помогите очиститься от этого. Аваст пишет, что нашел вирус на всех сайтах, кроме аваста и во всех браузерах
bulletjug, здравствуйте и добро пожаловать на форум!
Подготовьте отчеты по инструкции: Логи для помощи в очистке компьютера от заражений и прикрепите их в следующем сообщении.
вот, я сделал логи
Удалите все обнаруженные объекты программой Malwarebytes’ Anti-Malware.
Отчет OTL у Вас отображается с иероглифами?
Скачайте Farbar Recovery Scan Tool
https://www.dropbox.com/s/fv5udu0pse3a82g/FRST_canned.png?dl=1
и сохраните на Рабочем столе.
[color=green]Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[*]Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
[*]Убедитесь, что под окном Optional Scan отмечены “List BCD” и “Driver MD5”.
[*]Нажмите кнопку Scan.
[*]После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
[*]Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Могу отправить его еще раз, если это необходимо
Т.е. он у Вас на компьютере отчет отображается без иероглифов?
На форуме большая проблема с прикрепленными файлами: форум портит прикрепленный отчет.
Не могли бы Вы загрузить отчет OTL на любой файлообменник, например http://rghost.ru/ , и указать ссылку на загрузку в следующем сообщении.
вот следующие отчеты из Farbar Recovery Scan Tool
Вы сами устанавливали программу Smally?
похоже, что нет.
Думаете, дело в ней? Попробую удалить её
Удалите эту программу. Кроме этого, у Вас подменены DNS-сервера на вредоносные.
запустите снова программу OTL by OldTimer . В окно Custom Scans/Fixes скопируйте скрипт:
:OTL
PRC - [2014.04.04 15:21:16 | 000,134,600 | ---- | M] (Smally) -- C:\Users\Kolya\AppData\Local\Smally\SmallySmall.exe
PRC - [2014.04.03 16:36:54 | 000,277,960 | ---- | M] (Smally) -- C:\Users\Kolya\AppData\Local\Smally\Smally.exe
MOD - [2014.03.28 11:49:48 | 000,334,280 | ---- | M] () -- C:\Users\Kolya\AppData\Local\Smally\ProtocolFilters.dll
MOD - [2014.03.28 11:49:30 | 000,109,000 | ---- | M] () -- C:\Users\Kolya\AppData\Local\Smally\nfapi.dll
DRV:[b]64bit:[/b] - [2014.03.27 12:34:56 | 000,059,064 | ---- | M] (NetFilterSDK.com) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\smallyfilter.sys -- (smallyfilter)
IE:[b]64bit:[/b] - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1402392344&from=cor&uid=HitachiXHTS547550A9E384_J112005EKPHJ8AKPHJ8AX&q={searchTerms}
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1402392344&from=cor&uid=HitachiXHTS547550A9E384_J112005EKPHJ8AKPHJ8AX&q={searchTerms}
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKU\.DEFAULT\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKU\S-1-5-18\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
O3:[b]64bit:[/b] - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKU\S-1-5-21-1877579243-3683764754-89335578-1001\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
O3 - HKU\S-1-5-21-1877579243-3683764754-89335578-1001\..\Toolbar\WebBrowser: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No CLSID value found.
O4 - HKU\S-1-5-21-1877579243-3683764754-89335578-1001..\Run: [Smally] C:\Users\Kolya\AppData\Local\Smally\Smally.exe (Smally)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{B99CEB5D-2108-4373-B2EA-ED6B4C3DF6C0}: DhcpNameServer = 213.16.56.1 213.16.56.9
@Alternate Data Stream - 136 bytes -> C:\ProgramData\Temp:A064CECC
@Alternate Data Stream - 136 bytes -> C:\ProgramData\Temp:41ADDB8A
:Files
C:\Users\Kolya\AppData\Roaming\UpdaterEX
C:\Users\Kolya\AppData\Roaming\sweet-page
C:\windows\System32\Tasks\UpdaterEX
C:\windows\Tasks\UpdaterEX.job
C:\Users\Kolya\AppData\Local\Smally
C:\Users\Kolya\AppData\Local\Conduit
C:\Program Files\Conduit
C:\windows\System32\Tasks\UpdaterEX
C:\Users\Kolya\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Smally
C:\Users\Kolya\AppData\Local\Smally
:Commands
[emptytemp]
[CREATERESTOREPOINT]
[Reboot]
- Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку “Run Fix”
- Компьютер перезагрузится.
- После перезагрузки откройте папку “C:_OTL\MovedFiles”, найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.
ВНИМАНИЕ! данный скрипт написан только для этого пользователя,использование его на другом компьютере может привести к неработоспособности ОС!
Очистите кэш и куки браузера. Сообщите, наблюдается ли проблема после выполнения скрипта.
All processes killed
========== OTL ==========
No active process named SmallySmall.exe was found!
No active process named Smally.exe was found!
Error: Unable to stop service smallyfilter!
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\smallyfilter deleted successfully.
C:\Windows\SysNative\drivers\smallyfilter.sys moved successfully.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\Search Page| /E : value set successfully!
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\Search Page| /E : value set successfully!
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\DefaultScope| /E : value set successfully!
HKEY_USERS.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes\DefaultScope| /E : value set successfully!
HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes\DefaultScope| /E : value set successfully!
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\Locked deleted successfully.
Registry value HKEY_USERS\S-1-5-21-1877579243-3683764754-89335578-1001\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID{7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA}\ not found.
Registry value HKEY_USERS\S-1-5-21-1877579243-3683764754-89335578-1001\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{91397D20-1446-11D4-8AF4-0040CA1127B6} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID{91397D20-1446-11D4-8AF4-0040CA1127B6}\ not found.
Registry value HKEY_USERS\S-1-5-21-1877579243-3683764754-89335578-1001\Software\Microsoft\Windows\CurrentVersion\Run\Smally not found.
File C:\Users\Kolya\AppData\Local\Smally\Smally.exe not found.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces{B99CEB5D-2108-4373-B2EA-ED6B4C3DF6C0}\DhcpNameServer| /E : value set successfully!
ADS C:\ProgramData\Temp:A064CECC deleted successfully.
ADS C:\ProgramData\Temp:41ADDB8A deleted successfully.
========== FILES ==========
C:\Users\Kolya\AppData\Roaming\UpdaterEX\UpdateProc folder moved successfully.
C:\Users\Kolya\AppData\Roaming\UpdaterEX folder moved successfully.
C:\Users\Kolya\AppData\Roaming\sweet-page\images\code folder moved successfully.
C:\Users\Kolya\AppData\Roaming\sweet-page\images folder moved successfully.
C:\Users\Kolya\AppData\Roaming\sweet-page folder moved successfully.
File\Folder C:\windows\System32\Tasks\UpdaterEX not found.
C:\windows\Tasks\UpdaterEX.job moved successfully.
C:\Users\Kolya\AppData\Local\Smally\smallyfilterTemp\SSL folder moved successfully.
C:\Users\Kolya\AppData\Local\Smally\smallyfilterTemp folder moved successfully.
C:\Users\Kolya\AppData\Local\Smally folder moved successfully.
C:\Users\Kolya\AppData\Local\Conduit folder moved successfully.
C:\Program Files\Conduit folder moved successfully.
File\Folder C:\windows\System32\Tasks\UpdaterEX not found.
File\Folder C:\Users\Kolya\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Smally not found.
File\Folder C:\Users\Kolya\AppData\Local\Smally not found.
========== COMMANDS ==========
[EMPTYTEMP]
User: All Users
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: Kolya
->Temp folder emptied: 3311453 bytes
->Temporary Internet Files folder emptied: 263642235 bytes
->Java cache emptied: 559402 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 617 bytes
User: Public
User: Все пользователи
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 449656 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 543745 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 51099 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 256,00 mb
Restore point Set: OTL Restore Point
OTL by OldTimer - Version 3.2.69.0 log created on 06162014_013119
Files\Folders moved on Reboot…
C:\Users\Kolya\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
File move failed. C:\windows\temp_avast_\AvastLock.txt scheduled to be moved on reboot.
PendingFileRenameOperations files…
Registry entries deleted on Reboot…
После удаления программы и выполнения скрипта проблема исчесла. Большое вам спасибо!
Если проблем больше нет, то запустите снова программу OTL by OldTimer и нажмите кнопку CleanUp для удаления программы.