Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 23.

Сайт sex-mambo.net [Trojan.Win32.AutoRun.beb, HEUR:Trojan.Win32.Generic ] (заявка № 128832)

  1. #1
    Junior Member Репутация
    Регистрация
    12.02.2009
    Сообщений
    27
    Вес репутации
    56

    Thumbs up Сайт sex-mambo.net [Trojan.Win32.AutoRun.beb, HEUR:Trojan.Win32.Generic ]

    Здраствуйте. Неприятность такая - нажимаю на какой-нибудь сайт, а вылазит sex-mambo.net. Нажимаю, например на ваш сайт, а появляется sex-mambo.net. Помогите пожалуйста.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) Renegat, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    453
    Обновите базы AVZ.
    Если базы не обновляются через меню Файл - Обновление баз,
    скачайте архив баз http://z-oleg.com/secur/avz_up/avzbase.zip
    и распакуйте его в папку Base внутри папки AVZ, заменив имеющиеся файлы и перезапустите AVZ.

    Выполните скрипт в AVZ (как выполнить):
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     ClearQuarantine;
     QuarantineFile('D:\tarik/filipovic.exe','');
     QuarantineFile('D:\autorun.inf','');
     DelBHO('{8984B388-A5BB-4DF7-B274-77B879E179DB}');
     QuarantineFile('C:\Documents and Settings\Пользователь\fswagz.exe','');
     DeleteFile('C:\Documents and Settings\Пользователь\fswagz.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','42');
     DeleteFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\661265aq');
     DeleteFile('D:\tarik/filipovic.exe');
     DeleteFile('D:\autorun.inf');
     ExecuteRepair(13);
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteWizard('TSW',2,2,true);
    ExecuteWizard('SCU',2,2,true);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    После перезагрузки выполните скрипт в AVZ:
    Код:
     begin
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
     end.
    Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

    Обновите Internet Explorer до актуальной версии (даже если не используете):
    http://windows.microsoft.com/ru-RU/i...r/downloads/ie
    Установите все обновления безопасности, вышедшие после Service Pack 3:
    http://windowsupdate.microsoft.com/

    Выполните скрипт в AVZ отсюда (скопируйте там весь текст):
    http://dataforce.ru/~kad/ScanVuln.txt
    Если будут найдены уязвимости, в папке AVZ\LOG появится файл avz_log.txt. Приложите его в теме.
    Затем откройте его в блокноте, пройдите по всем ссылкам и установите указанные там обновления.
    Перезагрузите компьютер, выполните еще раз этот скрипт и убедитесь, что обновления установились.

    Сделайте заново лог virusinfo_syscheck.zip и лог HijackThis (пункты 2 и 3 раздела "Диагностика" правил) и приложите в теме.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  5. #4
    Junior Member Репутация
    Регистрация
    12.02.2009
    Сообщений
    27
    Вес репутации
    56
    Сделал всё как вы сказали. До строки:
    "Обновите Internet Explorer до актуальной версии (даже если не используете):
    http://windows.microsoft.com/ru-RU/i...r/downloads/ie"


    как только нажал на ссылку обновления попал на сайт sex-mambo.net


    Может быть мне с самого начала попробовать?



    кагда запустил скрипт http://dataforce.ru/~kad/ScanVuln.txt
    вышла ошибка 20.08.2012 is not a valid date and time

    Нашёл и прислал quarantine.zip
    Последний раз редактировалось Renegat; 16.12.2012 в 18:02.

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    453
    Пока пропустите действия, которые не можете сделать.

    Сделайте повторные логи.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  7. #6
    Junior Member Репутация
    Регистрация
    12.02.2009
    Сообщений
    27
    Вес репутации
    56
    Я сделал следующее:
    1. Проверил Dr.WEb Нашёл 8 угроз из них 2 трояна Обезвредил угрозы нажав на кнопку.
    это не устранило сайт sex-mambo.net
    2. Сделал AVZ что написано (лечение) перед этим отключил интернет. Это не устранило мамбу с неработающим интернетом, когда открыл браузер.
    3. Подключил интернет, запустил AVZ открыл браузер появилась мамба.
    4. Запустил HiJackThis.
    Вложения Вложения

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    453
    В IE тоже такая проблема есть?

    Сделайте лог MiniToolBox при подключенном интернете:
    http://virusinfo.info/showthread.php...877#post902877
    и приложите в теме.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  9. #8
    Junior Member Репутация
    Регистрация
    12.02.2009
    Сообщений
    27
    Вес репутации
    56
    Когда запускается WindowsXP появляется ошибка Яндекс и написано внизу Отладка Отправить или не отправлять отчёт
    То же самое , когда запускаю IE8. Появляется такая же ошибка Яндекс.
    ПО умолчанию у меня Chrom. В хроме у меня Яндекс который вкладки регулирует.
    Когда открываешь ещё одно окно в IE и нажимаешь на какую-нибудь ссылку, то ссылка открывается в chrom.
    Вложения Вложения

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    453
    Сообщите подробней, с каким именно файлом от Яндекс происходит ошибка.

    Попробуйте так:
    Сделайте аппаратный сброс роутера (см. в инструкции к нему).
    Затем смените на нем пароль администратора и настройте роутер заново согласно инструкциям провайдера.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  11. #10
    Junior Member Репутация
    Регистрация
    12.02.2009
    Сообщений
    27
    Вес репутации
    56
    1.Сделал аппаратный сброс роутера
    2. сменил пароль администратора.
    3. настроил роутер заново
    4. Как только загружается wXP появляется ошибка Яндекс такие файлы:

    AppName: praetorian.exe AppVer: 0.2.2.113 ModName: praetorian.exe
    ModVer: 0.2.2.113 Offset: 000fa52a

    50c5_appcompat.txt

    Пока что мамба не появляется.

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    453
    Поищите в Панели управления - Удаление программ этот Praetorian (или защитник Яндекс или что-то похожее и удалите).
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  13. #12
    Junior Member Репутация
    Регистрация
    12.02.2009
    Сообщений
    27
    Вес репутации
    56
    В Панели управления - Удаление программ не нашёл этот файл. Но нашёл файл похожий PRAETORIAN.EXE-074401EC.pf
    в папке C:\WINDOWS\Prefetch и удалил его оттуда. Теперь пока при одном запуске WXP ошибка Яндекс не вылазит и
    мамба тоже не вылазит.
    Так что Спасибо большое за помощь!

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    453
    Тогда это тоже можно пофиксить, оно уже не нужно:
    Пофиксите в HijackThis только указанные строки (как пофиксить):
    Код:
    O4 - HKCU\..\Run: [Praetorian] C:\Documents and Settings\Iieuciaaoaeu\Local Settings\Application Data\Yandex\Updater\praetorian.exe
    Обновления попробуйте снова установить.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  15. #14
    Junior Member Репутация
    Регистрация
    12.02.2009
    Сообщений
    27
    Вес репутации
    56
    Сделал это:
    1. Пофиксил
    2. Заново установил IE8 с обновлениями
    3. Перезагрузился. В диспетчере задач какие-то такие процессы

    dumpwwi.exe (похоже на это потом этот процесс пропал)
    praetorian.exe
    yupdate-ctrl.exe
    wuauclt.exe

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    453
    praetorian работает. Ну да ладно, если ошибок больше нет, то пусть живет.

    http://dataforce.ru/~kad/ScanVuln.txt
    Этот скрипт снова пробовали?
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  17. Это понравилось:


  18. #16
    Junior Member Репутация
    Регистрация
    12.02.2009
    Сообщений
    27
    Вес репутации
    56
    Попытался сделать скрипт http://dataforce.ru/~kad/ScanVuln.txt
    пишет ошибка 20.08.2012 is not a valid date and time
    Я раньше делал "обновление часовых поясов" для windows может поэтому, не знаю.

  19. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Цитата Сообщение от Renegat Посмотреть сообщение
    пишет ошибка 20.08.2012 is not a valid date and time
    всё правильно, это не корректное время на компьютере
    Проверьте настройки времени и даты, а затем снова выполните скрипт.

  20. #18
    Junior Member Репутация
    Регистрация
    12.02.2009
    Сообщений
    27
    Вес репутации
    56
    Время было в формате am-pm. Исправил на 24 часа - скрипт вывел ту же ошибку 20.08.12 и т.д.
    Тогда в панели управления нажал Язык и региональные стандарты- И там где написано "выбрать элемент из списка" поменял Английский на русский и скрипт сработал без ошибок. получилось вот это-
    Вложения Вложения

  21. #19

  22. Это понравилось:


  23. #20
    Junior Member Репутация
    Регистрация
    12.02.2009
    Сообщений
    27
    Вес репутации
    56
    Спасибо большое за вашу работу.

  • Уважаемый(ая) Renegat, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 5
      Последнее сообщение: 13.12.2012, 18:49
    2. Ответов: 7
      Последнее сообщение: 11.12.2012, 12:49
    3. Ответов: 5
      Последнее сообщение: 19.11.2012, 23:34
    4. Постоянно открывается сайт clubrelaxxxx.com [HEUR:Trojan.Win32.Generic ]
      От LoginzaID: 206297311 в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 10.11.2012, 15:07
    5. Ответов: 7
      Последнее сообщение: 13.08.2012, 13:20

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00054 seconds with 20 queries