Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 21.

Speed2 помогите избавиться от вируса [Trojan-Spy.Win32.Carberp.qwq ] (заявка № 126206)

  1. #1
    Junior Member Репутация
    Регистрация
    24.10.2012
    Сообщений
    9
    Вес репутации
    42

    Thumbs up Speed2 помогите избавиться от вируса [Trojan-Spy.Win32.Carberp.qwq ]

    Здравствуйте.Подцепил данный вирус. Во всех браузерах стартовой стала страница speed2, постоянно открываются посторонние сайты. Помогите пожайлуста.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,286
    Вес репутации
    378
    Уважаемый(ая) QuattroAe, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3103
    Выполните скрипт в AVZ
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
     QuarantineFile('C:\WINDOWS\Temp\kitre0.exe','');
     QuarantineFile('C:\Documents and Settings\User\Мои документы\Новая папка3\Автозагрузка\64UxwjovYAk.exe','');
     DeleteFile('C:\Documents and Settings\User\Мои документы\Новая папка3\Автозагрузка\64UxwjovYAk.exe');
     DeleteFile('C:\WINDOWS\Temp\kitre0.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(20); 
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Пофиксите в HiJack
    Код:
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
    Сделайте новые логи

    Сделайте лог полного сканирования МВАМ
    Сделайте логи RSIT
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. #4
    Junior Member Репутация
    Регистрация
    24.10.2012
    Сообщений
    9
    Вес репутации
    42
    Все сделал по инструкции. вот новые логи
    Вложения Вложения

  6. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3103
    А логи МВАМ почему от старой версии?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #6
    Junior Member Репутация
    Регистрация
    24.10.2012
    Сообщений
    9
    Вес репутации
    42
    всмысле программа старой версии?

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3103
    Именно так
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8

  10. #9
    Junior Member Репутация
    Регистрация
    24.10.2012
    Сообщений
    9
    Вес репутации
    42
    Вот полный образ автозапуска. а логи МВАМ по новой завтра сделаю

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Выполните скрипт в uVS

    Код:
    ;uVS v3.76 script [http://dsrt.dyndns.org]
    ;Target OS: NTv5.1
    
    delref HTTP://BROWSERHELP2.RU
    delref HTTP://WEBALTA.RU
    delref HTTP://WEBALTA.RU/POISK
    restart
    ждём лога MBAM, заодно отпишитесь что с проблемой.

  12. #11
    Junior Member Репутация
    Регистрация
    24.10.2012
    Сообщений
    9
    Вес репутации
    42
    вот лог MBAM. скрипт пока не сделал. как сделаю отпишусь. но проблема пока актуальна. плюс появилось какое то непонятное якобы обновление для виндовс, которое при закрытии даже через диспетчер все равно открывается

    - - - Добавлено - - -

    выполнил скрипт. из браузеров все исчезло, спасибо вам большое. но система все равно подтормаживает. загрузка рабочего стола происходит гораздо дольше чем обычно и программы загружет медленне...
    Вложения Вложения

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Удалите в MBAM только

    Код:
    Обнаруженные параметры в реестре:  1
    HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon|SysDebug32 (Trojan.Agent) -> Параметры: ЧT!яБx4<±Бдў+Г†д„a‰ѕлХI“ђnо7eьсAУ=Ћ?дёJє{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вrС•›НЂ1µX(E"НtV[@
    Rї;V‡{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вrpћsнцэ%гхЊ(иџoд{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вrЦЉйЅ†М5~ -> Действие не было предпринято.
    
    Обнаруженные папки:  1
    C:\g4fweq23.Bi (Trojan.SpyEyes) -> Действие не было предпринято.
    C:\g4fweq23.Bi\40842F38C4A.exe (Spyware.Zbot.VO) -> Действие не было предпринято.
    C:\g4fweq23.Bi\E41A719E8ADA0BC (Trojan.SpyEyes) -> Действие не было предпринято.
    - Сделайте логи RSIT.
    - Сделайте лог полного сканирования МВАМ.

    по окончанию лечения обязательно смените пароли !

  14. #13
    Junior Member Репутация
    Регистрация
    24.10.2012
    Сообщений
    9
    Вес репутации
    42
    Зделал все вышесказанное. вот логи. лог RSITа вложить не получается. похоже я привысил лимит вложений по объему
    Вложения Вложения

  15. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Мой кабинет - управление вложениями - удалить лог uVS (он больше всего весит).
    и прикрепите логи RSIT.

    лог MBAM просканируйте заново и прикрепите.

  16. #15
    Junior Member Репутация
    Регистрация
    24.10.2012
    Сообщений
    9
    Вес репутации
    42
    вот лог RSIT.
    Вложения Вложения
    • Тип файла: txt log.txt (48.6 Кб, 3 просмотров)

  17. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Здравствуйте!

    Закройте все программы

    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол

    Выполните скрипт в АВЗ -

    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
      QuarantineFile('C:\WINDOWS\system32\muzapp.exe','');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','D:\installer.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\windows\System32\muzapp.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\system32\svchost.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\Temp\_iu14D2O.tmp');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:

    повторите логи RSIT

  18. #17
    Junior Member Репутация
    Регистрация
    24.10.2012
    Сообщений
    9
    Вес репутации
    42
    Здравствуйте. сделал все по вышеуказанным инструкциям. вот новые логи
    Вложения Вложения

  19. #18

  20. #19
    Junior Member Репутация
    Регистрация
    24.10.2012
    Сообщений
    9
    Вес репутации
    42
    Вроде бы проблема решена. Спасибо Вам огромное за оказанную помощ

  21. #20

  • Уважаемый(ая) QuattroAe, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 7
      Последнее сообщение: 29.09.2012, 10:59
    2. Вирус speed2.ru [Trojan-Spy.Win32.Carberp.pky ]
      От Костя Труханович в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 16.08.2012, 21:20
    3. Помогите избавиться от вируса Carberp.AH
      От Stepmsm в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 15.05.2012, 18:13

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00203 seconds with 18 queries