C Одноклассников и с сайта Доктора Веба перенаправляет на фейсбук

@Puzashushlik · Регистрация: 24.04.2011

Author24 — интернет-сервис помощи студентам

Доброго времени суток.
Ситуация такая: пару недель назад я обнаружил, что у меня в закладках вместо значка одноклассников-значок фейсбук. Перешел по ссылке, попал на фейсбук. Сегодня решил проверить ноут на вирусы. Зашел на сайт доктор веб, чтоб загрузить CureIt, после окончания всех процедур меня должно было перенаправить на ВебIQметр, вместо этого я попал в группу веба на фейсбуке. И сегодня гугл хром начал подтормаживать. С одной вкладки на другую переключает не шибко быстро.
В-общем, прогнал систему кюритом, нашел он пару файлов, удалил. Но эти файлы загружались ДО появления проблем.
Процедуры по инструкции сделал, логи прилагаю. Два лога Rsit в архиве с одноименным названием.

@~~Katharsis~~ · 22.03.2013, 13:36

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
_______________________________________________________

1. AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт (без номеров строк) - Нажать кнопку Запустить.

Код

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
end.

2 откройте блокнотом файл C:\Windows\tasks\At1.job

текст скопируйте сюда

3. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет найдено, НИЧЕГО НЕ УДАЛЯЙТЕ САМОСТОЯТЕЛЬНО !!!
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

@Puzashushlik · 22.03.2013, 18:58 **[ТС]**

Содержимое файла At1.job:

At1.job

к®•ЇZь‰FЄбп7КьфЗF H <
s а!Ь # H r e g e d i t . e x e D / E / A " C : \ ~ S A M I n s . T M P " " H K E Y _ L O C A L _ M A C H I N E \ S A M \ S A M \ D o m a i n s \ A c c o u n t " A8AB5<0 !>AB02;5=> N e t S c h e d u l e J o b A d d . 0 Ь # ^ЕЏр3Х&ў~Ц1№3&©{nPЫ$6Рр¤М`ХИqп5~cм2jФ±1Ь3@AЭбїЉПџФ›—&Xр•=

Отчет Malwarebytes прикреплен ниже.

@~~Katharsis~~ · 22.03.2013, 19:10

1. удалите это:

Обнаруженные ключи в реестре: 2
HKLM\SOFTWARE\PUBLIC DOMAIN\BLAT (PUP.Mailer.Blat) -> Действие не было предпринято.
HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\BLOCK_READER (Trojan.LdPinch) -> Действие не было предпринято.

Обнаруженные параметры в реестре: 2
HKLM\SOFTWARE\PUBLIC DOMAIN\BLAT|SMTP server (PUP.Mailer.Blat) -> Параметры: smtp.yandex.ru -> Действие не было предпринято.
HKLM\SYSTEM\CurrentControlSet\Services\block_reader|DisplayName (Trojan.LdPinch) -> Параметры: MPR DRV -> Действие не было предпринято.

и At1.job тоже

2. Почистите браузеры с помощью AVZ

меню файл - мастер поиска и устранения проблем - категория - чистка системы, степень опасности - все проблемы. отметьте:

очистка папки TEMP
очистка временных файлов adobe flash player
очистка кэш macromedia
очистка системной папки TEMP
очистка кэша всех браузеров, какие есть в списке

так же удалите лишние тулбары через программы и компоненты

3. переподключитесь, проверьте

@Puzashushlik · 22.03.2013, 19:44 **[ТС]**

Браузер стал работать намного быстрее. Но доктор веб все равно перенаправляет на свою страницу в фейсбуке.
Чем перепроверить?

@shestale · 22.03.2013, 19:51

т.е. вы пытаетесь зайти на страничку вэба, а вас переправляет на страничку вэба, но в фейсбуке?

@~~Katharsis~~ · 22.03.2013, 19:55

дайте ссылку на страницу с которой вас перенаправляет

@Puzashushlik · 22.03.2013, 20:44 **[ТС]**

Сейчас в картинках все покажу!

Прощу прощения за подробность, сделал, дабы не считали меня совсем дурным. То есть лишних кнопок я не нажимаю, и вот что получаю.

Перенаправляет отсюда

@~~Katharsis~~ · 22.03.2013, 20:50

у меня по этой ссылке открывается лицензионное соглашение. если я его принимаю, начинается загрузка cureit а потом открывается эта же страница фейсбука. ничего необычного

@shestale · 22.03.2013, 20:54

У меня тоже самое. Издержки бесплатного ПО.

@Puzashushlik · 22.03.2013, 20:58 **[ТС]**

Если так, то и бог с ним! Главное, что браузер стал работать быстро и хорошо! Спасибо!

@~~Katharsis~~ · 22.03.2013, 21:00

Рекомендации после удаления вредоносного ПО

для профилактики повторных заражений скачайте и запустите SecurityCheck by glax24 , когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности. Скачайте и установите обновления по ссылкам.

@Puzashushlik · 22.03.2013, 21:18 **[ТС]**

Собственно, лог ниже.

Лог

Security Check by glax24 version 0.1.6.54 rc1
WebSite: www.safezone.cc
DataLog 22.03.2013 21:16:55
Program directory: C:\Users\Пуза\AppData\Local\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True
XML File - VersionInet=3.5
Диск C:\ ФС: NTFS Емкость: (451.5 Гб) Занято: (402.7 Гб) Свободно: (48.8 Гб)
__________________________________________________

WIN_7(6.1) Build 7601 (x64) HomeBasic Lang: Russian(0419)
Дата установки ОС: 03.09.2011 12:25:05
Статус лицензии: Windows(R) 7, HomeBasic edition Постоянная активация прошла успешно.
Service Pack 1
Internet Explorer 9.0.8112.16421
-------------Windows------------------------------
Контроль учётных записей пользователя включен
Загружать автоматически обновления и устанавливать по заданному расписанию
Дата установки обновлений: 2013-03-19 07:48:12
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
-------------Antivirus_WMI------------------------
Kaspersky Internet Security
Антивирус устарел
Сканирование отключено
Kaspersky Internet Security
Антивирус обновлен
-------------Firewall_WMI-------------------------
Kaspersky Internet Security
Kaspersky Internet Security
-------------AntiSpyware_WMI----------------------
Kaspersky Internet Security
Windows Defender
Kaspersky Internet Security
-------------AntiVirusFirewallInstall-------------
Kaspersky Internet Security 2010 v.9.0.0.736
-------------OtherUtilities-----------------------
GPL Ghostscript 8.71
Malwarebytes Anti-Malware, версия 1.70.0.1100 v.1.70.0.1100
-------------Java---------------------------------
Java(TM) 6 Update 24 (64-bit) v.6.0.240 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jdk-6u43-windows-x64.exe)^
Java 7 Update 11 (64-bit) v.7.0.110 Внимание! Скачать обновления
^Скачайте jre-7u17-windows-x64.exe^
Java SE Development Kit 7 Update 11 (64-bit) v.1.7.0.110 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jdk-7u17-windows-x64.exe)^
JavaFX 2.1.1 v.2.1.1 Внимание! Скачать обновления
^Скачайте javafx-2_2_7-windows-i586.exe^
Java(TM) 6 Update 31 v.6.0.310 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jdk-6u43-windows-i586.exe)^
Java 7 Update 17 v.7.0.170
-------------AppleProduction----------------------
##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Служба работает
-------------AdobeProduction----------------------
Adobe Flash Player 11 ActiveX v.11.6.602.180 [+]
Adobe Flash Player 11 Plugin v.11.6.602.180 [+]
Adobe Shockwave Player 11.6 v.11.6.8.638 Внимание! Скачать обновления
Adobe Reader X (10.1.6) MUI v.10.1.6 Внимание! Скачать обновления
-------------Browser------------------------------
Google Chrome v.25.0.1364.172 [+]
Mozilla Firefox 19.0 (x86 ru) v.19.0 Внимание! Скачать обновления
Opera 12.12 v.12.12.1707 Внимание! Скачать обновления
-------------EmailClient--------------------------
Mozilla Thunderbird 15.0.1 (x86 ru) v.15.0.1 Внимание! Скачать обновления
Mozilla Thunderbird 10.0.2 (x86 ru) v.10.0.2 Внимание! Скачать обновления
-------------RunningProcess-----------------------
C:\Users\Пуза\AppData\Local\Google\Chrome\Application\chrome.exe v.25.0.1364.172
-------------EndLog-------------------------------

Что значит запись: "антивирус устарел"?

@~~Katharsis~~ · 22.03.2013, 21:48

обновить значит надо

@Puzashushlik · 23.03.2013, 13:30 **[ТС]**

-------------Antivirus_WMI------------------------
Kaspersky Internet Security
Антивирус устарел
Сканирование отключено
Kaspersky Internet Security
Антивирус обновлен

А в данном контексте? Как это понимать?
Спрашиваю потому, что хочу разобраться и потом не донимать никого лишний раз.

@~~Katharsis~~ · 23.03.2013, 21:03

спрошу

Добавлено через 7 часов 27 минут
\\\

Сообщение от glax24

Версия 2010 а последняя 2013, вот касперский и говорит что антивирус устарел, но базы обновлены

@~~Katharsis~~ Заблокирован
	22.03.2013, 21:48	14
	обновить значит надо 0

@~~Katharsis~~ Заблокирован
	22.03.2013, 13:36	2
	Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. _______________________________________________________ 1. AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт (без номеров строк) - Нажать кнопку Запустить. Код begin RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU',2,3,true); end. 2 откройте блокнотом файл C:\Windows\tasks\At1.job текст скопируйте сюда 3. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет найдено, НИЧЕГО НЕ УДАЛЯЙТЕ САМОСТОЯТЕЛЬНО !!! Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. 1

@~~Katharsis~~ Заблокирован
	22.03.2013, 19:10	4
	1. удалите это: Обнаруженные ключи в реестре: 2 HKLM\SOFTWARE\PUBLIC DOMAIN\BLAT (PUP.Mailer.Blat) -> Действие не было предпринято. HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\BLOCK_READER (Trojan.LdPinch) -> Действие не было предпринято. Обнаруженные параметры в реестре: 2 HKLM\SOFTWARE\PUBLIC DOMAIN\BLAT\|SMTP server (PUP.Mailer.Blat) -> Параметры: smtp.yandex.ru -> Действие не было предпринято. HKLM\SYSTEM\CurrentControlSet\Services\block_reader\|DisplayName (Trojan.LdPinch) -> Параметры: MPR DRV -> Действие не было предпринято. и At1.job тоже 2. Почистите браузеры с помощью AVZ меню файл - мастер поиска и устранения проблем - категория - чистка системы, степень опасности - все проблемы. отметьте: очистка папки TEMP очистка временных файлов adobe flash player очистка кэш macromedia очистка системной папки TEMP очистка кэша всех браузеров, какие есть в списке так же удалите лишние тулбары через программы и компоненты 3. переподключитесь, проверьте 1

@Puzashushlik 0 / 0 / 0 Регистрация: 24.04.2011 Сообщений: 11
	22.03.2013, 19:44 [ТС]	5
	Браузер стал работать намного быстрее. Но доктор веб все равно перенаправляет на свою страницу в фейсбуке. Чем перепроверить? 0

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	22.03.2013, 19:51	6
	т.е. вы пытаетесь зайти на страничку вэба, а вас переправляет на страничку вэба, но в фейсбуке? 0

@~~Katharsis~~ Заблокирован
	22.03.2013, 19:55	7
	дайте ссылку на страницу с которой вас перенаправляет 1

@Puzashushlik 0 / 0 / 0 Регистрация: 24.04.2011 Сообщений: 11
	22.03.2013, 20:44 [ТС]	8
	Сейчас в картинках все покажу! Прощу прощения за подробность, сделал, дабы не считали меня совсем дурным. То есть лишних кнопок я не нажимаю, и вот что получаю. Перенаправляет отсюда 0

@~~Katharsis~~ Заблокирован
	22.03.2013, 20:50	9
	у меня по этой ссылке открывается лицензионное соглашение. если я его принимаю, начинается загрузка cureit а потом открывается эта же страница фейсбука. ничего необычного Миниатюры 0

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	22.03.2013, 20:54	10
	У меня тоже самое. Издержки бесплатного ПО. 0

@Puzashushlik 0 / 0 / 0 Регистрация: 24.04.2011 Сообщений: 11
	22.03.2013, 20:58 [ТС]	11
	Если так, то и бог с ним! Главное, что браузер стал работать быстро и хорошо! Спасибо! 0

@~~Katharsis~~ Заблокирован
	22.03.2013, 21:00	12
	Рекомендации после удаления вредоносного ПО для профилактики повторных заражений скачайте и запустите SecurityCheck by glax24 , когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности. Скачайте и установите обновления по ссылкам. 0

	23.03.2013, 21:03

@Puzashushlik 0 / 0 / 0 Регистрация: 24.04.2011 Сообщений: 11
	22.03.2013, 21:18 [ТС]	13
	Собственно, лог ниже. Лог Security Check by glax24 version 0.1.6.54 rc1 WebSite: www.safezone.cc DataLog 22.03.2013 21:16:55 Program directory: C:\Users\Пуза\AppData\Local\Temp\SecurityCheck\ Log directory: C:\SecurityCheck\ IsAdmin: True XML File - VersionInet=3.5 Диск C:\ ФС: NTFS Емкость: (451.5 Гб) Занято: (402.7 Гб) Свободно: (48.8 Гб) __________________________________________________ WIN_7(6.1) Build 7601 (x64) HomeBasic Lang: Russian(0419) Дата установки ОС: 03.09.2011 12:25:05 Статус лицензии: Windows(R) 7, HomeBasic edition Постоянная активация прошла успешно. Service Pack 1 Internet Explorer 9.0.8112.16421 -------------Windows------------------------------ Контроль учётных записей пользователя включен Загружать автоматически обновления и устанавливать по заданному расписанию Дата установки обновлений: 2013-03-19 07:48:12 Центр обновления Windows (wuauserv) - Служба работает Центр обеспечения безопасности (wscsvc) - Служба работает -------------Antivirus_WMI------------------------ Kaspersky Internet Security Антивирус устарел Сканирование отключено Kaspersky Internet Security Антивирус обновлен -------------Firewall_WMI------------------------- Kaspersky Internet Security Kaspersky Internet Security -------------AntiSpyware_WMI---------------------- Kaspersky Internet Security Windows Defender Kaspersky Internet Security -------------AntiVirusFirewallInstall------------- Kaspersky Internet Security 2010 v.9.0.0.736 -------------OtherUtilities----------------------- GPL Ghostscript 8.71 Malwarebytes Anti-Malware, версия 1.70.0.1100 v.1.70.0.1100 -------------Java--------------------------------- Java(TM) 6 Update 24 (64-bit) v.6.0.240 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jdk-6u43-windows-x64.exe)^ Java 7 Update 11 (64-bit) v.7.0.110 Внимание! Скачать обновления ^Скачайте jre-7u17-windows-x64.exe^ Java SE Development Kit 7 Update 11 (64-bit) v.1.7.0.110 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jdk-7u17-windows-x64.exe)^ JavaFX 2.1.1 v.2.1.1 Внимание! Скачать обновления ^Скачайте javafx-2_2_7-windows-i586.exe^ Java(TM) 6 Update 31 v.6.0.310 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jdk-6u43-windows-i586.exe)^ Java 7 Update 17 v.7.0.170 -------------AppleProduction---------------------- ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Служба работает -------------AdobeProduction---------------------- Adobe Flash Player 11 ActiveX v.11.6.602.180 [+] Adobe Flash Player 11 Plugin v.11.6.602.180 [+] Adobe Shockwave Player 11.6 v.11.6.8.638 Внимание! Скачать обновления Adobe Reader X (10.1.6) MUI v.10.1.6 Внимание! Скачать обновления -------------Browser------------------------------ Google Chrome v.25.0.1364.172 [+] Mozilla Firefox 19.0 (x86 ru) v.19.0 Внимание! Скачать обновления Opera 12.12 v.12.12.1707 Внимание! Скачать обновления -------------EmailClient-------------------------- Mozilla Thunderbird 15.0.1 (x86 ru) v.15.0.1 Внимание! Скачать обновления Mozilla Thunderbird 10.0.2 (x86 ru) v.10.0.2 Внимание! Скачать обновления -------------RunningProcess----------------------- C:\Users\Пуза\AppData\Local\Google\Chrome\Application\chrome.exe v.25.0.1364.172 -------------EndLog------------------------------- Что значит запись: "антивирус устарел"? 0

@Puzashushlik 0 / 0 / 0 Регистрация: 24.04.2011 Сообщений: 11
	23.03.2013, 13:30 [ТС]	15
	-------------Antivirus_WMI------------------------ Kaspersky Internet Security Антивирус устарел Сканирование отключено Kaspersky Internet Security Антивирус обновлен А в данном контексте? Как это понимать? Спрашиваю потому, что хочу разобраться и потом не донимать никого лишний раз. 0