При попытки зайти на яндекс перебрасывает на другой сайт, вк требует отправить смс-ку.
При попытки зайти на яндекс перебрасывает на другой сайт, вк требует отправить смс-ку.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Sohabit, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ:Компьютер перезагрузится.Код:begin DelBHO('{95289393-33EA-4F8D-B952-483415B9C955}'); DelBHO('{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a}'); DelBHO('{09900DE8-1DCA-443F-9243-26FF581438AF}'); DeleteFile('C:\Users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\635110556531403889.exe','32'); DeleteFile('C:\Users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\635111713982151135.exe','32'); DeleteFile('C:\Users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\635119172385028667.exe','32'); DeleteFile('C:\Users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\635127790799275053.exe','32'); DeleteFile('C:\Users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\635129568074710530.exe','32'); DeleteFile('C:\Users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\635131231413619311.exe','32'); DeleteFile('C:\Users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\635134708423631720.exe','32'); DeleteFile('C:\Users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\635135909914250469.exe','32'); DeleteFile('C:\Users\Станислав\Documents\Iterra\cqtmdum.dll','32'); DeleteFile('C:\Windows\system32\Tasks\DSite.job','64'); DeleteFile('C:\Windows\system32\Tasks\PC SpeedUp Service Deactivator.job','64'); DeleteFile('C:\Windows\system32\Tasks\DSite','64'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Adobe Flash Player SU'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Internet Settings','AutoConfigURL'); RegKeyStrParamWrite('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings', 'ProxyServer', ''); RegKeyParamWrite('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings', 'ProxyEnable', 'REG_DWORD', '0'); ExecuteSysClean; ExecuteRepair(3); ExecuteRepair(4); ExecuteWizard('SCU',2,2,true); CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); RebootWindows(true); end.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.
Скачайте утилиту OTL by OldTimer. Запустите OTL.EXE, установите галочки в следующих пунктах настройки:
Scan All Users
Include 64Bit Scans - в случае 64-разрядной системы;
Output: Minimal Output;
File Scans: Use Company-Name WhiteList и Skip Microsoft Files;
Lop Check;
Purity Check;
Остальные параметры оставьте по умолчанию и нажмите Run Scan. По окончании сканирования программа создаст в той же папке, где находится она сама, два файла: OTL.txt и Extras.txt. Упакуйте их в архив и прикрепите к своему следующему сообщению.
WBR,
Vadim
Сделано.
Отключите антивирус, запустите OTL, скопируйте скрипт ниже в окно Custom Scans/Fixes и нажмите Run FixКомпьютер перезагрузится и откроет в блокноте лог выполнения скрипта, прикрепите его к своему следующему сообщению.Код::processes :OTL IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://searchfunmoods.com/? f=1&a=iron2&ir=iron2&cd=2XzuyEtN2Y1L1QzuyDyEtDyE0AyCzytAzy0DyDzyyBtBzztDtN0D0Tzu0CtAyCtAtN1L2XzutBtFtBtFtCtFyEtDyB&cr=1942347976 IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE:64bit: - HKLM\..\SearchScopes\{95289393-33EA-4F8D-B952-483415B9C955}: "URL" = http://searchfunmoods.com/results.php?f=4&q={searchTerms} &a=iron2&ir=iron2&cd=2XzuyEtN2Y1L1QzuyDyEtDyE0AyCzytAzy0DyDzyyBtBzztDtN0D0Tzu0CtAyCtAtN1L2XzutBtFtBtFtCtFyEtDyB&cr=1942347976 IE - HKLM\..\SearchScopes\{95289393-33EA-4F8D-B952-483415B9C955}: "URL" = http://searchfunmoods.com/results.php?f=4&q={searchTerms} &a=iron2&ir=iron2&cd=2XzuyEtN2Y1L1QzuyDyEtDyE0AyCzytAzy0DyDzyyBtBzztDtN0D0Tzu0CtAyCtAtN1L2XzutBtFtBtFtCtFyEtDyB&cr=1942347976 IE - HKU\S-1-5-21-1886302667-3111511155-805124146-1001\..\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633}: "URL" = http://webalta.ru/search?q={searchTerms}&from=IE IE - HKU\S-1-5-21-1886302667-3111511155-805124146-1001\..\SearchScopes\{F857121E-A9E5-4fb4-8C54-C2851C5F22C9}: "URL" = http://search.ticno.com/?c=t&q={searchTerms} [2013.02.21 15:03:44 | 000,023,141 | ---- | M] () (No name found) -- C:\Users\Андрей\AppData\Roaming\mozilla\firefox\profiles\h0i99jb9.default\extensions\staged\{f8e27e00-74cf-472f-b595-688999395a5c}.xpi O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - No CLSID value found. O3 - HKU\S-1-5-21-1886302667-3111511155-805124146-1001\..\Toolbar\WebBrowser: (no name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - No CLSID value found. O3 - HKU\S-1-5-21-1886302667-3111511155-805124146-1001\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found. O4 - Startup: C:\Users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\635132956285150080.exe () O20 - AppInit_DLLs: (C:\Users\Станислав\Documents\Iterra\cqtmdum.dll) - File not found [2013.10.18 11:53:00 | 000,000,290 | ---- | M] () -- C:\Windows\tasks\DSite.job [2013.09.05 01:00:52 | 000,000,138 | ---- | C] () -- C:\Windows\SysWow64\operaprefs_fixed.ini [2013.09.01 02:21:19 | 000,000,045 | ---- | C] () -- C:\Program Files\Common Files\635135909914250469.exe [2013.08.30 16:19:43 | 000,000,045 | ---- | C] () -- C:\Program Files\Common Files\635134708423631720.exe [2013.08.28 16:22:09 | 000,000,045 | ---- | C] () -- C:\Program Files\Common Files\635132956285150080.exe [2013.08.26 15:48:31 | 000,000,045 | ---- | C] () -- C:\Program Files\Common Files\635131231413619311.exe [2013.08.24 17:30:14 | 000,000,045 | ---- | C] () -- C:\Program Files\Common Files\635129568074710530.exe [2013.08.22 20:02:58 | 000,000,045 | ---- | C] () -- C:\Program Files\Common Files\635127790799275053.exe [2013.08.12 16:01:12 | 000,008,247 | ---- | C] () -- C:\Program Files\Common Files\635119172385028667.exe [2013.08.04 00:03:34 | 000,002,259 | ---- | C] () -- C:\Program Files\Common Files\635111713982151135.exe [2013.08.02 15:55:19 | 000,002,259 | ---- | C] () -- C:\Program Files\Common Files\635110556531403889.exe [2013.04.28 01:06:33 | 000,007,320 | ---- | C] () -- C:\Program Files\Common Files\635027049494125673.exe [2012.11.17 23:45:52 | 000,172,998 | ---- | C] () -- C:\Windows\hpoins28.dat.temp [2012.11.17 23:36:54 | 000,000,442 | ---- | C] () -- C:\Windows\hpomdl28.dat.temp [2013.09.05 00:24:45 | 000,000,000 | ---D | M] -- C:\Users\Андрей\AppData\Roaming\DSite [2013.09.05 00:24:47 | 000,000,000 | ---D | M] -- C:\Users\Андрей\AppData\Roaming\Funmoods [2013.02.23 17:34:39 | 000,000,000 | ---D | M] -- C:\Users\Отец\AppData\Roaming\Funmoods @Alternate Data Stream - 149 bytes -> C:\ProgramData\TEMP:D8999815 :Files recycler /alldrives ipconfig /flushdns /c :Reg :Commands [EMPTYTEMP] [EMPTYJAVA] [EMPTYFLASH] [purity] [Reboot]
Что с проблемой?
WBR,
Vadim
Проблема исчезла минуты на 3-5, потом вернулась обратно.
WBR,
Vadim
Cделано, но файл слишком велик для вложений, видимо, в этом проблема.
На rghost.ru его и ссылку в тему.
WBR,
Vadim
http://rghost.ru/49572157 - сделано.
Выполните скрипт в uVS:На вопросы об удалении программ рекомендую соглашаться.Код:;uVS v3.81.7 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 delref HTTP://SEARCHFUNMOODS.COM/?F=2&A=IRON2&IR=IRON2&CD=2XZUYETN2Y1L1QZUYDYETDYE0AYCZYTAZY0DYDZYYBTBZZTDTN0D0TZU0CTAYCTATN1L2XZUTBTFTBTFTCTFYETDYB&CR=1942347976 setdns Подключение по локальной сети\4\{BC87F5F4-0B35-4D8F-8699-F1CDEAE0FED9}\8.8.8.8,8.8.4.4 delref %SystemDrive%\USERS\C3EA~1\APPDATA\ROAMING\FUNMOODS\UPDATE~1\UPDATE~1.EXE exec C:\Program Files (x86)\Funmoods\1.5.23.22\uninstall.exe exec MsiExec.exe /quiet /X{26A24AE4-039D-4CA4-87B4-2F83217005FF} exec MsiExec.exe /quiet /X{1111706F-666A-4037-7777-211328764D10} exec C:\Program Files (x86)\Ticno\Tabs\Uninstall.exe exec C:\Program Files (x86)\Ticno\Multibar\uninstall.exe exec C:\Program Files (x86)\Ticno\Indexator\Uninstall.exe exec "C:\Program Files (x86)\metaCrawler\1.8.19.0\uninstall.exe" dnsreset deltmp restart
Компьютер перезагрузится.
Уведомление
Данный скрипт удалит все устаревшие версии Java, т. к. в них имеются критические ошибки, позволяющие выполнить вредоносный код в целевой системе. Проще говоря - при заходе на сайт с вредоносным кодом внедрить в систему без ведома пользователя трояна.
Скачайте и установите Java 7 Update 45. Уязвимости Java являются частой причиной взлома и заражения системы и поэтому это потенциальная дыра в безопасности.
Проверьте проблему.
WBR,
Vadim
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 9
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) Sohabit, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
