Здравствуйте, недавно начало выскакивать сообщение о том, что аваст заблокировал троян, это сообщение появляется спустя несколько секунд после запуска яндекс браузер. Сканирование системы не помогло, ничего не обнаружено.
http://savepic.org/3683073.jpg
Alllgator,здравствуйте! Добро пожаловать на форум!
подготовьте логи OTL и Malwarebytes anti-malware по инструкции: http://forum.avast.com/index.php?topic=100566.0 и прикрепите их в следующем сообщении.
===============
Удалите этот браузер и поставьте Google Chrome.И не будет у вас таково.Многие его ставят,а потом намучившись удаляют его.Вот ссылка-https://support.google.com/chrome/answer/95346?hl=ru и на сайте всё по нему.Ставьте.
ivanovich
При чём тут браузер?
Любимый!
Пользуюсь этим браузером уже давно, перешел на него с google chrome. Вчера проверил папки этого браузера ну и заодно “мои документы” другим бесплатным проверяльщиком вирусов, нашел одну программу, называлась она как-то speedup.exe, антивирус переместил его, видимо в карантин, сегодня этого сообщения не было, может быть вирус замаскировался лучше? Может быть такое? Или все таки стоит отправить эти логи? И если кто знает, подскажите пожалуйста, что это за вирус?
Делайте как Вам написали.
Вы сюда обратились за помощью или так просто, поговорить?
По логам будет видно что это за вирус, как с ним бороться и вирус ли вообще.
Во время сканирования aswMBR появился синий экран с надписями, пришлось перезагружать, после перезагрузки, все проверилось.
http://savepic.org/3698366.jpg
запустите снова программу OTL by OldTimer . В окно Custom Scans/Fixes скопируйте скрипт:
:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.facemoods.com/?a=make&s={searchTerms}&f=4
IE - HKCU\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = http://start.facemoods.com/?a=make&s={searchTerms}&f=4
IE - HKCU\..\SearchScopes\{247EF7DF-69DA-4E34-A557-00F34FDDC2CE}: "URL" = http://start.funmoods.com/results.php?f=4&a=make&q={searchTerms}
O3 - HKLM\..\Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No CLSID value found.
@Alternate Data Stream - 971 bytes -> C:\ProgramData:$SS_DESCRIPTOR_SBXNV9VVGV1BF1V4WG4H6PT4KGM8HTV4K6N636VFSVF7JB4VPJGF
@Alternate Data Stream - 273 bytes -> C:\ProgramData\TEMP:A5C00DEE
@Alternate Data Stream - 148 bytes -> C:\ProgramData\TEMP:07BF512B
@Alternate Data Stream - 124 bytes -> C:\ProgramData\TEMP:A064CECC
@Alternate Data Stream - 124 bytes -> C:\ProgramData\TEMP:41ADDB8A
@Alternate Data Stream - 1190 bytes -> C:\ProgramData\Microsoft:gH19oLLCjXQ3sJFq1at5
@Alternate Data Stream - 1065 bytes -> C:\ProgramData\Microsoft:RBSsjCVWWkuEAEBZFQ
@Alternate Data Stream - 1038 bytes -> C:\Program Files (x86)\Common Files\System:DIsZfI5iH77NpZkyQpdLitey3
:Files
C:\Users\Василий\AppData\Roaming\ESET
:Commands
[purity]
[emptytemp]
[CREATERESTOREPOINT]
[Reboot]
- Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку “Run Fix”
- Компьютер перезагрузится.
- После перезагрузки откройте папку “C:_OTL\MovedFiles”, найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.
ВНИМАНИЕ! данный скрипт написан только для этого пользователя,использование его на другом компьютере может привести к неработоспособности ОС!
Подготовьте лог утилиты Kaspersky tdsskiller: http://media.kaspersky.com/utilities/VirusUtilities/RU/tdsskiller.exe нажмите Начать проверку. Все, что будет найдено-пробуйте лечить, если лечение невозможно, то ничего не делайте. Прикрепите отчет в следующем сообщении.
Andrey,pro скажите пожалуйста, в программе OTL выставлять настройки как в инструкции к первому анализу или уже не обязательно?
нет, выставлять настройки уже не нужно.
========== OTL ==========
HKLM\SOFTWARE\Microsoft\Internet Explorer\Search\SearchAssistant| /E : value set successfully!
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes{0D7562AE-8EF6-416d-A838-AB665251703A}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID{0D7562AE-8EF6-416d-A838-AB665251703A}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes{247EF7DF-69DA-4E34-A557-00F34FDDC2CE}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID{247EF7DF-69DA-4E34-A557-00F34FDDC2CE}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\{91397D20-1446-11D4-8AF4-0040CA1127B6} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID{91397D20-1446-11D4-8AF4-0040CA1127B6}\ not found.
ADS C:\ProgramData:$SS_DESCRIPTOR_SBXNV9VVGV1BF1V4WG4H6PT4KGM8HTV4K6N636VFSVF7JB4VPJGF deleted successfully.
ADS C:\ProgramData\TEMP:A5C00DEE deleted successfully.
ADS C:\ProgramData\TEMP:07BF512B deleted successfully.
ADS C:\ProgramData\TEMP:A064CECC deleted successfully.
ADS C:\ProgramData\TEMP:41ADDB8A deleted successfully.
ADS C:\ProgramData\Microsoft:gH19oLLCjXQ3sJFq1at5 deleted successfully.
ADS C:\ProgramData\Microsoft:RBSsjCVWWkuEAEBZFQ deleted successfully.
ADS C:\Program Files (x86)\Common Files\System:DIsZfI5iH77NpZkyQpdLitey3 deleted successfully.
========== FILES ==========
C:\Users\Василий\AppData\Roaming\ESET\ESET Smart Security\Antispam folder moved successfully.
C:\Users\Василий\AppData\Roaming\ESET\ESET Smart Security folder moved successfully.
C:\Users\Василий\AppData\Roaming\ESET folder moved successfully.
OTL by OldTimer - Version 3.2.69.0 log created on 06212013_194126
После процедуры в программе OTL перезагрузка не произошла, написало что процедура выполнена, после я нажал OK и перезагрузил компьютер, только скрытые файлы стали видны. Антируткит Касперского нашел что то,но вылечить нельзя было. я пропустил.
Alllgator, все чисто, отображение скрытых папок и файлов можно убрать в настройках в панели управления.
Спасибо большое