Вирусняяяк сожрал кооомп!?

[FOX-7]

Ув. Коллеги! Я где-то подхватил вредное ПО и никак не могу от него избавиться. Смысл заключается в том, что после перезагрузки (или в начале работы) броузер (эксплорер и Mozilla) выкидывает в адресной строке адрес

Код: Выделить всё

kurs.pw 

, который потом перенаправляет на новостной сайт. Антивирусники его не видят и зависают вместе с компом после где-то 80-90% работы. Куда эта сволочь могла так надежно сесть?

[Tokashi]

первое что нужно проверить, это файл hosts по адресу: C:\Windows\System32\drivers\etc, открыть его и посмотреть, есть ли там подозрительные ссылки после строки "127.0.0.1 localhost", если есть, то удалить все строчки ниже этой записи

[VTur]

Есои не помогло, воспользуйтест livecd

[ Post made via Android ]

[Любитель_Манниха]

Google, download&burn DrWeb liveCD or liveUSB.

[ Post made via Android ]

[FOX-7]

первое что нужно проверить, это файл hosts по адресу: C:\Windows\System32\drivers\etc, открыть его и посмотреть, есть ли там подозрительные ссылки после строки "127.0.0.1 localhost", если есть, то удалить все строчки ниже этой записи

Tokashi! Нашел вот такое д-мо:


# localhost name resolution is handled within DNS itself.
# 127.0.0.1 localhost
# ::1 localhost

127.0.0.1 kurs.pw
127.0.0.1 www.kurs.pw

Удаляю две нижние строки. Коллега, просвяти, что это означает?

[Cherep]

что тебе в этот файл какой-то вирус нагадил.

[FOX-7]

я это понял. Это строка для исполнения или просто информативная?!
Удалил после перезагрузки выскочил этот новостной сайт

Код: Выделить всё

http://www.newsdoor.ru/

Пхоже, что где-то еще прописался этот гад

[Ahha]

127.0.0.1 kurs.pw
127.0.0.1 http://www.kurs.pw
Удаляю две нижние строки. Коллега, просвяти, что это означает?

Это две строчки означают, что ваш тождественный локальный адрес (127.0.0.1 всегда и везде должен разрешаться как localhost) проассоциирован с именем kurs.pw. Причина указана Cherep'ом, скорее всего, он прав. Если после удаления этих строк и перезагрузки проблема остается, проверьте файл hosts еще раз. Если вдруг лишние строчки там появились снова - ищите и уничтожайте вирус, который гадит, возможно, в процессе выключения/включения. Если не появились - попробуйте почистить всякие кэши и куки в браузере, проверьте настройки стартовой страницы.

[Biginelli]

Еще следовало бы проверить scheduled tasks, иногда они туда прописывают добавление этих строчек в hosts

[FOX-7]

Проверил там только это:
# Copyright © 1993-2009 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host

# localhost name resolution is handled within DNS itself.
# 127.0.0.1 localhost
# ::1 localhost

[Любитель_Манниха]

Коллега, тебе лень антивирус на флешку записать и провериццо?

Код: Выделить всё

http://www.freedrweb.com/liveusb/?lng=ru

Записываеццо на флешку само.
Загрузить комп с флешки, надеюсь, проблем не возникнет.

Мусор в реестре хорошо удаляет

Код: Выделить всё

https://www.piriform.com/ccleaner/download

Там же есть правка автозапусков всяких.

[FOX-7]

Ув. Коллега! Не лень, я это проделаю обязательно. Но хотелось бы побольше узнать как это решается ручками.

[Любитель_Манниха]

Ну вот сидит оно где-нибудь в windows\system32\ или users\бла-бла-бла\temp и называется сочетанием из 15 букв и цифр, или наоборот благочестивым
winsafety.exe, и как ты на него ручками выйдешь?

Кстати, рекомендую всем почаще бэкапить данные - в сентябре наблюдал на работе комп, заражённый шифровальщиком - все *.doc, *.jpg и *.pdf
были зашифрованы.

PS: причём здесь кемпорт? была тема про глюки компа, например.

[FOX-7]

PS: причём здесь кемпорт? была тема про глюки компа, например.

это вредоносное ПО

[Smol]

Ccleaner от Пириформа на компьютеры с Windows 8 не устанавливается

А в Опере вылазит посторонний сайт (причем сам собой запускает Оперу) и хоть что с ним делай... Причем в хосте ничего лишнего нет, свежий Касперский тоже ничего не находит.

[Любитель_Манниха]

А что за сайт?
Так было с момента покупки компа?

[ Post made via Android ]

[Smol]

А сайт - устранение ошибок в Windows. Вылазит с того момента как я Оперу поставил. Вот думаю - может ее удалить?

[Любитель_Манниха]

Домашняя страница в Опере?
Ставили с оф.сайта?

[ Post made via Android ]

[Smol]

Домашняя страница в Опере у меня экспресс-панель. А ставил с официального сайта.

Вредоносное ПО закроешь - оно больше не вылазит. До следующей перезагрузки компьютера.

Как чистить IE - понятно, а вот как чистить Оперу - еще не знаю...

[Cherep]

бэкап -- наше всё