Здравствуйте.Подцепил данный вирус. Во всех браузерах стартовой стала страница speed2, постоянно открываются посторонние сайты. Помогите пожайлуста.
Здравствуйте.Подцепил данный вирус. Во всех браузерах стартовой стала страница speed2, постоянно открываются посторонние сайты. Помогите пожайлуста.
Уважаемый(ая) QuattroAe, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); QuarantineFile('C:\WINDOWS\Temp\kitre0.exe',''); QuarantineFile('C:\Documents and Settings\User\Мои документы\Новая папка3\Автозагрузка\64UxwjovYAk.exe',''); DeleteFile('C:\Documents and Settings\User\Мои документы\Новая папка3\Автозагрузка\64UxwjovYAk.exe'); DeleteFile('C:\WINDOWS\Temp\kitre0.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(20); RebootWindows(true); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Пофиксите в HiJack
Сделайте новые логиКод:R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
Сделайте лог полного сканирования МВАМ
Сделайте логи RSIT
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Все сделал по инструкции. вот новые логи
А логи МВАМ почему от старой версии?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
всмысле программа старой версии?
Именно так
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Вот полный образ автозапуска. а логи МВАМ по новой завтра сделаю
Выполните скрипт в uVS
ждём лога MBAM, заодно отпишитесь что с проблемой.Код:;uVS v3.76 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 delref HTTP://BROWSERHELP2.RU delref HTTP://WEBALTA.RU delref HTTP://WEBALTA.RU/POISK restart
вот лог MBAM. скрипт пока не сделал. как сделаю отпишусь. но проблема пока актуальна. плюс появилось какое то непонятное якобы обновление для виндовс, которое при закрытии даже через диспетчер все равно открывается
- - - Добавлено - - -
выполнил скрипт. из браузеров все исчезло, спасибо вам большое. но система все равно подтормаживает. загрузка рабочего стола происходит гораздо дольше чем обычно и программы загружет медленне...
Удалите в MBAM только
- Сделайте логи RSIT.Код:Обнаруженные параметры в реестре: 1 HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon|SysDebug32 (Trojan.Agent) -> Параметры: ЧT!яБx4<±Бдў+Г†д„a‰ѕлХI“ђnо7eьсAУ=Ћ?дёJє{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вrС•›НЂ1µX(E"НtV[@ Rї;V‡{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вrpћsнцэ%гхЊ(иџoд{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вrЦЉйЅ†М5~ -> Действие не было предпринято. Обнаруженные папки: 1 C:\g4fweq23.Bi (Trojan.SpyEyes) -> Действие не было предпринято. C:\g4fweq23.Bi\40842F38C4A.exe (Spyware.Zbot.VO) -> Действие не было предпринято. C:\g4fweq23.Bi\E41A719E8ADA0BC (Trojan.SpyEyes) -> Действие не было предпринято.
- Сделайте лог полного сканирования МВАМ.
по окончанию лечения обязательно смените пароли !
Зделал все вышесказанное. вот логи. лог RSITа вложить не получается. похоже я привысил лимит вложений по объему
Мой кабинет - управление вложениями - удалить лог uVS (он больше всего весит).
и прикрепите логи RSIT.
лог MBAM просканируйте заново и прикрепите.
вот лог RSIT.
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\WINDOWS\system32\muzapp.exe',''); RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','D:\installer.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\windows\System32\muzapp.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\system32\svchost.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\Temp\_iu14D2O.tmp'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После перезагрузки:
повторите логи RSIT
Здравствуйте. сделал все по вышеуказанным инструкциям. вот новые логи
что с проблемой ?
смените все пароли !
Вроде бы проблема решена. Спасибо Вам огромное за оказанную помощ
Уважаемый(ая) QuattroAe, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.