-
Junior Member
- Вес репутации
- 43
URL: Mal [Trojan.Win64.Patched.bj
]
Подцепил такую заразу - троян маячок (кажется, так называется). Думаю, всему виной скачка брата чит-программ для игр. Теперь вирус подменяет почти все адреса на другие (к примеру, вместо vk.com - smile-vk.ru). Уже создавал по этому поводу тему, тот же вид вируса был.Тогда всему виной был ext_driver.exe в папке Windows. Теперь уж не знаю, что...
P.S.
Во время сканирования АВЗ Аваст пометил программу, как троян.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) alexlogroman, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Пофиксите в HijackThis:
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://sindex.biz/?company=5
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://sindex.biz/?company=5
Выполните скрипт в AVZ:
Код:
begin
QuarantineFile('C:\Users\ALEX-A~1\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE','');
QuarantineFile('C:\Users\Alex-Andrey\AppData\Local\Schedule\Schedule.exe','');
DeleteFile('C:\Users\Alex-Andrey\AppData\Local\Schedule\Schedule.exe');
DeleteFile('C:\Users\ALEX-A~1\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE');
DeleteFile('C:\Windows\Tasks\DSite.job');
ExecuteWizard('SCU',3,3,true);
RebootWindows(true);
end..
Компьютер перезагрузится.
Выполните в AVZ скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Сделайте новые логи версией AVZ 4.41, ссылка на скачивание - в правилах. Предварительно обновите базы.
-
-
Junior Member
- Вес репутации
- 43
Вот новые логи. Антивирус все равно ругается.
P.S. Я нечаянно профиксил ВСЕ в HijackThis. Это не опасно?
АВЗ почему то создал карантин-папку. В архиве папка Quarantine
Последний раз редактировалось alexlogroman; 13.08.2013 в 09:35.
-
Сообщение от
alexlogroman
P.S. Я нечаянно профиксил ВСЕ в HijackThis. Это не опасно?
Это может привести к неработоспособности системы. Запустите HijackThis снова, выберите "View the list of backups", отметьте там всё, кроме того, что я написал в сообщении #3 и восстановите. Затем сделайте новый лог HijackThis.
-
-
Junior Member
- Вес репутации
- 43
Вот с последней версией и обновленными базами
И еще. Ваш фикс помог моему антивирусу обновиться (раньше писал, что невозможно)
-
Удалите BrowserDefender (может называться BrowserProtect) через панель управления.
Выполните скрипт в AVZ:
Код:
begin
DelBHO('{4B4D5056-3600-A76A-76A7-7A786E7484D7}');
DeleteFile('C:\Windows\system32\Tasks\DealPlyUpdate','64');
DeleteFile('C:\Windows\system32\Tasks\pxreozj','64');
RebootWindows(false);
end.
Компьютер перезагрузится.
Сделайте полный образ автозапуска uVS, только программу скачайте отсюда.
-
-
Junior Member
- Вес репутации
- 43
Вот
Проблема осталась ( вместо URL: Mal вылезает URL: Mal2 )
-
Выполните скрипт в uVS:
Код:
;uVS v3.80.17 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
offsgnsave
; C:\USERS\ALEX-ANDREY\APPDATA\ROAMING\DEALPLY\UPDATEPROC\UPDATETASK.EXE
addsgn A7679B23526A4C7261D4C4B12DBDEB549D06E8B78912614E7A3CF67C05BEE25A6217A7A80E311469C3539560B99389F5F980E9725532B2B2D288296A2BEED44D 24 PUP.UpdateTask
zoo %Sys32%\RPCSS.DLL
delref HTTP://SINDEX.BIZ/?COMPANY=5
delref %SystemDrive%\USERS\ALEX-ANDREY\APPDATA\LOCAL\SCHEDULE\SCHEDULE.EXE
delref %SystemDrive%\PROGRAM FILES\ZAXAR\ZAXARLOADER.EXE
delref HTTP://YAMBLER.NET/?IQ
delref 2498909670.PORTAL.QTRAX.COM
zoo %SystemDrive%\USERS\ALEX-ANDREY\APPDATA\ROAMING\DEALPLY\UPDATEPROC\UPDATETASK.EXE
chklst
delvir
exec "C:\Users\Alex-Andrey\AppData\Roaming\BabSolution\Shared\GUninstaller.exe" -key "Delta Chrome Toolbar" -rmkey
exec C:\Program Files (x86)\DealPly\uninst.exe
exec "C:\Program Files (x86)\Delta\delta\1.8.16.16\GUninstaller.exe" -uprtc -key "delta"
exec MsiExec.exe /quiet /X{26A24AE4-039D-4CA4-87B4-2F83217021FF}
exec "C:\Program Files (x86)\PANDORA.TV\PanService\unins000.exe"
zoo C:\Program Files (x86)\ne_dovodi_do_predela\voobshem\Uninstall.exe
uidel C:\Program Files (x86)\ne_dovodi_do_predela\voobshem\Uninstall.exe
deltmp
czoo
restart
На вопросы об удалении программ рекомендую соглашаться.
Компьютер перезагрузится.
В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Скачайте AdwCleaner (by Xplode) и сохраните его на рабочем столе. Запустите его (в Windows Vista/7 необходимо запускать по правой кнопке мыши от имени администратора), нажмите кнопку "Search" и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в файле C:\AdwCleaner[R1].txt. Прикрепите отчет к своему следующему сообщению.
-
-
Junior Member
- Вес репутации
- 43
Вот
анвир ругается на сайты, и пишет smiles-vk.ru/scripts/... и куча цифр и букв. Все так же
Последний раз редактировалось alexlogroman; 13.08.2013 в 12:27.
-
Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/7 необходимо запускать по правой кнопке мыши от имени администратора), нажмите кнопку "Delete" и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен как C:\AdwCleaner[S1].txt. Прикрепите отчет к своему следующему сообщению.
Внимание! Для успешного удаления может потребоваться перезагрузка компьютера.
Скачайте утилиту OTL by OldTimer. Запустите OTL.EXE, установите галочки в следующих пунктах настройки:
Scan All Users
Include 64Bit Scans - в случае 64-разрядной системы;
Output: Minimal Output;
File Scans: Use Company-Name WhiteList и Skip Microsoft Files;
Lop Check;
Purity Check;
Остальные параметры оставьте по умолчанию и нажмите Run Scan. По окончании сканирования программа создаст в той же папке, где находится она сама, два файла: OTL.txt и Extras.txt. Упакуйте их в архив и прикрепите к своему следующему сообщению.
-
-
Junior Member
- Вес репутации
- 43
Последний раз редактировалось alexlogroman; 13.08.2013 в 14:15.
-
C:\WINDOWS\SYSTEM32\RPCSS.DLL замените чистым с дистрибутива http://virusinfo.info/showthread.php?t=51654 или скопируйте с аналогичной системы
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Отключите антивирус, запустите OTL, скопируйте скрипт ниже в окно Custom Scans/Fixes и нажмите Run Fix
Код:
:processes
:OTL
IE - HKU\S-1-5-21-245592117-2377087973-4154077892-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://sindex.biz/?company=5
[2013.08.12 19:52:35 | 000,000,000 | ---D | M] (TrollBar) -- C:\Users\Alex-Andrey\AppData\Roaming\mozilla\Firefox\Profiles\nahd6ha2.default\extensions\[email protected]
@Alternate Data Stream - 132 bytes -> C:\ProgramData\TEMP:74603393
:Files
recycler /alldrives
ipconfig /flushdns /c
:Reg
:Commands
[EMPTYTEMP]
[EMPTYJAVA]
[EMPTYFLASH]
[purity]
[Reboot]
Компьютер перезагрузится и откроет в блокноте лог выполнения скрипта, прикрепите его к своему следующему сообщению.
Очистите кэш и cookies-файлы браузеров.
Проверьте проблему.
-
-
Junior Member
- Вес репутации
- 43
Проблема не исчезла. Скажите имя файла, который я должен прикрепить. После перезагрузки у меня на минуту завис рабочий стол (explorer.exe еще не запустился), и больше ничего
-
Сообщение №13 читали? Выполняли?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 43
Сообщение от
thyrex
Сообщение №13 читали? Выполняли?
Нет возможности выполнить. Загрузочного диска Windows нет
- - - Добавлено - - -
Нашел лог после ребута
-
Сообщение от
thyrex
или скопируйте с аналогичной системы
До этого дочитали?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 43
Сообщение от
thyrex
До этого дочитали?
Опять нет Нет аналогичной системы
-
Скачайте такой хотфикс, запустите, будет распакован файл обновления Windows6.1-KB2401588-x64.msu . Запустите его установку вручную, по завершении перезапустите систему и проверьте проблему. Если осталась - подробнее - в каких броузерах, на какие сайты перенаправление.
-