speed2 вирус

[Hamed]

на всех браузерах домашняя страница этот speed2. судя по количеству аналогичных тем на сайте, думаю вы знаете о чем я и в чем дело. буду благодарен, сели поможе
Вложение 378605
Вложение 378606

[Info_bot]

Уважаемый(ая) Hamed, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[regist]

Hamed, ещё раз перечитайте раздел диагностика. Как делать логи AVZ и какие файлы нужно прикреплять.

[Hamed]

прошу прощения за не внимательность.
Вложение 378897
Вложение 378898

[regist]

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
  ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
  ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
  QuarantineFile('C:\Program Files\t@b\0.958\686\tabdec.dll','');
  QuarantineFile('C:\Documents and Settings\Юльченочек\Application Data\taskhost.exe','');
  QuarantineFile('C:\Documents and Settings\Юльченочек\Application Data\63E0B1.exe','');
  DeleteFile('C:\Documents and Settings\Юльченочек\Application Data\63E0B1.exe');
  DeleteFile('C:\Documents and Settings\Юльченочек\Application Data\taskhost.exe');
  RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','WPI');
  RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Taskhost');
 RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Control', 'WaitToKillServiceTimeout', 20000);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteRepair(6);
 ExecuteRepair(8);
 ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

Профиксите в HijackThis

Код:

O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

- - - Добавлено - - -

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
  ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
  ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
  QuarantineFile('C:\Program Files\t@b\0.958\686\tabdec.dll','');
  QuarantineFile('C:\Documents and Settings\Юльченочек\Application Data\taskhost.exe','');
  QuarantineFile('C:\Documents and Settings\Юльченочек\Application Data\63E0B1.exe','');
  DeleteFile('C:\Documents and Settings\Юльченочек\Application Data\63E0B1.exe');
  DeleteFile('C:\Documents and Settings\Юльченочек\Application Data\taskhost.exe');
  RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','WPI');
  RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Taskhost');
 RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Control', 'WaitToKillServiceTimeout', 20000);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteRepair(6);
 ExecuteRepair(8);
 ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

Профиксите в HijackThis

Код:

O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

[Hamed]

Вложение 378921
Вложение 378922

[regist]

что с проблемой ?

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

begin
 if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt');
 If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt')
 Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
 if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false);
ExitAVZ;
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

[Hamed]

что с проблемой ?

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

begin
 if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt');
 If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt')
 Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
 if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false);
ExitAVZ;
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

появилось 12 уязвимостей. все скачал и установил. перезагрузил. speed2 остался

[regist]

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )

повторите ещё раз эти логи
+ Сделайте лог полного сканирования МВАМ.

[Hamed]

повторите ещё раз эти логи
+ Сделайте лог полного сканирования МВАМ.

virusinfo_syscheck.zip
hijackthis.log
mbam-log-2012-09-26 (07-50-42).txt

[regist]

Удалите в MBAM только

Код:

Обнаруженные файлы:  8
C:\Documents and Settings\Юльченочек\Local Settings\Application Data\Thinstall\Cache\Stubs\9755bc321ad7f379dc3b96aeaa55773685855c8a\PrmtSvr.exe (Trojan.Backdoor) -> Действие не было предпринято.
C:\Documents and Settings\Юльченочек\Local Settings\Application Data\Thinstall\Cache\Stubs\bc92c16d31ccb7c63951919f239f36a9a176cce0\prmt.exe (Trojan.Backdoor) -> Действие не было предпринято.

C:\Program Files\I Want This - сами устанавливали ?

проблемы остались во всех браузерах в IE тоже ?

Сделайте полный образ автозапуска uVS

[Hamed]

C:\Program Files\I Want This - сами устанавливали ?

первый раз вижу. уже удалил.

[regist]

Лог полного сканирования MBAM пожалуйста повторите.

проблемы остались во всех браузерах в IE тоже ?

Сделайте полный образ автозапуска uVS

жду .

[Hamed]

там uVS на файлообменнике удален.
в ie как раз проблема пропала, а в опере которой я постоянно пользуюсь осталась.
Сейчас отсканирую и выложу лог.

[regist]

там uVS на файлообменнике удален.

спасибо, что обратили внимание. скачайте его отсюда http://dsrt.dyndns.org/files/uvs_v376.zip

[Hamed]

mbam-log-2012-09-27 (11-58-42).txt
FFAC166F9C7F4B8_2012-09-27_12-05-10.7z

[regist]

Удалите в MBAM только

Код:

Обнаруженные ключи в реестре:  6
HKCR\CLSID\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\TNod (Trojan.Agent.CK) -> Действие не было предпринято.
HKCU\Software\winxarj (Hoax.ArchSMS) -> Действие не было предпринято.

Выполните скрипт в uVS

Код:

;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

delref HTTP://BROWSERHELP2.RU

что с проблемой ?

[Hamed]

Отлично!
проблем больше нет) проще было наверное винду переставить
Спасибо огроменное!!!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 6
• В ходе лечения вредоносные программы в карантинах не обнаружены