МатиасРуст 18-09-2015 18:48
докладаю кому интересно.
Проверил касперским с флешки. поудалял какие то рекламные вирусы.
проверяю - опа , снова реклама лезет.
обновил базы. снова касперский. опять реклама.
Заметил в маленьком окошке на экране "treasure track", через интернет нашел упоминания по удалению. Залез в программы - вот она, эта "треасуре". Удалил - полчаса работаю без проблем. Но раньше я уже проверял установленные программы - почемуто не припомню ее.
killbill2 19-09-2015 14:27
Недавно чистил от такой же хрени ноут. Решил ОСь не сносить. Для начала удалил обычным системным способом все непонятные программы (и браузеры кроме яндекса)с малоизвестными и подозрительными названиями. Затем установил аваста он выявил 6х штук паразитов. Удалил всех невзирая на их кажущуюся необходимость. Далее дефрагментация. Убрал автообновление в мелких оставленных прогах (также msconfig) и все.ноут начал летать никаких баннеров и т.п. (где-то в системе всеравно остались зародыши вирусов).Но это очень долго. Лучше скопировать все необходимое в несистемный раздел, переустановить Винду и просканировать авастом(аваста после можно удалить).так быстрее и проще. жаль под замес попадают пиратские игры т.е. взломщики типа skidrow, 3Dm ...
valve 06-12-2015 20:18
DNS сервера проверь на роутере и в свойствах подключения.
DJuk 20-03-2016 17:36
Недавно тоже цепанул подобный вирус, пробовал и dr.Web и KIS, но они его не видят. Прогнал еще прогой adwСleaner, нашел заразу, все завалил, перезагруз и все впорядке. Но стоит попользоваться браузером (пользуюсь оперой, других нет) потом закрыть оперу и перезагрузиться, тогда сного при запуске оперы открывается говносайт. В Свойствах ярлыка прописывается путь к .bat файлу (C:\ProgramData\NWJiLGFKvK\wcpbSLSmyq3.bat), если ярлык удалить и запустить из папки где установлена опера, тогда все гуд. А если отправить (создать ярлык на рабочем столе), через пару запусков оперы сного прописывается путь к .bat файлу, но уже с названием другого пути. Оперу тоже переустанавливал, не помогло.
Что сделать, как избавиться от этого ? В инете пересмотрел уже кучу видео и писанины разной, ничего не помогает. Я в шоке.
ELForcer 20-03-2016 19:56
Вирус подменил ярлыки браузеров.
Удалите их. Папки, куда ссылаются ярлыки тоже удалите.
Возможно еще стоят левые расширения в самих браузерах.
Если не удастся, напишите в PM. Могу удаленкой или на месте удалить.
------------------
Компьютерный мастер на дом или в офис. т. 47-81-47
VK: https://vk.com/work_elforcer
DJuk 20-03-2016 21:01
quote:
Originally posted by ELForcer:
Вирус подменил ярлыки браузеров.
Удалите их.
Я вкурсе, можно и не удалять ярлык, а руками исправить путь.
quote:
Originally posted by ELForcer:
Папки, куда ссылаются ярлыки тоже удалите.
Это само сабой понятно.
quote:
Originally posted by ELForcer:
Возможно еще стоят левые расширения в самих браузерах.
У меня стоит только один браузер ОПЕРА 36 других нет. В опере нет никаких расширений, кроме расширения AdBlock.
Заметил такую закономерность, если в свойствах папки указать "Показывать скрытые файлы, папки и диски", то вирус не активен, т.е. все работает, как будто и вируса небыло. Проверял в течении 3-х часов.
Но стоит только указать в свойствах папки "Не показывать скрытые файлы, папки и диски", тогда при запуске оперы сного в свойствах ярлыка появляется путь в скрытую системную папку "ProgramData" на файл с расширением .bat
ELForcer 20-03-2016 23:35
Всё таки какой-то процесс сидит в памяти. Надо смотреть.
Можете попробовать через Anvir Task Manager или ею подобной (Process Manager, Process Explorer, System Explorer и т.д.) найти его.
DJuk 21-03-2016 02:02
На скрине видно откуда ноги растут. Самый первый процесс Sersoft j2FoXA.exe*32
В стандартном диспетчере задач этого процесса нет, в авотозагрузке тоже чисто. В CCleaner тоже пусто. Увидел только через прогу AnVir Task Manager.
ELForcer 21-03-2016 07:39
@DJuk ну это хорошая прога, давно ею пользуюсь) Правда висит когда сильная нагрузка на винт идет. И если стопорится, то система тоже может тормозить, пока процесс не убьешь. В 8ой версии мб пофиксили это.
Ты его не видел потому что она с правами админа запускалась скорее всего.
А так же как служба.
DJuk 21-03-2016 11:19
Всё ребята, работает всё ок. Наконец то добил я эту заразу у себя.
quote:
Изначально написано ELForcer:
ELForcer
Я тебе там плюсанул в карму
