Помогите удалить троян

[Alllgator]

Здравствуйте, недавно начало выскакивать сообщение о том, что аваст заблокировал троян, это сообщение появляется спустя несколько секунд после запуска яндекс браузер. Сканирование системы не помогло, ничего не обнаружено.

[Andrey,pro]

Alllgator,здравствуйте! Добро пожаловать на форум!
подготовьте логи OTL и Malwarebytes anti-malware по инструкции: http://forum.avast.com/index.php?topic=100566.0 и прикрепите их в следующем сообщении.

[Ivanych]

Здравствуйте, недавно начало выскакивать сообщение о том, что аваст заблокировал троян, это сообщение появляется спустя несколько секунд после запуска яндекс браузер. Сканирование системы не помогло, ничего не обнаружено

===============
Удалите этот браузер и поставьте Google Chrome.И не будет у вас таково.Многие его ставят,а потом намучившись удаляют его.Вот ссылка-https://support.google.com/chrome/answer/95346?hl=ru и на сайте всё по нему.Ставьте.

[makcunknown]

ivanovich

При чём тут браузер?

[amid525]

Любимый! 

[Alllgator]

Пользуюсь этим браузером уже давно, перешел на него с google chrome. Вчера проверил папки этого браузера ну и заодно "мои документы" другим бесплатным проверяльщиком вирусов, нашел одну программу, называлась она как-то speedup.exe, антивирус переместил его, видимо в карантин, сегодня этого сообщения не было, может быть вирус замаскировался лучше? Может быть такое? Или все таки стоит отправить эти логи? И если кто знает, подскажите пожалуйста, что это за вирус?

[Kaskad]

Делайте как Вам написали.

Alllgator,здравствуйте! Добро пожаловать на форум!
подготовьте логи OTL и Malwarebytes anti-malware по инструкции: http://forum.avast.com/index.php?topic=100566.0 и прикрепите их в следующем сообщении.

Вы сюда обратились за помощью или так просто, поговорить?
По логам будет видно что это за вирус, как с ним бороться и вирус ли вообще.

[Alllgator]

Во время сканирования aswMBR появился синий экран с надписями, пришлось перезагружать, после перезагрузки, все проверилось.

[Andrey,pro]

запустите снова программу OTL by OldTimer . В окно Custom Scans/Fixes скопируйте скрипт:

Code: [Select]

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.facemoods.com/?a=make&s={searchTerms}&f=4
IE - HKCU\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = http://start.facemoods.com/?a=make&s={searchTerms}&f=4
IE - HKCU\..\SearchScopes\{247EF7DF-69DA-4E34-A557-00F34FDDC2CE}: "URL" = http://start.funmoods.com/results.php?f=4&a=make&q={searchTerms}
O3 - HKLM\..\Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No CLSID value found.
@Alternate Data Stream - 971 bytes -> C:\ProgramData:$SS_DESCRIPTOR_SBXNV9VVGV1BF1V4WG4H6PT4KGM8HTV4K6N636VFSVF7JB4VPJGF
@Alternate Data Stream - 273 bytes -> C:\ProgramData\TEMP:A5C00DEE
@Alternate Data Stream - 148 bytes -> C:\ProgramData\TEMP:07BF512B
@Alternate Data Stream - 124 bytes -> C:\ProgramData\TEMP:A064CECC
@Alternate Data Stream - 124 bytes -> C:\ProgramData\TEMP:41ADDB8A
@Alternate Data Stream - 1190 bytes -> C:\ProgramData\Microsoft:gH19oLLCjXQ3sJFq1at5
@Alternate Data Stream - 1065 bytes -> C:\ProgramData\Microsoft:RBSsjCVWWkuEAEBZFQ
@Alternate Data Stream - 1038 bytes -> C:\Program Files (x86)\Common Files\System:DIsZfI5iH77NpZkyQpdLitey3

:Files
C:\Users\Василий\AppData\Roaming\ESET

:Commands
[purity]
[emptytemp]
[CREATERESTOREPOINT]
[Reboot]

• Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку "Run Fix"
• Компьютер перезагрузится.
• После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

ВНИМАНИЕ! данный скрипт написан только для этого пользователя,использование его на другом компьютере может привести к неработоспособности ОС!

Подготовьте лог утилиты Kaspersky tdsskiller: http://media.kaspersky.com/utilities/VirusUtilities/RU/tdsskiller.exe нажмите Начать проверку. Все, что будет найдено-пробуйте лечить, если лечение невозможно, то ничего не делайте. Прикрепите отчет в следующем сообщении.

[Alllgator]

Andrey,pro скажите пожалуйста, в программе OTL выставлять настройки как в инструкции к первому анализу или уже не обязательно?

[Andrey,pro]

Andrey,pro скажите пожалуйста, в программе OTL выставлять настройки как в инструкции к первому анализу или уже не обязательно?

нет, выставлять настройки уже не нужно.

[Alllgator]

========== OTL ==========
HKLM\SOFTWARE\Microsoft\Internet Explorer\Search\\SearchAssistant| /E : value set successfully!
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0D7562AE-8EF6-416d-A838-AB665251703A}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{247EF7DF-69DA-4E34-A557-00F34FDDC2CE}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{247EF7DF-69DA-4E34-A557-00F34FDDC2CE}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{91397D20-1446-11D4-8AF4-0040CA1127B6} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{91397D20-1446-11D4-8AF4-0040CA1127B6}\ not found.
ADS C:\ProgramData:$SS_DESCRIPTOR_SBXNV9VVGV1BF1V4WG4H6PT4KGM8HTV4K6N636VFSVF7JB4VPJGF deleted successfully.
ADS C:\ProgramData\TEMP:A5C00DEE deleted successfully.
ADS C:\ProgramData\TEMP:07BF512B deleted successfully.
ADS C:\ProgramData\TEMP:A064CECC deleted successfully.
ADS C:\ProgramData\TEMP:41ADDB8A deleted successfully.
ADS C:\ProgramData\Microsoft:gH19oLLCjXQ3sJFq1at5 deleted successfully.
ADS C:\ProgramData\Microsoft:RBSsjCVWWkuEAEBZFQ deleted successfully.
ADS C:\Program Files (x86)\Common Files\System:DIsZfI5iH77NpZkyQpdLitey3 deleted successfully.
========== FILES ==========
C:\Users\Василий\AppData\Roaming\ESET\ESET Smart Security\Antispam folder moved successfully.
C:\Users\Василий\AppData\Roaming\ESET\ESET Smart Security folder moved successfully.
C:\Users\Василий\AppData\Roaming\ESET folder moved successfully.
 
OTL by OldTimer - Version 3.2.69.0 log created on 06212013_194126


После процедуры в программе OTL перезагрузка не произошла, написало что процедура выполнена, после я нажал OK и перезагрузил компьютер, только скрытые файлы стали видны. Антируткит Касперского нашел что то,но вылечить нельзя было. я пропустил.

[Andrey,pro]

Alllgator, все чисто, отображение скрытых папок и файлов можно убрать в настройках в панели управления.

[Alllgator]

Спасибо большое