alex_sev, и если вам будет проще,можно запустить программу TeamViewer

Не с вирусом, а с ПНП.

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Delete" и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[S1].txt. Прикрепите отчет к своему следующему сообщениюВнимание: Для успешного удаления может потребоваться перезагрузка компьютера!!!


Запустите повторно OTL by OldTimer (http://oldtimer.geekstogo.com/OTL.exe) или OTL.com (http://oldtimer.geekstogo.com/OTL.com) или OTL.scr (http://oldtimer.geekstogo.com/OTL.scr).

Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

В окно Custom Scans/Fixes скопируйте следующую информацию:

:processes
:OTL
IE - HKCU\..\SearchScopes\{77ADC42B-B55F-443B-A930-B4DF37EB2C84}: "URL" = http://search.ticno.com/?c=t&q={searchTerms}
FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
[2012.07.25 12:18:48 | 000,000,475 | ---- | M] () -- C:\Users\artemka\AppData\Roaming\mozilla\firefox\profiles\412th0ch.default\searchplugins\ticno.xml
[2012.03.13 00:34:56 | 000,000,412 | ---- | M] () -- C:\Users\artemka\AppData\Roaming\mozilla\firefox\profiles\412th0ch.default\searchplugins\webalta-search.xml
[2012.12.24 20:26:57 | 000,000,000 | ---D | C] -- C:\Users\artemka\Documents\Iterra
[2012.11.14 08:39:30 | 000,000,138 | ---- | C] () -- C:\Windows\SysWow64\operaprefs_fixed.ini
[2013.01.18 16:37:37 | 000,000,000 | -H-D | M] -- C:\Users\artemka\AppData\Roaming\E0963277
[2012.06.28 16:11:50 | 000,000,000 | ---D | M] -- C:\Users\artemka\AppData\Roaming\Ticno
@Alternate Data Stream - 72 bytes -> C:\Users\artemka\AppData\Local\Application Data:wa
:Services

:Files

ipconfig /flushdns /c

:Reg

:Commands
[EMPTYTEMP]
[purity]
[start explorer]
[Reboot]
Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку "Run Fix"
Компьютер перезагрузится.
После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.


В логе видны остатки антивируса ESET воспользуйтесь утилитой очистки:


Загрузите и сохраните на рабочем столе утилиту ESET Uninstaller (http://download.eset.com/special/ESETUninstaller.exe).
Загрузите ПК в варианте Безопасный режим (http://safezone.cc/forum/showthread.php?t=19645).
Запустите программу ESET Uninstaller с рабочего стола, нажав 2 раза левой кнопкой мыши.
При появлении запроса указанного на скриншоте ниже нажмите Y (в англоязычной раскладке клавиатуры)
http://www.esetnod32.ru/upload/medialibrary/938/1.jpg
При появлении запроса указанного на скриншоте ниже с выбором номера продукта нажмите 1 и затем Enter
http://www.esetnod32.ru/upload/medialibrary/482/2.jpg
При появлении запроса указанного на скриншоте ниже нажмите Y (в англоязычной раскладке клавиатуры)
http://www.esetnod32.ru/upload/medialibrary/291/3.jpg
При появлении надписи "Press any key to exit" (на скриншоте выше последняя строка) нажмите любую клавишу на клавиатуре. Перезагрузите ПК в обычном режиме.



Затем сделайте новые логи OTL

alex_sev, и мне снова нужна помощь. запускаю adwcleaner.exe от имени администратора . жму detele , вылазит окно ,там жму "ок" и... "программа adwcleaner.exe не работает" и она закрывается.

Пропустите пока

После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение. »
что за путь ? _otl это папка ? у меня нет такого

Это папка в корне системного диска.

alex_sev, никакой такой папки не вижу

alex_sev, еще и после этих манипуляций появилось в браузере что-то

Неизвестный тип адреса
Firefox не может определить, как открыть данный адрес, так как протокол (yafd) не связан ни с одним приложением.

чем дальше ,тем лучше. и аваст какой-то вирус стал находить или что-то непонятное,что при включение высвечивается. тоже после всех сканирований появилось

Так это хорошо) Значит сковырнули что-то)

Скачайте Malwarebytes' Anti-Malware (http://malwarebytes.org/mbam-download-exe-random.php) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. (http://data.mbamupdates.com/tools/mbam-rules.exe)
Подробнее читайте в руководстве (http://safezone.cc/forum/showthread.php?t=16050)

alex_sev, это файлы с предыдущих инструкций...вроде. на счет второго не очень уверен. но вроде время изменения недавнее

alex_sev, вот. вроде то

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/forum/showthread.php?t=18577).

Выполните скрипт в АВЗ (http://safezone.cc/forum/showthread.php?t=10) (Файл - Выполнить скрипт):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFileF('C:\Users\artemka\Documents\Iterra', '*.*', true, '', 0, 0);
QuarantineFileF('C:\Users\artemka\Documents\Iterra', '*.*', true, '', 0, 0);
QuarantineFileF('C:\Users\artemka\AppData\Local\Webalta Toolbar', '*.*', true, '', 0, 0);
QuarantineFileF('C:\Windows\System32\YNLOKX\', '*.*', true, '', 0, 0);
QuarantineFileF('E:\Windows\assembly\GAC_MSIL\WebAltaSearch\', '*.*', true, '', 0, 0);
QuarantineFile('C:\Users\artemka\AppData\Roaming\Intel\Intel(R)GraphicsControls.exe','');
QuarantineFile('C:\Users\artemka\AppData\Local\Application Data:wa','');
DeleteFile('C:\Users\artemka\AppData\Local\Application Data:wa');
DeleteFile('C:\Windows\SysWow64\operaprefs_fixed.ini');
DeleteFile('C:\Users\artemka\AppData\Roaming\mozilla\firefox\profiles\412th0ch.default\searchplugins \ticno.xml');
DeleteFile('C:\Users\artemka\AppData\Roaming\mozilla\firefox\profiles\412th0ch.default\searchplugins \webalta-search.xml');
DeleteFileMask('C:\Users\artemka\Documents\Iterra', '*.*', true);
DeleteDirectory('C:\Users\artemka\Documents\Iterra');
DeleteFileMask('C:\Users\artemka\AppData\Roaming\Ticno', '*.*', true);
DeleteDirectory('C:\Users\artemka\AppData\Roaming\Ticno');
DeleteFileMask('E:\Windows\assembly\GAC_MSIL\WebAltaSearch\', '*.*', true);
DeleteDirectory('E:\Windows\assembly\GAC_MSIL\WebAltaSearch\');
DeleteFileMask('C:\Users\artemka\AppData\Local\Webalta Toolbar', '*.*', true);
DeleteDirectory('C:\Users\artemka\AppData\Local\Webalta Toolbar');
DeleteFileMask('C:\Windows\System32\YNLOKX\', '*.*', true);
DeleteDirectory('C:\Windows\System32\YNLOKX\');
DeleteFileMask('C:\Program Files (x86)\Ticno', '*.*', true);
DeleteFileMask('C:\Users\artemka\AppData\Local\TempDir', '*.*', true);
DeleteFileMask('C:\Users\artemka\AppData\Local\Ticno', '*.*', true);
DeleteFileMask('C:\Users\artemka\AppData\Roaming\Ticno', '*.*', true);
DeleteDirectory('C:\Program Files (x86)\Ticno');
DeleteDirectory('C:\Users\artemka\AppData\Local\TempDir');
DeleteDirectory('C:\Users\artemka\AppData\Local\Ticno');
DeleteDirectory('C:\Users\artemka\AppData\Roaming\Ticno');
RegKeyDel('HKCR','CLSID\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A}');
RegKeyDel('HKCU','SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633}');
RegKeyDel('HKCU','SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{77ADC42B-B55F-443B-A930-B4DF37EB2C84}');
RegKeyDel('HKCU','Microsoft\Windows\CurrentVersion\Ext\Settings\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A}');
RegKeyDel('HKCU','SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A}');
RegKeyDel('HKCU','Software\Microsoft\Windows\CurrentVersion\Uninstall\Webalta Toolbar');
RegKeyDel('HKCU','Software\Ticno Multibar');
RegKeyDel('HKLM','SOFTWARE\Software');
ExecuteSysClean;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы (http://www.oszone.net/virusnet/) или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Часть 2

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/forum/showthread.php?t=18577).

Выполните скрипт в АВЗ (http://safezone.cc/forum/showthread.php?t=10) (Файл - Выполнить скрипт):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
DeleteFile('C:\Users\artemka\AppData\Roaming\Intel\Intel(R)GraphicsControls.exe');
ExecuteSysClean;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

Компьютер перезагрузится.


Подготовьте лог OTL by OldTimer, как описано на этой странице (http://safezone.cc/forum/showpost.php?p=64662&postcount=1). Прикрепите полученные логи OTL.txt и Extra.txt к своему следующему сообщению. Если логи не прикрепляются запакуйте их в архив.

alex_sev, вроде это.

Запустите повторно OTL by OldTimer (http://oldtimer.geekstogo.com/OTL.exe) или OTL.com (http://oldtimer.geekstogo.com/OTL.com) или OTL.scr (http://oldtimer.geekstogo.com/OTL.scr).

Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

В окно Custom Scans/Fixes скопируйте следующую информацию:

:processes
:OTL
FF - prefs.js..browser.search.selectedEngine: "Webalta Search"
FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Low Rights present
[2005.04.08 06:16:43 | 000,000,000 | -H-D | M] -- C:\Users\artemka\AppData\Roaming\E0963277
@Alternate Data Stream - 72 bytes -> C:\Users\artemka\AppData\Local\Application Data:wa
:Services

:Files

ipconfig /flushdns /c

:Reg

:Commands
[EMPTYTEMP]
[purity]
[start explorer]
[Reboot]
Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку "Run Fix"
Компьютер перезагрузится.
После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.


Будьте внимательнее, поскольку в прошлый раз вы скрипт не выполнили!

alex_sev, ЭТО ?

All processes killed
========== PROCESSES ==========
========== OTL ==========
64bit-Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@microsoft.com/GENUINE\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@microsoft.com/GENUINE\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Low Rights\ not found.
Folder C:\Users\artemka\AppData\Roaming\E0963277\ not found.
Unable to delete ADS C:\Users\artemka\AppData\Local\Application Data:wa .
========== SERVICES/DRIVERS ==========
========== FILES ==========
< ipconfig /flushdns /c >
Windows IP Configuration
Successfully flushed the DNS Resolver Cache.
C:\Users\artemka\Downloads\cmd.bat deleted successfully.
C:\Users\artemka\Downloads\cmd.txt deleted successfully.
========== REGISTRY ==========
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: artemka
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 2678141 bytes
->FireFox cache emptied: 11954850 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 492 bytes

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Public

User: UpdatusUser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Все пользователи

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 51099 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 14,00 mb


OTL by OldTimer - Version 3.2.69.0 log created on 01192013_215301

Files\Folders moved on Reboot...
File\Folder C:\Users\artemka\AppData\Local\Temp\FXSAPIDebugLogFile.txt not found!
File move failed. C:\Windows\temp\_avast_\Webshlock.txt scheduled to be moved on reboot.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

alex_sev, там еще файл есть текстовый

Есть изменения в работе?

Поймали-таки зловреда BackDoor.Blackshades.3

alex_sev, по-моему не особо изменилось что-то. еще и с браузером теперь эта проблема ,когда просто пытаюсь открыть новую вкладку пустую. да и из закладок что-то. тоже что ли эта штука постаралась


Неизвестный тип адреса
Firefox не может определить, как открыть данный адрес, так как протокол (yafd) не связан ни с одним приложением.
Для открытия данного адреса вам, возможно, понадобится установить стороннее программное обеспечение.

alex_sev, хотя нет,изменения сильные. вру.

alex_sev, а что с барузером стало ?

alex_sev, но все же не все сайты работают нормально ...половина на половину

1 Откройте FireFox, наберите в адресной строке --->>> about:config
2 Выберите "Я обещаю, что буду осторожен !"
3 Открывается страничка....чуть ниже адресной строки открывается поле поиска. Введите yafd
4 правой кнопкой мыши выберите - сбросить значение

alex_sev, там 2 строчки. какую из них сбрасывать ?

Скрин можете сделать?