10 ответов в этой теме

[ИВАН 313]

Появились проблемы с интернетом. Сначала была просто навязчивая баннерная реклама от aliexspress, которая появлялась вне зависимости от включенных расширений браузера.  (Как то раз угораздило меня там что-то купить). Потом стала происходить автоматическая подмена страниц – открывался aliexspress. Вот ссылка для примера: http://best.aliexpress.com/ru.htm?af=79219&dp=FETUZ7BOXMLqHnLQxK5xyBGg0ZKvwapu-F2HXKP-sjRvk5Cd2MdLB3I2y1QvucLRlHplL33CuSQJJVazxMo2CsG1aF1upkFlHtBOZLb_yTTi4wXGM9rBD0d9AyXKa1XZULKYIKpl3zNp-J9HhdQcCtk79IjOTZUtQJlXo4sovNUQ7l7lI6m9svKlJxxt5-1AhkAI8QTA9PF1Q2wCJm1LEqmI5vDkHCEF9dhWPutc6lM__34435&cv=4089_55f041bfe4b03d096bd487b2___&alpsm=true&sms=suginter&sms_type=country&aff_platform=aaf&sk=zqeYbqa%3A&cpt=1441809111178&aff_trace_key=a00d3055ef7646acb3740a47c7d6530c-1441809111178-03787-zqeYbqa

 

Потом переадресация пошла и на другие сайты, в том числе и туда где нужно было что-то устанавливать, и выход с таких страниц требовал дополнительного подтверждения. При этом сам интернет ужасно тормозит – очень медленно реагирует на движения мышки и другие запросы, кроме того, даже открытые в другой вкладке страницы «проявляются» не сразу а с задержкой. Любой поисковый запрос или регистрация (например, у вас на форуме) превращаются в адские муки (это сообщение сначала пришлось набирать в ворде). Никаких угроз CureIt не обнаружил.

Вроде бы сделал все по инструкции – все отчеты прикрепляю.

Это  ссылка на CureIt:  https://yadi.sk/i/fqgs8XTZiyCZR

Это на DrWeb SysInfo: https://yadi.sk/d/E5Tg4Ni2iyDDW

Еще один прикреплен к сообщению.

Прошу помочь решить данную проблему.

Прикрепленные файлы:

•  hijackthis.log   9,46К   8 Скачано раз

[Dr.Robot]

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web подробнее.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];


4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig


Для этого проделайте следующее:

• Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
• В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
• Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
• Приложите этот файл к своему сообщению на форуме.

Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.

[IMAX_3D]

Через роутер сидите?

[brisyo]

Мда....столько малвари, что проще ОС перезалить и роутер сбросить....

[Dmitry_rus]

...это называется "не хочу разбираться". Это все-таки раздел помощи по лечению, а не советов по переустановке ОС. Переустановка - это крайняя мера, когда все другие варианты уже испробованы и показали свою неэффективность.

[v.martyanov]

Тем более что ничего полезного, в итоге, не было получено.

[Aleksandra]

Пофиксите в HijackThis от имени администратора:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1425032535&from=wpc&uid=ST31000524AS_5VPCVHBAXXXX5VPCVHBA
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1425032535&from=wpc&uid=ST31000524AS_5VPCVHBAXXXX5VPCVHBA
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1425032535&from=wpc&uid=ST31000524AS_5VPCVHBAXXXX5VPCVHBA&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1425032535&from=wpc&uid=ST31000524AS_5VPCVHBAXXXX5VPCVHBA&q={searchTerms}
O2 - BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file)
O2 - BHO: ReguLareDeals - {F621FFE0-196E-4127-9467-BC63182DC67E} - C:\Program Files (x86)\ReguLareDeals\g5Fab1tPfE7KFD.dll
O4 - HKCU\..\Run: [TorProject] C:\Users\1\AppData\Roaming\Tor Project\tor.exe
O4 - HKCU\..\Run: [node-webkit] C:\Users\1\AppData\Roaming\GemWare\node-webkit.exe
O4 - HKCU\..\Run: [MediaGet2] C:\Users\1\AppData\Local\MediaGet2\mediaget.exe --minimized
O17 - HKLM\System\CCS\Services\Tcpip\..\{D63D6D32-ACE9-4733-B4B8-71045BD0AEB7}: NameServer = 82.163.143.172,82.163.142.174

Очистите кэш браузера и сделайте повторный лог.

[brisyo]

Интересно, помогло ли это?...

[ИВАН 313]

Всем спасибо за участие.

Почистил через HijackThis. Лог тут: https://yadi.sk/i/i2Ym85WBj47FN 

Пока вроде бы замены прекратились. Отпишусь еще раз через пару дней.

PS: Если сижу через роутер, это как-то влияет на безопасность работы компа?

[provayder]

PS: Если сижу через роутер, это как-то влияет на безопасность работы компа?

Есть вероятность подбора пароля к роутеру, и установка вредных DNS

[ИВАН 313]

Спасибо еще раз. Лечение помогло - автоматических переходов больше нет.