Решена - vtcdirect и IE вылетает ошибка и предложение скачать html файл, как избавиться?

Доброго времени суток. Подхватили что-то на ПК: при попытке открыть IE и перейти по ссылке (любой) вылетала ошибка и предложение скачать html файл. Стартовая страница была vtcdirect, ее смог убрать,теперь IE открывается на 2 секунды,пытается открыть msn и закрывается с предложением скачать ru-ru.html. Настройки IE блокируются, свойства так же не открываются. При попытке открыть скайп вылетает предложение скачать 100+ файлов формата html, так же не удается обновить flash player. Предположив, что имеется какой-то червь, обращаюсь за помощью к вам. Спасибо

http://rghost.ru/6b9ypFyjM
http://rghost.ru/private/7pKCGJKhf/91ae3543a197449d1bdc70492e433543
http://rghost.ru/77Y6lQVCV

 

Доброго времени суток!

1. Отключите антивирус/файрволл и закройте все браузеры!

2. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли


3. В папке с программой UVS будет файл script.cmd

Запустите файл, запустится окно программы для ввода скрипта,
скопируйте скрипт написанный ниже и вставьте в окно программы.

Код:

;uVS v3.85 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
delall %SystemDrive%\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.URL
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\START MENU\PROGRAMS\INTERNET EXPLORER.LNK
delall %SystemDrive%\PROGRAM FILES\UNLOCKER\UNLOCKER.URL
delall J:\BOW\MOZBACKUP\WEB-SITE.URL
delref HTTP://GO.MICROSOFT.COM/FWLINK/?LINKID=54896
delref HTTP://GO.MICROSOFT.COM/FWLINK/?LINKID=69157
delref HTTP://WWW.MICROSOFT.COM/ISAPI/REDIR.DLL?PRD=IE&AR=IESEARCH
delref HTTP://WWW.MSN.COM/
delall C:\VKONTAKTEDJ\VKONTAKTEDJ.EXE
delref HTTPS://WWW.YANDEX.RU/
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\APPLICATION DATA\RCKR\PLUGINS\NPRCPLUGIN.DLL
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\APPLICATION DATA\RAIDCALL\PLUGINS\NPRCPLUGIN.DLL
delhst 72.5.253.46 www.odnoklassniki.ru
delhst 72.5.253.46 m.ok.ru
delhst 72.5.253.46 ok.ru
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\START MENU\µTORRENT.LNK
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\µTORRENT.LNK
regt 12
regt 14
regt 20
regt 18
regt 27
regt 29
deltmp
delnfr
restart

И жмем кнопку Выполнить.
На запросы программы по удалению жмите ДА

После выполнения скрипта компьютер перезагрузится.

4. Cделайте лог MBAM (подробнее) и
дайте ссылку на файл лога.
*выполнять обязательно!
Если лог не открылся, нажмите "Показать Результаты", сохраните отчет и дайте на него ссылку.

 

Выгрузить антивирус через диспетчер задач не удавалось,появлялась ошибка. Отключить получилось только выгрузив из автозагрузки.
лог файл malware- http://rghost.ru/private/6KTJnnY5J/b9d0fe7c6ee2528223f7fb480959d8c0

 

Вот это оставить
Данные реестра: 3
PUM.Disabled.SecurityCenter, HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER|UpdatesDisableNotify, 1, Хорошо: (0), Плохо: (1),,[740052903258fa3c5da657d66a9bac54]
PUM.Disabled.SecurityCenter, HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER|AntiVirusDisableNotify, 1, Хорошо: (0), Плохо: (1),,[2d4707dbf496989e1ce5b37a8382bf41]
PUM.Disabled.SecurityCenter, HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER|FirewallDisableNotify, 1, Хорошо: (0), Плохо: (1),,[f3817a68107a1c1a59a9e04d9570cd33]

остальное удалить.

Пк перезагрузить.

Сделать такой лог
http://www.adminplanet.ru/t2800.html#post37763

 

если правильно понял,то нужен этот лог- http://rghost.ru/private/6DqMxWLGR/5b3c3876f28186a4a5c00e718670f459

 

С этого галочку снять
File Found : D:\Program Files\Mozilla Firefox\defaults\pref\itms.js

Все остальное удалить. Что с проблемой?

 

проблема осталась. IE открывается, пустая стартовая страница.при попытке перейти куда-либо появляется окно загрузки страницы htm формата. после отказа возникает ошибка "Ошибка при загрузке D:\WINDOWS\system32\inetcpl.cpl
Операционная система не может запустить %1 "
При попытке открыть свойства ярлыка IE возникает ошибка rundll32.exe "Порядковый номер 459 не найден в библиотеке DLL urlmon.dll"

 

Сделайте еще раз новый лог программы UVS

Спасибо.

 

это я должен вас благодарить)
вот новый лог: http://rghost.ru/private/6sBS2dRr4/61527d23410e08ccd48659a25f184745

 

Доброго времени суток!

1. В папке с программой UVS будет файл script.cmd
Запустить файл, запустится окно программы для ввода скрипта,
скопировать скрипт написанный ниже и вставить в окно программы.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ ВСЕ БРАУЗЕРЫ!

Код:

;uVS v3.85.25 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
exec "D:\Program Files\Malwarebytes Anti-Malware\unins000.exe"
exec "D:\Documents and Settings\Administrator\Application Data\SafeWeb\SafeWeb.exe" /uninstall
regt 3
regt 12
regt 13
regt 17
regt 18
deltmp
delnfr
restart

И жмем кнопку Выполнить.
На запросы программы по удалению жмите ДА
ПК перезагрузится.

Скачать http://download.bleepingcomputer.com/sUBs/ComboFix.exe

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe*, когда процесс завершится, C:\ComboFix.txt прикрепите к сообщению (или запакуйте C:\ComboFix.txt и прикрепите к сообщению).
Примечание: в случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

 

а если не удается отключить антивирус? из автозагрузки убрал,в "службах" его отключить не получается, из диспетчера задач убить процесс так же не выходит. возникает ошибка "операция не может быть завершена. отказано в доступе". использую win xp, так что все изначально выполняется с правами администратора.

 

Да просто отключите защиту в режиме реального времени, правой кнопкой мыши по значку в трее.

 

готово

 

Есть ли какие либо изменения в лучшую сторону?

 

нет.ситуация осталась прежней

 

попробуйте это
https://support2.microsoft.com/fixit/ru

Возможно сбой в самом браузере.

 

не думаю,что проблема только с браузером (хотя и с ним тоже).
пытался открыть скайп.вылезает 169 окон с предложением сохранить файл "index.html".скайп так и не открылся после закрытия всех предложений.одно скачал из интереса и посмотрел в блокноте (открывать браузером не рискнул).

Спойлер

<!DOCTYPE html><html><head><title>Skype</title><meta charset="utf-8"/><meta http-equiv="X-UA-Compatible" content="IE=edge"/><link rel="stylesheet" href="css/index.css?b0ac7454cc17711f17ac392889e4c47" type="text/css"/><link rel="stylesheet" href="css/retina/index.css?c9f70c094c70a80fb727f841dc1dbf7b" type="text/css"/><script src="js/index.js?5a23a22b91e2d20a3501712e01536cc8"></script></head><body><div class="view v2" id="loadingView" style="display:block"><span class="logo"><img src="images/normal/skype-logo-136x60.png" alt="Skype" class="skypeLogo"/></span></div><script>
/*
Due to race conditions, we must wait for the window.external API to be initialized.
Please see #AABIG-3214 for more details.
*/
var CL_init = function() {
// Initialise login API
window.API = new SKYPE.login.Api();
API.log("Hello from ClientLogin bootstrap v." + Config.buildVersion + ", API initialized.");

// Initialise
window.HighContrast = new SKYPE.login.HighContrast();
window.Bootstrap = new SKYPE.login.Bootstrap(window.location);
window.EcsConfig = new SKYPE.login.ecs.Config();
window.Login = {
visitor: new SKYPE.login.Visitor()
};
EcsConfig.loadDefaultValues();

// Initialise ECS
window.EcsClient = new SKYPE.login.ecs.Client();

$(function () {
window.HighContrast.start();
window.Bootstrap.init();

$(document).on('ecsload', function () {
API.log("ECS Loaded successfully.");
var url = window.EcsConfig.getLoginUrl();
window.Bootstrap.load(url);
}).on('ecsfailed', function () {
API.log("ECS Client encountered an error.");
window.Bootstrap.onError();
});
window.EcsClient.init();
});

};

var CL_testLoad = function() {
try {
// This throws exception if BrowserAPI is not ready
getExternal();
} catch (e) {
// Try again in 100 ms
return;
}

// BrowserAPI is ready. Clear this loader and continue with the
// standard ClientLogin init.
window.clearInterval(window.CL_loader);
CL_init();
};

window.CL_loader = window.setInterval(CL_testLoad, 100);
CL_testLoad(); // call tester immediately rather than waiting for the interval
</script></body></html>

плюс пытался обновить flash player,вместо 18 мб файла,как указано на сайте, качается 1.1 мб, при этом открывается белое окошко без возможности каких либо действий. не знаю можно ли это связать.

 

Вы использовали утилиту ссылку на которую я Вам дал?

Чтобы удалить Флеш
http://download.macromedia.com/get/flashplayer/current/support/uninstall_flash_player.exe

Чтобы скачать новую версию
http://fpdownload.macromedia.com/pub/flashplayer/latest/help/install_flash_player_ax.exe
http://fpdownload.macromedia.com/pub/flashplayer/latest/help/install_flash_player_ppapi.exe
http://fpdownload.macromedia.com/pub/flashplayer/latest/help/install_flash_player.exe

 

Да,выполнял все следуя инструкциям. Сейчас удалю и попробую установить снова
flash установился нормально,остальные проблемы остались

 

Пробуйте так же переустановить Skype и по возможности браузер.