Форум программистов, компьютерный форум, киберфорум
Наши страницы
Лечение компьютерных вирусов
Войти
Регистрация
Восстановить пароль
 
Рейтинг 4.57/7: Рейтинг темы: голосов - 7, средняя оценка - 4.57
elenasuhinina
0 / 0 / 0
Регистрация: 26.01.2015
Сообщений: 10
1

BlockAndSurf замучал

26.01.2015, 03:50. Просмотров 1286. Ответов 9
Метки нет (Все метки)

Здравствуйте!

После установки программы ярлыки всех браузеров заменились на BAT файлы (chrome.bat, firefox.bat) браузеры теперь живут своей жизнью - сами запускаются и включают рекламу интернет магазинов и прочей дряни. На страничке Доктор веб курит - прямо поверх всего этого сайта 5 рекламных баннеров, со странички Касперского скачивание утилиты вообще не срабатывает!

Ещё появилось серое окно Windows Version Installer - это тоже вирус? Или Гейтс забыл где у него автоматическое обновление системы)

1. Компьютер прогнан через Dr.Web CureIt!
2. Содержание временных папок удалено
3. Логи собраны
0
Вложения
Тип файла: zip CollectionLog-2015.01.26-03.05.zip (74.6 Кб, 3 просмотров)
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
26.01.2015, 03:50
Ответы с готовыми решениями:

Рекламный вирус в Хроме. замучал
Доброго времени суток! Помогите пожалуйста побороть рекламный вирус в Хроме....

замучал Trojan.Win32.Ddox.ci!
из-за этой заразы не могу зайти в контакт,просит активацию вот лог...

BlockAndSurf
вместе с AP Tuner'ом скачался вирус BlockAndSurf. До того, как узнала, что это...

BlockAndSurf
помогите пожалуйста.вот лог

Вирус BlockAndSurf
Помогите удалить вирус. В браузерах постоянно всплывают баннеры и окна с...

9
severnyj
Вирусоборец
2966 / 1593 / 202
Регистрация: 04.04.2012
Сообщений: 5,937
26.01.2015, 04:29 2
Внимание! Рекомендации написаны специально для пользователя elenasuhinina. Если рекомендации написаны не для вас, не используйте их -
это может повредить вашей системе!!! Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\users\dns\appdata\roaming\vopackage\vosrv.exe');
 TerminateProcessByName('c:\users\dns\appdata\local\convertad\casrv.exe');
 TerminateProcessByName('c:\program files (x86)\ver4blockandsurf\blockandsurf.exe');
 SetServiceStart('webinstrNHKT', 4);
 SetServiceStart('servervo', 4);
 SetServiceStart('serverca', 4);
 StopService('webinstrNHKT');
 StopService('servervo');
 StopService('serverca');
 QuarantineFile('C:\Program Files (x86)\ver4BlockAndSurf\J6BlockAndSurfR79.exe', '');
 QuarantineFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe', '');
 QuarantineFile('C:\Users\DNS\AppData\Local\gmsd_ru_91\upgmsd_ru_91.exe', '');
 QuarantineFile('C:\Program Files (x86)\gmsd_ru_91\gmsd_ru_91.exe', '');
 QuarantineFile('C:\Program Files (x86)\ASUS\AsusVibe\asusvibelauncher.bat', '');
 QuarantineFile('C:\Windows\system32\Drivers\webinstrNHKT.sys', '');
 QuarantineFile('C:\Program Files (x86)\ver4BlockAndSurf\186.dll', '');
 QuarantineFile('c:\users\dns\appdata\roaming\vopackage\vosrv.exe', '');
 QuarantineFile('c:\windows\system32\tiltwheelmouse.exe', '');
 QuarantineFile('c:\users\dns\appdata\local\convertad\casrv.exe', '');
 QuarantineFile('c:\program files (x86)\ver4blockandsurf\blockandsurf.exe', '');
 DeleteFile('c:\program files (x86)\ver4blockandsurf\blockandsurf.exe', '32');
 DeleteFile('C:\Program Files (x86)\ver4BlockAndSurf\186.dll', '32');
 DeleteFile('C:\Users\DNS\AppData\Local\ConvertAd\CASrv.exe', '32');
 DeleteFile('C:\Windows\system32\Drivers\webinstrNHKT.sys', '32');
 DeleteFile('C:\Program Files (x86)\ASUS\AsusVibe\asusvibelauncher.bat', '32');
 DeleteFile('C:\Program Files (x86)\gmsd_ru_91\gmsd_ru_91.exe', '32');
 DeleteFile('C:\Users\DNS\AppData\Local\gmsd_ru_91\upgmsd_ru_91.exe', '32');
 DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job', '64');
 DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe', '32');
 DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job', '64');
 DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job', '64');
 DeleteFile('C:\Program Files (x86)\ver4BlockAndSurf\J6BlockAndSurfR79.exe', '32');
 DeleteFile('C:\Windows\Tasks\BlockAndSurf Update.job', '64');
 DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1', '64');
 DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2', '64');
 DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3', '64');
 DeleteFile('C:\Windows\system32\Tasks\BlockAndSurf Update', '64');
 DeleteFile('C:\Users\DNS\appdata\roaming\vopackage\vosrv.exe', '32');
 DeleteService('webinstrNHKT');
 DeleteService('servervo');
 DeleteService('serverca');
 DeleteFileMask('c:\program files (x86)\ver4blockandsurf\', '*', true);
 DeleteDirectory('c:\program files (x86)\ver4blockandsurf\');
 DeleteFileMask('C:\Users\DNS\appdata\roaming\vopackage\', '*', true);
 DeleteDirectory('C:\Users\DNS\appdata\roaming\vopackage\');
 DeleteFileMask('c:\users\dns\appdata\local\convertad\', '*', true);
 DeleteDirectory('c:\users\dns\appdata\local\convertad\');
 DeleteFileMask('C:\Program Files (x86)\AnyProtectEx\', '*', true);
 DeleteDirectory('C:\Program Files (x86)\AnyProtectEx\');
 DeleteFileMask('C:\Program Files (x86)\gmsd_ru_91', '*', true);
 DeleteDirectory('C:\Program Files (x86)\gmsd_ru_91');
 DeleteFileMask('C:\Users\DNS\AppData\Local\gmsd_ru_91\', '*', true);
 DeleteDirectory('C:\Users\DNS\AppData\Local\gmsd_ru_91\');
 DelBHO('{B75511A6-1F81-8C46-6854-566A06D4D14D}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'gmsd_ru_91');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'upgmsd_ru_91.exe');
BC_ImportAll;
 ExecuteWizard('SCU', 2, 3, true);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.



- Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:
Код
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Gооglе Сhrоmе.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mоzillа Firеfох.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ореrа.lnk
C:\Users\Public\Desktop\Mоzillа Firеfох.lnk
C:\Users\Public\Desktop\Ореrа.lnk
C:\Users\DNS\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Gооglе Сhrоmе.lnk
C:\Users\DNS\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Intеrnеt Ехрlоrеr.lnk
C:\Users\DNS\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Mоzillа Firеfох.lnk
C:\Users\DNS\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Ореrа.lnk
C:\Users\DNS\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrоmе (2).lnk
C:\Users\DNS\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrоmе.lnk
C:\Users\DNS\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Ехрlоrеr.lnk
C:\Users\DNS\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mоzillа Firеfох (2).lnk
C:\Users\DNS\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mоzillа Firеfох.lnk
C:\Users\DNS\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Ореrа.lnk
C:\Users\DNS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехрlоrеr (Nо Аdd-оns).lnk
C:\Users\DNS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехрlоrеr.lnk
C:\Users\DNS\Desktop\Gооglе Сhrоmе.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ASUS\AsusVibe\АSUS  Vibе Fun Сеntеr.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nero\Nеrо MеdiаBrоwsеr.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\АsusVibеLаunсhеr.lnk
C:\Users\Public\Desktop\АSUS  Vibе Fun Сеntеr.lnk

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
1
elenasuhinina
0 / 0 / 0
Регистрация: 26.01.2015
Сообщений: 10
26.01.2015, 06:09  [ТС] 3
Спасибо большое!

Реклама пропала!
Нужно ли производить удаления точек восстановления системы?

Прилагаю файлы отчетов. Последняя программка почему-то выдала сразу два.
0
Вложения
Тип файла: log ClearLNK-26.01.2015_05-53.log (8.8 Кб, 1 просмотров)
Тип файла: txt AdwCleaner[R0].txt (5.6 Кб, 0 просмотров)
Тип файла: txt AdwCleaner[S0].txt (4.9 Кб, 1 просмотров)
severnyj
Вирусоборец
2966 / 1593 / 202
Регистрация: 04.04.2012
Сообщений: 5,937
26.01.2015, 06:11 4
Пришлите карантин
Цитата Сообщение от severnyj Посмотреть сообщение
Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Давайте посмотрим, может что осталось. Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
1
elenasuhinina
0 / 0 / 0
Регистрация: 26.01.2015
Сообщений: 10
26.01.2015, 07:21  [ТС] 5
Так-с. Отправляю новый лог, а карантин, как и предыдущий, через форму.
0
Вложения
Тип файла: zip CollectionLog-2015.01.26-07.17.zip (72.3 Кб, 1 просмотров)
severnyj
Вирусоборец
2966 / 1593 / 202
Регистрация: 04.04.2012
Сообщений: 5,937
26.01.2015, 07:23 6
Что-то он не пришел, видимо ограничение на размер файла сработало, отправьте по почте, адрес выше

Добавлено через 12 секунд
Лог смотрю
0
elenasuhinina
0 / 0 / 0
Регистрация: 26.01.2015
Сообщений: 10
26.01.2015, 07:27  [ТС] 7
Не разобралась с отправкой почтой. Я написала в теме, а потом отправила карантин через форму. Он всего 1 КБ вроде, может пришёл?
0
severnyj
Вирусоборец
2966 / 1593 / 202
Регистрация: 04.04.2012
Сообщений: 5,937
26.01.2015, 07:30 8
Чисто.

Выполните скрипт в AVZ при наличии доступа в интернет:

Код
var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Рекомендации после удаления вредоносного ПО
1
elenasuhinina
0 / 0 / 0
Регистрация: 26.01.2015
Сообщений: 10
26.01.2015, 07:35  [ТС] 9
Сделано. Ничего не нашло. Пишет - чисто.
Читаю рекомендации. Спасибо огроменное!!!
0
severnyj
Вирусоборец
2966 / 1593 / 202
Регистрация: 04.04.2012
Сообщений: 5,937
26.01.2015, 07:38 10
Удачи
0
26.01.2015, 07:38
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
26.01.2015, 07:38

ADS BY BlockAndSurf
Попал ко мне компьютер с просьбой почистить от ненужных программ (пользователь...

Вирус BlockandSurf
Во всех браузерах вылазят рекламные банеры BlockandSurf. Помогите удалить....

Вирус BlockandSurf
Добрый вечер!Поздравляю всех с Новым годом) Поймал BlockandSurf,прошу помощи)...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
10
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2018, vBulletin Solutions, Inc.
Рейтинг@Mail.ru