Показано с 1 по 11 из 11.

Rostelecom.ru; vkontakte.ru; (sms); svchost.exe 50% ЦП; Баннер... (заявка № 106581)

  1. #1
    Junior Member Репутация
    Регистрация
    29.07.2011
    Сообщений
    20
    Вес репутации
    20

    Rostelecom.ru; vkontakte.ru; (sms); svchost.exe 50% ЦП; Баннер...

    В firefox каждая страница браузера перенаправляется на сайт rostelecom.ru с сообщением об отправки смс и получения резервного канала.
    На сайте вконтакте перенаправление не происходит, но требуется смс для входа...
    Иногда вверху браузера висит баннер с сообщением, что якобы у вас вирус и нужно обновить браузер.
    Через раз браузеры косячат и вместо страницы вообще выдают исходный код страницы...
    При включении компа висит процесс svchost.exe который грузит ЦП на 50% и запущен от администратора...
    Вложения Вложения

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,267
    Вес репутации
    326
    Уважаемый(ая) kefirlol, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Junior Member Репутация
    Регистрация
    29.07.2011
    Сообщений
    20
    Вес репутации
    20
    Заранее спасибо!

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    1.Профиксите в HijackThis
    Код:
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.net
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxi.net
    O2 - BHO: QIPBHO - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - C:\Users\ShadowFlame\AppData\Roaming\Microsoft\Internet Explorer\qipsearchbar.dll (file missing)
    2.Отключите Системное восстановление!!! как- посмотреть можно тут
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
      QuarantineFile('C:\systemhost\24FC2AE35E4.exe','');
     QuarantineFile('C:\Windows\jodrive32.exe','');
     QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\igfxtray.exe','');
     QuarantineFile('C:\Windows\system32\owarcuj.dll','');
     DeleteFile('C:\Windows\system32\owarcuj.dll');
     DeleteFile('C:\Windows\jodrive32.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Config Setup');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Config Setup');
     DeleteFile('C:\systemhost\24FC2AE35E4.exe');
     RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','YI9B2F0F2EXHWG2HN');
     RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','YI9B2F0F2EXHWG2HN');
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows','AppInit_DLLs','');
     DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\igfxtray.exe');
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
    - Сделайте лог MBAM

  6. polword получил(а) благодарность за это сообщение от


  7. #5
    Junior Member Репутация
    Регистрация
    29.07.2011
    Сообщений
    20
    Вес репутации
    20
    Карантин прислал, получили?
    Вот логи...
    Изменения: svchost.exe грузящий систему пропал, вконтакте не требует смс, перенаправления на ростелеком не происходит.
    Баннер в браузере не пропал...
    Вложения Вложения

  8. #6
    Junior Member Репутация
    Регистрация
    29.07.2011
    Сообщений
    20
    Вес репутации
    20
    И еще страничка с вашими правилами (вроде только она) перенаправляет меня на zoneedit.com

  9. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    - Выполните скрипт в AVZ
    Код:
    begin
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
     ExecuteWizard('TSW',2,3,true);
     RebootWindows(true);
    end.
    После перезагрузки:
    Пролечитесь так
    - лог работы утилиты прикрепите к сообщению
    По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
    Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
    Например, C:\TDSSKiller.2.4.0_23.07.2010_15.31.43_log.txt
    - Сделайте лог MBAM

  10. polword получил(а) благодарность за это сообщение от


  11. #8
    Junior Member Репутация
    Регистрация
    29.07.2011
    Сообщений
    20
    Вес репутации
    20
    Вот пожалуйста, лог MBAM.
    Прошу ответьте поскорее, чтобы знать, что удалять.
    Вложения Вложения

  12. #9
    Junior Member Репутация
    Регистрация
    29.07.2011
    Сообщений
    20
    Вес репутации
    20
    Вот, скрипт выполнил, той прогой просканировал, ничего не нашло, но баннера вроде нет больше
    Вложения Вложения

  13. #10
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,523
    Вес репутации
    2915
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('c:\RECYCLER\s-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe', 'MBAM: Trojan.Agent');
    QuarantineFile('c:\Users\администратор\AppData\Roaming\34D5.tmp', 'MBAM: Trojan.Agent');
    QuarantineFile('c:\Users\администратор\AppData\Roaming\7003.tmp', 'MBAM: Trojan.Agent');
    QuarantineFile('c:\Users\администратор\downloads\kb909241x', 'MBAM: 2');
    QuarantineFile('c:\Users\администратор\downloads\kb909241x', 'MBAM: 3');
    QuarantineFile('c:\Users\администратор\downloads\kb909241x.exe', 'MBAM: Hoax.ArchSMS');
    QuarantineFile('d:\downloads\программы\bestmkvplayer.exe', 'MBAM: Hoax.ArchSMS');
    QuarantineFile('d:\system volume information\_restore{638fc357-9e1a-4630-a724-0e43e8503efd}\RP41\A0014270.exe', 'MBAM: Malware.Packer.Gen');
    QuarantineFile('c:\Windows\inf\mdmcpq3.PNF', 'MBAM: Rootkit.TmpHider');
    QuarantineFile('c:\Windows\inf\mdmeric3.PNF', 'MBAM: Rootkit.TmpHider');
    QuarantineFile('c:\Windows\inf\oem6C.PNF', 'MBAM: Rootkit.TmpHider');
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Удалите в МВАМ все, кроме
    Код:
    d:\WINDOWS\system32\inetsrv\iissync.exe (Virus.Expiro) -> No action taken.
    d:\WINDOWS\system32\dllcache\iissync.exe (Virus.Expiro) -> No action taken.
    d:\комп 60\GETMAN\44\INSTALL\ACDSee\TNT-ACD3\tnt-acdsee.v3.0.b1209_crk.exe (Trojan.Agent.CK) -> No action taken.
    d:\комп 60\GETMAN\GET1\работа\новая папка\WinRar 2.80\Crack\Other\wi_wdr280b5.exe (RiskWare.Tool.CK) -> No action taken.
    d:\комп 60\GETMAN\GET1\работа\новая папка\WinRar 2.80\Crack\Other\wi_wr280b5.exe (RiskWare.Tool.CK) -> No action taken.
    d:\комп 60\GETMAN\старый комп\GAME\INSTALL\ACDSee\TNT-ACD3\tnt-acdsee.v3.0.b1209_crk.exe (Trojan.Agent.CK) -> No action taken.
    d:\ЮРИК\май2\проги раб стол\рабочий стол\KEYGEN\keygen tsrh\Keygen.exe (Malware.Packer.Gen) -> No action taken.
    d:\program files\alcohol soft\alcohol 120\Langs\AX_RU.dll (Malware.Packer.GenX) -> No action taken.
    d:\program files\total commander\Plugins\arc\Default.sfx (Malware.Packer.Gen) -> No action taken.
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  14. #11
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,531
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 6
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) kefirlol, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 4
      Последнее сообщение: 11.08.2011, 08:13
    2. Rostelecom
      От swenoman в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 08.08.2011, 15:17
    3. вирус rostelecom
      От vich68rus в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 31.07.2011, 17:39
    4. Ответов: 7
      Последнее сообщение: 04.01.2010, 16:40
    5. Подмена сайта vkontakte сайтом x-rate.vkontakte
      От skYmarine в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 02.09.2009, 22:07

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00537 seconds with 23 queries