Блокирует мой мир и переадресует на my-eromir.net - предлагает указать номер телефона
Доброй охоты на вирусы!
Откуда пришла беда точно не знаю (компьютер жены, но видимо эта зараза уже и на учебных сайтах ), но факты таковы:
мой мир (с ее машины) не открывался - было предложено указать телефон - типо прикрепить к учетке моймировской телефон. Там такая фишка есть - проделал сие (на моей машине добавили к учетке телефон). Указал телефон - лучше не стало - все равно пишет - укажите телефон. Видимо все-таки вирус, а потом появился сайт my-eromir.net, дрвеб молчит ... и ... пришел к вам.
По существу:
Просканировал дрвебом - у меня лицензия - чисто.
Проделал все предложенное с avz4 и HijackThis
Файлы высылаю.
Заранее спасибо за вашу помощь!
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Shadow_Hawk, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\All Users.WINDOWS.0\Media\plugin.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\VirtuZoo\VirtuZoo.appref-ms','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\netprotocol.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\36.exe','');
DeleteFile('C:\Documents and Settings\Admin\Application Data\36.exe');
DeleteFile('C:\Documents and Settings\Admin\Application Data\netprotocol.exe');
DeleteFile('C:\Documents and Settings\All Users.WINDOWS.0\Media\plugin.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S831835');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Netprotocol');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Module');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(13);
RebootWindows(true);
end.
После перезагрузки выполните скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантин
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )
Очень неудобно , но ...
Случилось так, что компьтер без моего ведома несколько раз запускали, видимо что то "там" еще произошло.
Пофиксить в HijackThis не смог - небыло указанных строк после сканирования
Второй скрипт выполнил, но видимо уже бессмысленно, так что решил проделать все заново.
Высылаю новые логи.
Не бессмысленно. Сделайте логи RSIT + Сделайте лог полного сканирования MBAM
Спасибо большое за ответ!!! Думал что уже праздники у всех и у вирусов есть время пожить еще немного!
С программой RSIT что то не заладилось - в логе вордовский документ с картинками - сообщение об ошибке, после нажатия на Ок - программа прекращает работу - ошибка выскакивает после запуска программы HijackThis когда она приступает к сканированию реестра.
MBAM - запустил, жду результат сканирования.
- - - Добавлено - - -
...
и результаты MBAM
Еще раз спасибо за вашу помощь!
И с наступающим Новым годом!
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> Действие не было предпринято.
HKLM\SOFTWARE\PdmSoftware (Trojan.Ransom) -> Действие не было предпринято.
C:\WINDOWS.0\AppPatch\svchost.exe (Heuristics.Reserved.Word.Exploit) -> Действие не было предпринято.
- Выполните в AVZ скрипт из файла ScanVuln.txt
- Откройте файл avz_log.txt из под-папки LOG.
- Пройдитесь по ссылкам из файла avz_log.txt и установите важные обновления.
- Перезагрузите компьютер.
- Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.
В опере все работает!
А эксплорер не проверял - подумал что нужно одобрение
Я так понимаю надо проверить и его
6 сек!
В IE тоже все ок!
Огромное спасибо!
За мною не заржавеет!
ЗЫ:
пара вопросов:
1. Что делать с MBAM - он ведь в "пробном" режиме? Его удалить или пусть живет отведенное время?
2. Жена ходила и на моем компьютере по тем же сайтам - у меня Win7 max SP1 х32 (и ни каких проблем!), а у нее ХР, на моем надо что то проделать так сказать в привентивных мерах или мой компьютер достаточно защищен и параною долой? На моем компьютере кроме IE других браузеров нет и тот же DrWeb только версия 7.
- Выполните в AVZ скрипт из файла ScanVuln.txt
- Откройте файл avz_log.txt из под-папки LOG.
- Пройдитесь по ссылкам из файла avz_log.txt и установите важные обновления.
- Перезагрузите компьютер.
- Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.
- Выполните в AVZ скрипт из файла ScanVuln.txt
- Откройте файл avz_log.txt из под-папки LOG.
- Пройдитесь по ссылкам из файла avz_log.txt и установите важные обновления.
- Перезагрузите компьютер.
- Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.
ComboFix удалил.
Скрипт выполнил - уезвимостей не обнаружено! Спс!!!
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: