Здравствуйте! Уже в течении нескольких дней, при заходе в систему, антивирус пишет о каком-то вирусе.
09.11.2012 11:11:15 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = Plex Media Server.exe(222 вероятно модифицированный Win32/AutoRun.Spy.Banker.M червь очистка невозможна Лера-ПК\Лера
09.11.2012 10:04:02 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = Plex Media Server.exe(2956) вероятно модифицированный Win32/AutoRun.Spy.Banker.M червь очистка невозможна Лера-ПК\Лера
08.11.2012 13:04:37 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = C:\Users\Лера\AppData\Roaming\kb00773518.exe вероятно модифицированный Win32/AutoRun.Spy.Banker.M червь очистка невозможна Лера-ПК\Лера
08.11.2012 13:04:36 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = VMSnap3.exe(2864) вероятно модифицированный Win32/AutoRun.Spy.Banker.M червь очистка невозможна Лера-ПК\Лера
08.11.2012 6:37:10 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = C:\Users\Лера\AppData\Roaming\kb00773518.exe вероятно модифицированный Win32/AutoRun.Spy.Banker.M червь очистка невозможна Лера-ПК\Лера
08.11.2012 6:37:09 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = VMSnap3.exe(2584) вероятно модифицированный Win32/AutoRun.Spy.Banker.M червь очистка невозможна Лера-ПК\Лера
07.11.2012 21:25:59 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = c:\users\Лера\appdata\roaming\kb00773518.exe вероятно модифицированный Win32/AutoRun.Spy.Banker.M червь очистка невозможна Лера-ПК\Лера
07.11.2012 21:25:58 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = VMSnap3.exe(2532) вероятно модифицированный Win32/AutoRun.Spy.Banker.M червь очистка невозможна Лера-ПК\Лера
Помогите пожалуйста избавиться от этого!
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) valeriya1971, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
TerminateProcessByName('c:\users\Лера\appdata\roaming\kb00773518.exe');
QuarantineFile('c:\users\Лера\appdata\roaming\kb00773518.exe','');
DeleteFile('c:\users\Лера\appdata\roaming\kb00773518.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','KB00773518.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Обнаруженные ключи в реестре: 6
HKCR\CLSID\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{65bcd620-07dd-012f-819f-073cf1b8f7c6} (Adware.GamePlayLab) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110011221158} (Adware.GamePlayLab) -> Действие не было предпринято.
HKCR\thunder (Trojan.Agent) -> Действие не было предпринято.
Обнаруженные параметры в реестре: 1
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} (PUP.ToolBar.WA) -> Параметры: -> Действие не было предпринято.
Объекты реестра обнаружены: 4
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Search Page (Hijack.SearchPage) -> Плохо: (http://webalta.ru/search) Хорошо: (http://www.Google.com/) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Search Bar (Hijack.Search) -> Плохо: (http://webalta.ru/search) Хорошо: (http://www.google.com/) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Search_URL (Hijack.Homepage) -> Плохо: (http://webalta.ru/search) Хорошо: (http://www.Google.com) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Search|SearchAssistant (Hijack.SearchPage) -> Плохо: (http://webalta.ru/search) Хорошо: (http://www.Google.com/) -> Действие не было предпринято.
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Обнаруженные параметры в реестре: 2
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} (PUP.ToolBar.WA) -> Параметры: -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar|{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} (PUP.ToolBar.WA) -> Параметры: Поиск WebAlta -> Действие не было предпринято.
Кому оставили?
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Обнаруженные параметры в реестре: 1
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} (PUP.ToolBar.WA) -> Параметры: -> Помещено в карантин и успешно удалено.
Я отослала Вам 2 лога. В первом логе видно, что я удалила всё как было указано. Второй лог - это я просканировала заново комп после удаления. И там снова появились эти записи в реестре. Только вместо одной записи, как было до удаления, их появилось уже две.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: