Требуется помощь с Adobe DTM Switch 1.0

Описание: Любые вопросы касающиеся компьютерной безопасности. Обсуждение антивирусов, фаерволов, а также помощь в лечении компьютера.
Правила раздела: http://pc-forums.ru/topic1880.html
Модератор: Junior

#1 pletmin » 01.12.2014, 10:33

Приветствую!
После установки винды, пришлось заново качать и устанавливать необходимые проги, и вот, с одной из них пришла такая напасть как "Adobe DTM Switch 1.0" в качестве расширения для браузера гугл хром, которая автоматически включается после каждой перезагрузки компа и если её не отключить, то всё обрастает рекламой и автоматическими переходами на сайты.

Как можно вылечить?

Прошёлся AdwCleaner-ом, вот что он удалил ( кстати, это baidu тоже по началу гадил)
Вот отчёт перейти по ссылке

Вот то, что стоит в автозагрузке перейти по ссылке

Больше идей нет :) Скажу сразу - я нуб в таких делах, так что если кто и захочет помочь то, пожалуйста, чуточку проще объясните :)
pletmin
Автор темы, Участник форума
Участник форума
Репутация: 0
Лояльность: 0 (+0/−0)
Сообщения: 31
Темы: 6
Зарегистрирован: 06.06.2014
С нами: 2 года 5 месяцев

Требуется помощь с Adobe DTM Switch 1.0

 

#2 stalker78yd » 01.12.2014, 11:13

Так она у вас в автозагрузке и стоит (4ая с верху)
Так же из хрома само расширение можно удалить и поискать в панели управления - программы и компоненты.
stalker78yd M
Эксперт
Эксперт
Аватара
Возраст: 38
Откуда: 4ый энергоблок
Репутация: 1061
Лояльность: 192 (+195/−3)
Сообщения: 9916
Темы: 7
Зарегистрирован: 14.07.2014
С нами: 2 года 4 месяца

 

#3 pletmin » 01.12.2014, 11:18

По поводу удаления самого расширения - не помогает. После перезагрузки оно снова включено.
А автозагрузку ту отключать побоялся, ибо путь прописан как что то связанное с виндой :)

Добавлено спустя 10 минут 36 секунд:
Небольшое дополнение - эта фигня включается не только при перезагрузке компа, но и если перезапустить браузер.

Добавлено спустя 1 час 30 минут:
Итак, благодаря ссылке, которую дал stalker78yd, сделал следующие:
1. открываем конфигурацию системы, для этого заходим впуск и вбиваем "msconfig
2. затем открываем диспечер задач с помощью клавиш ctrl+Alt+Delete, открываем раздел процессы и ищем systemscripts или что-то подобное вообщем scripts или system
3. заходим в раздел "автозагрузки" и убираем галочку с "systemscripts"- это и есть наш вирус (Adobe DTM Switch)
4. заходим в пуск и пишем regedit, далее заходим в разделы----HKCU/SOFTWARE/MICROSOFT/WINDOWS/CurrentVersion/run и удаляем там имующийся файл
5. далее заходим в диск "c:/Users/(имя вашего компьютера, мой например Alex)/Appdata/Local/Microsoft/Windows/system.exe удаляем его.

После перезагрузки, эта фигня не включилась, очистив реестр CCleaner-ом это приложение удалилось, но осталось в расширениях ( правда, как я уже сказал, не включено), сейчас удалил и его оттуда, теперь остаётся ждать, навсегда это или он просто притих.
pletmin
Автор темы, Участник форума
Участник форума
Репутация: 0
Лояльность: 0 (+0/−0)
Сообщения: 31
Темы: 6
Зарегистрирован: 06.06.2014
С нами: 2 года 5 месяцев

#4 looki » 02.12.2014, 08:37

Надо было логи сделать,мы бы посмотрели.
looki F
Житель форума
Житель форума
Репутация: 85
Лояльность: 87 (+88/−1)
Сообщения: 817
Темы: 3
Зарегистрирован: 12.11.2014
С нами: 2 года

 

#5 pletmin » 02.12.2014, 08:45

Знать бы ещё что это и как их делать :)
Итак, день прошёл - вируса не видно, думаю, победили. Так что, способ наверху - проверенный.
pletmin
Автор темы, Участник форума
Участник форума
Репутация: 0
Лояльность: 0 (+0/−0)
Сообщения: 31
Темы: 6
Зарегистрирован: 06.06.2014
С нами: 2 года 5 месяцев

#6 _Ирония_ » 02.12.2014, 09:55

pletmin писал(а):Знать бы ещё что это и как их делать :)
Ну да, конечно - Лечение систем от вредоносных программ
_Ирония_
Житель форума
Житель форума
Аватара
Репутация: 32
Лояльность: -1 (+9/−10)
Сообщения: 525
Зарегистрирован: 07.12.2013
С нами: 2 года 11 месяцев

 

#7 Ale_xandr » 21.12.2014, 19:18

Ребята вот мой логи: перейти по ссылке
Никак не могу избавиться от этой заразы.
Помогите пожалуйста!!!
Ale_xandr
Участник форума
Участник форума
Репутация: 0
Лояльность: 0 (+0/−0)
Сообщения: 44
Темы: 4
Зарегистрирован: 21.12.2014
С нами: 1 год 11 месяцев

#8 arkalik » 22.12.2014, 09:01

arkalik M
Опытный экспериментатор
Опытный экспериментатор
Аватара
W W
Возраст: 23
Откуда: Казахстан, Алматы
Репутация: 305
Лояльность: 171 (+171/−0)
Сообщения: 2532
Темы: 33
Зарегистрирован: 13.12.2011
С нами: 4 года 11 месяцев

 

#9 Ale_xandr » 22.12.2014, 12:47

Здравствуйте.
Я загрузил образ автозапуска: перейти по ссылке
Появилась эта хрень 19-дек-2014 г.,Изображение и с тех пор я не могу от него избавится.
Оно постоянно добавляет рекламу на все страницы которые я открываю.
И самопроизвольно открывает разные сайты новостей.
Помогите пожалуйста!
Ale_xandr
Участник форума
Участник форума
Репутация: 0
Лояльность: 0 (+0/−0)
Сообщения: 44
Темы: 4
Зарегистрирован: 21.12.2014
С нами: 1 год 11 месяцев

#10 arkalik » 22.12.2014, 13:02

Ale_xandr, ВЫПОЛНЯЕМ СКРИПТ В uVS
- скопировать содержимое из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой мышью и выбираете Копировать);
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, слева наверху выбираете пункт: скрипты - выполнить скрипт из буфера обмена;
- отключаем антивирус и закрываем все браузеры перед выполнением скрипта;
- на запросы об удалении программ соглашайтесь (нажимаем Да или Далее);
Код: Выделить всё
;uVS v3.85.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
addsgn 1A06819A5583358CF42B627DA804DEC9E946303A4536D3F3D1E7C1371CF279BBE114C3573E20A1C229BA85EA681C898E5BE5897320FFBAC8596A65C7D73C6371 8 YandexUP

addsgn A7679BF0AA02B4424BD4C6C145881261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95CCA4D9FE82BD6D7FC3C6A775BACCA563234 8 Win32/Kryptik.CTET [ESET]

addsgn 1A4DCD9A5583C58CF42B254E3143FE8E6082AA7D783C5974854605C9333E92EE23174A1136DED525A28E0FD72E9F07FEF6D1D37FD59DFD2C59652F22FF436F73 8 Win32/RuKometa.A [ESET]

addsgn 1AACCB9A5583C58CF42B254E3143FE8E6082AA7D783C5974854605C9333E6BDD23174A1136DED525A28E0FD72E9F07FEF6D1D37FBDF2AF2959652F2267203D76 8 APPL/LoadMoney.qozg [Avira]
zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\SYSTEMDIR\SETSEARCHM.EXE
zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\TEMP\NETD97E.TMP.EXE
zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\TEMP\NETD887.TMP.EXE
zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\TEMP\NETD97B.TMP.EXE
addsgn 925277EA106AC1CC0B74544E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 Win32/MediaMagnet.D [ESET]
chklst
delvir
czoo
del %SystemDrive%\FIREFOX.BAT
del %SystemDrive%\IEXPLORE.BAT
del %SystemDrive%\LAUNCHER.BAT
deldir %SystemDrive%\PROGRAM FILES\BAIDUEX
deldir %SystemDrive%\PROGRAM FILES (X86)\BAIDUEX
deldir %SystemDrive%\PROGRAM FILES (X86)\BAIDU
sreg
delref %Sys32%\DRIVERS\BD0004.SYS
delref %Sys32%\DRIVERS\BDMWRENCH.SYS
delref %Sys32%\DRIVERS\BDSAFEBROWSER.SYS
delref HTTP://GO.MAIL.RU/SEARCH?FR=NTG&Q=
delref HTTP://SIMSIMOTKROYSIA.RU/
delref HTTP://MAIL.RU/CNT/10445?GP=BLACKBEAR2
delref HTTP://MAIL.RU/CNT/10445?GP=OPENPART5
delref HTTP://WWW.MAIL.RU/CNT/7227
delref HTTP://WWW.YANDEX.RU/?WIN=128&CLID=2073064
delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&IMSID=09603E75F9539506ECF0A6B79BEC740D&TEXT={SEARCHTERMS}
delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&IMSID=D1A6DEA270EECACBF19DCC03B87785AE&TEXT={SEARCHTERMS}
regt 28
regt 29
deltmp
delnfr
areg
перезагрузка, пишем о старых и новых проблемах.
архив, из каталога uVS, созданный после выполнения скрипта (например: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту virus_base@mail.ru.
------------------------
После этого заново создайте образ автозапуска uVS:
http://pc-forums.ru/topic14353.html
arkalik M
Опытный экспериментатор
Опытный экспериментатор
Аватара
W W
Возраст: 23
Откуда: Казахстан, Алматы
Репутация: 305
Лояльность: 171 (+171/−0)
Сообщения: 2532
Темы: 33
Зарегистрирован: 13.12.2011
С нами: 4 года 11 месяцев

#11 Ale_xandr » 22.12.2014, 14:59

После перезагрузки проблема не исчезла.
Ale_xandr
Участник форума
Участник форума
Репутация: 0
Лояльность: 0 (+0/−0)
Сообщения: 44
Темы: 4
Зарегистрирован: 21.12.2014
С нами: 1 год 11 месяцев

#12 arkalik » 22.12.2014, 15:03

Ale_xandr, Далее:
arkalik писал(а):После этого заново создайте образ автозапуска uVS:
Инструкция по борьбе с вирусами
arkalik M
Опытный экспериментатор
Опытный экспериментатор
Аватара
W W
Возраст: 23
Откуда: Казахстан, Алматы
Репутация: 305
Лояльность: 171 (+171/−0)
Сообщения: 2532
Темы: 33
Зарегистрирован: 13.12.2011
С нами: 4 года 11 месяцев

#13 Ale_xandr » 22.12.2014, 15:14

Новый образ отправлен на почту
Ale_xandr
Участник форума
Участник форума
Репутация: 0
Лояльность: 0 (+0/−0)
Сообщения: 44
Темы: 4
Зарегистрирован: 21.12.2014
С нами: 1 год 11 месяцев

#14 arkalik » 22.12.2014, 15:39

Ale_xandr, Зачем на почту? Выкладывайте сюда.

Добавлено спустя 6 минут:
Ale_xandr, ВЫПОЛНЯЕМ СКРИПТ В uVS
- скопировать содержимое из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой мышью и выбираете Копировать);
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, слева наверху выбираете пункт: скрипты - выполнить скрипт из буфера обмена;
- отключаем антивирус и закрываем все браузеры перед выполнением скрипта;
Код: Выделить всё
;uVS v3.85.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
delall %Sys32%\DRIVERS\BD0004.SYS
delall %Sys32%\DRIVERS\BDMWRENCH.SYS
delall %Sys32%\DRIVERS\BDSAFEBROWSER.SYS
delref HTTP:\\BEESEARCH.RU
deltmp
delnfr
restart
перезагрузка, пишем о старых и новых проблемах.
------------------------
далее, выполните быстрое сканирование в Malwarebytes
+
Сделайте лог AdwCleaner:
перейти по ссылке
arkalik M
Опытный экспериментатор
Опытный экспериментатор
Аватара
W W
Возраст: 23
Откуда: Казахстан, Алматы
Репутация: 305
Лояльность: 171 (+171/−0)
Сообщения: 2532
Темы: 33
Зарегистрирован: 13.12.2011
С нами: 4 года 11 месяцев

#15 Ale_xandr » 22.12.2014, 15:46

Слишком большой файл, сюда не хочет.

Добавлено спустя 15 минут 50 секунд:
Кажется проблема решилась.
Или оно затихло. Но пака не появляется, посмотрим что будет завтра.
А сканирование выполнять?
Ale_xandr
Участник форума
Участник форума
Репутация: 0
Лояльность: 0 (+0/−0)
Сообщения: 44
Темы: 4
Зарегистрирован: 21.12.2014
С нами: 1 год 11 месяцев

#16 arkalik » 22.12.2014, 16:04

Ale_xandr, Да, выполните все рекомендаций. Пока не закончим лечение.
arkalik M
Опытный экспериментатор
Опытный экспериментатор
Аватара
W W
Возраст: 23
Откуда: Казахстан, Алматы
Репутация: 305
Лояльность: 171 (+171/−0)
Сообщения: 2532
Темы: 33
Зарегистрирован: 13.12.2011
С нами: 4 года 11 месяцев

#17 Ale_xandr » 22.12.2014, 16:42

Сканирование завершено.

Добавлено спустя 3 минуты 30 секунд:
Загрузить не могу опять не влазит.

Добавлено спустя 1 минуту 31 секунду:
Могу отправить на почту: перейти по ссылке
Ale_xandr
Участник форума
Участник форума
Репутация: 0
Лояльность: 0 (+0/−0)
Сообщения: 44
Темы: 4
Зарегистрирован: 21.12.2014
С нами: 1 год 11 месяцев

#18 arkalik » 22.12.2014, 16:56

Ale_xandr, Отчет заливаете на файлообменник перейти по ссылке и ссылку сюда.
arkalik M
Опытный экспериментатор
Опытный экспериментатор
Аватара
W W
Возраст: 23
Откуда: Казахстан, Алматы
Репутация: 305
Лояльность: 171 (+171/−0)
Сообщения: 2532
Темы: 33
Зарегистрирован: 13.12.2011
С нами: 4 года 11 месяцев

#19 Ale_xandr » 22.12.2014, 17:22

Готово.
Вот ссылка: перейти по ссылке
Ale_xandr
Участник форума
Участник форума
Репутация: 0
Лояльность: 0 (+0/−0)
Сообщения: 44
Темы: 4
Зарегистрирован: 21.12.2014
С нами: 1 год 11 месяцев

#20 arkalik » 22.12.2014, 17:25

Ale_xandr, Зачем мне установочный файл MBAM, я сам могу скачать его с интернета.
+
Не забудьте еще отчет AdwCleaner.
arkalik M
Опытный экспериментатор
Опытный экспериментатор
Аватара
W W
Возраст: 23
Откуда: Казахстан, Алматы
Репутация: 305
Лояльность: 171 (+171/−0)
Сообщения: 2532
Темы: 33
Зарегистрирован: 13.12.2011
С нами: 4 года 11 месяцев

След.

  • Понравилась тема? Поделись с друзьями!

Вернуться в Безопасность компьютера

 


  • Похожие темы
    Ответы
    Просмотры
    Последнее сообщение