его на другом компьютере может привести к неработоспособности ОС!
-
All processes killed
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\Locked deleted successfully.
========== COMMANDS ==========
[EMPTYTEMP]
User: All Users
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: Public
User: user
->Temp folder emptied: 50175 bytes
->Temporary Internet Files folder emptied: 8812695 bytes
->Google Chrome cache emptied: 214663052 bytes
->Opera cache emptied: 4700796 bytes
->Flash cache emptied: 523 bytes
User: Все пользователи
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 8439011 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 69162 bytes
RecycleBin emptied: 15889742 bytes
Total Files Cleaned = 241,00 mb
Restore point Set: OTL Restore Point
OTL by OldTimer - Version 3.2.69.0 log created on 06032013_111017
Files\Folders moved on Reboot...
File move failed. C:\Windows\temp\_avast_\Webshlock.txt scheduled to be moved on reboot.
File move failed. C:\Windows\temp\TmpFile1 scheduled to be moved on reboot.
PendingFileRenameOperations files...
Registry entries deleted on Reboot...
-
До сканирования еще отключал поддержку JavaScript в гугле и разных надстроек. Но потом снова пришлось включить.
Я отключил поддержку Java,так как это окно для вирусов.Обновляю Java в ручную.Захожу в браузере Google Chrome-
chrome://plugins/ и если красным она выделена,то здесь же нажимаю на эту надпись и она сама обновляется.Так смотрю и за всеми плагинами.Лучше зайдите и почитайте про неё-
http://www.java.com/ru/download/chrome.jsp?locale=ru