-
Junior Member
- Вес репутации
- 40
Вирус "Оцените работу интернета"
Win 7 x64, лоханулся поставил какой-то стремный софт, после чего некоторые сайты не открываются вообще, некоторые показывают неформатированную чушь, на некоторых появляется огромный банер с просьбой оценить работу интернета. В общем поиск подказал, что вирус не новый и хорошо известный. Прошу помощи, пожалуйста помогите, если сможете. Логи выкладываю. virusinfo_syscheck.ziphijackthis.log
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) MillerMSK, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\Roman\AppData\Roaming\Funmoods\UPDATE~1\UPDATE~1.EXE','');
QuarantineFile('C:\Program Files (x86)\DealPlyLive\Update\DealPlyLive.exe','');
QuarantineFile('C:\Users\Roman\AppData\Roaming\Dealply\UPDATE~1\UPDATE~1.EXE','');
TerminateProcessByName('C:\Program Files (x86)\Tilt Breaker\rundll64.exe');
QuarantineFile('C:\Program Files (x86)\Tilt Breaker\rundll64.exe','');
TerminateProcessByName('c:\program files (x86)\tilt breaker\rundll32.exe');
QuarantineFile('c:\program files (x86)\tilt breaker\rundll32.exe','');
DeleteFile('C:\Users\Roman\AppData\Local\Temp\4768373aq','32');
DeleteFile('C:\Windows\Tasks\At1.job','64');
DeleteFile('C:\Windows\Tasks\At2.job','64');
DeleteFile('C:\Users\Roman\AppData\Local\Temp\4768388aq','32');
DeleteFile('C:\Users\Roman\AppData\Roaming\Dealply\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\Windows\system32\Tasks\Dealply.job','64');
DeleteFile('C:\Program Files (x86)\DealPlyLive\Update\DealPlyLive.exe','32');
DeleteFile('C:\Windows\system32\Tasks\DealPlyLiveUpdateTaskMachineUA.job','64');
DeleteFile('C:\Windows\system32\Tasks\At1','64');
DeleteFile('C:\Windows\system32\Tasks\DealPlyLiveUpdateTaskMachineUA','64');
DeleteFile('C:\Users\Roman\AppData\Roaming\Funmoods\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\Windows\system32\Tasks\Funmoods','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
ExecuteRepair(13);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 40
Спасибо, огромное! Визуально вроде все в порядке, но это проявлялось периодически, поэтому на 100% о результатах сказать пока не могу. Карантин отправил, новые логи прикрепляю.
virusinfo_syscheck.zip
hijackthis.log
-
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
DeleteFile('C:\Windows\system32\Tasks\At2','64');
DeleteFile('C:\Windows\system32\Tasks\Dealply','64');
DeleteFile('C:\Windows\system32\Tasks\DealPlyLiveUpdateTaskMachineCore','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новый лог
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 40
Спасибо! Скрипт выполнен. Новые логи:
virusinfo_syscheck.zip
hijackthis.log
-
- Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
- Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Search" и дождитесь окончания сканирования.
- Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R1].txt.
- Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 40
-
Запустите AdwCleaner и нажмите Delete.
Сделайте новый лог
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 40
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 40
Надеюсь, да Сутки в интернете без видимых проблем! Еще раз большое спасибо за помощь! Единственное, Malware ругается сейчас при закачке торрента на процесс мю-торрента "была предотврощена попытка доступа к вредоносному сайту", но может это нормальное его состояние, т.к. установил его только день назад.
P.S. вообще странно... один из сайтов только что опять начал выдавать инфо с нарушенным форматированием.. И AVZ ругнулся при проверке на троян.. И на svhost только что было подозрение...virusinfo_syscheck.zip
Последний раз редактировалось MillerMSK; 07.08.2013 в 00:29.
-
МВАМ всегда ругается на любую сетевую активность
Удалите его
В логах ничего вирусоподобного
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 40
Тогда все в порядке Спасибо еще раз!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения вредоносные программы в карантинах не обнаружены
-