Здравствуйте. Несколько дней всплывает окошко с блокировкой по адресу:
IP 188.165.146.90 и wsslupdate.org IP 188.165.146.86
Здравствуйте. Несколько дней всплывает окошко с блокировкой по адресу:
IP 188.165.146.90 и wsslupdate.org IP 188.165.146.86
Последний раз редактировалось mike 1; 27.12.2014 в 12:47. Причина: Вирусная ссылка
Уважаемый(ая) Oronchik, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; SetServiceStart('BDMWrench_x64', 4); DeleteService('BDMWrench_x64'); DeleteService('BDKVRTP'); QuarantineFile('C:\Users\Александр\AppData\Local\Microsoft\Windows\toolbar.exe',''); QuarantineFile('C:\Users\Александр\AppData\Roaming\JBYUOXF.exe',''); QuarantineFile('C:\Users\Александр\AppData\Roaming\IAHPKQU.exe',''); QuarantineFile('C:\Program Files (x86)\HDQ-1.2cV05.12\9a644297-092a-4e6a-842a-cd4ac7dfe985-5.exe',''); QuarantineFile('C:\Program Files (x86)\HDQ-1.2cV05.12\9a644297-092a-4e6a-842a-cd4ac7dfe985-4.exe',''); QuarantineFile('C:\Program Files (x86)\HDQ-1.2cV05.12\9a644297-092a-4e6a-842a-cd4ac7dfe985-3.exe',''); QuarantineFile('C:\Program Files (x86)\HDQ-1.2cV05.12\9a644297-092a-4e6a-842a-cd4ac7dfe985-2.exe',''); QuarantineFile('C:\Program Files (x86)\HDQ-1.2cV05.12\9a644297-092a-4e6a-842a-cd4ac7dfe985-11.exe',''); QuarantineFile('C:\Program Files (x86)\HDQ-1.2cV05.12\HDQ-1.2cV05.12-codedownloader.exe',''); QuarantineFile('C:\Program Files (x86)\HDQ-1.2cV05.12\81056097-9e19-416b-8e0f-f9f559abee26.exe',''); DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}'); DelBHO('{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2}'); QuarantineFile('C:\Users\Александр\AppData\Local\Microsoft\Internet Explorer\Extensions\APIHelper.dll',''); QuarantineFile('C:\Users\Александр\AppData\Roaming\Browsers\exe.emorhc.bat',''); DeleteFile('C:\Users\Александр\AppData\Local\Amigo\Application\amigo.exe','32'); DeleteFile('C:\Users\Александр\AppData\Local\Amigo\Application\ok.exe','32'); DeleteFile('C:\Users\Александр\AppData\Local\Amigo\Application\vk.exe','32'); DeleteFile('C:\Users\Александр\AppData\Roaming\Browsers\exe.emorhc.bat','32'); DeleteFile('C:\Users\Александр\AppData\Local\Microsoft\Internet Explorer\Extensions\APIHelper.dll','32'); DeleteFile('C:\Program Files (x86)\HDQ-1.2cV05.12\81056097-9e19-416b-8e0f-f9f559abee26.exe','32'); DeleteFile('C:\Program Files (x86)\HDQ-1.2cV05.12\HDQ-1.2cV05.12-codedownloader.exe','32'); DeleteFile('C:\Program Files (x86)\HDQ-1.2cV05.12\9a644297-092a-4e6a-842a-cd4ac7dfe985-11.exe','32'); DeleteFile('C:\Program Files (x86)\HDQ-1.2cV05.12\9a644297-092a-4e6a-842a-cd4ac7dfe985-2.exe','32'); DeleteFile('C:\Program Files (x86)\HDQ-1.2cV05.12\9a644297-092a-4e6a-842a-cd4ac7dfe985-3.exe','32'); DeleteFile('C:\Program Files (x86)\HDQ-1.2cV05.12\9a644297-092a-4e6a-842a-cd4ac7dfe985-4.exe','32'); DeleteFile('C:\Program Files (x86)\HDQ-1.2cV05.12\9a644297-092a-4e6a-842a-cd4ac7dfe985-5.exe','32'); DeleteFile('C:\Users\Александр\AppData\Roaming\IAHPKQU.exe','32'); DeleteFile('C:\Users\Александр\AppData\Roaming\JBYUOXF.exe','32'); DeleteFile('C:\Users\Александр\AppData\Local\Microsoft\Windows\toolbar.exe','32'); DeleteFile('C:\Windows\system32\DRIVERS\BDMWrench_x64.sys','32'); DeleteFile('C:\Program Files (x86)\BaiduSd3.0\BaiduSd\3.0.0.4605\baidusdSvc.exe','32'); DeleteFile('C:\Windows\system32\DRIVERS\bd0001.sys','32'); DeleteFile('C:\Windows\system32\DRIVERS\bd0002.sys','32'); DeleteFile('C:\Windows\system32\DRIVERS\bd0004.sys','32'); DeleteFile('C:\Windows\system32\DRIVERS\BDAntiExp.sys','32'); DeleteFile('C:\Windows\system32\drivers\BDEnhanceBoost.sys','32'); DeleteFile('C:\Windows\Tasks\81056097-9e19-416b-8e0f-f9f559abee26.job','64'); DeleteFile('C:\Windows\Tasks\9a644297-092a-4e6a-842a-cd4ac7dfe985-1.job','64'); DeleteFile('C:\Windows\Tasks\9a644297-092a-4e6a-842a-cd4ac7dfe985-11.job','64'); DeleteFile('C:\Windows\Tasks\9a644297-092a-4e6a-842a-cd4ac7dfe985-2.job','64'); DeleteFile('C:\Windows\Tasks\9a644297-092a-4e6a-842a-cd4ac7dfe985-3.job','64'); DeleteFile('C:\Windows\Tasks\9a644297-092a-4e6a-842a-cd4ac7dfe985-4.job','64'); DeleteFile('C:\Windows\Tasks\9a644297-092a-4e6a-842a-cd4ac7dfe985-5.job','64'); DeleteFile('C:\Windows\Tasks\9a644297-092a-4e6a-842a-cd4ac7dfe985-5_user.job','64'); DeleteFile('C:\Windows\Tasks\IAHPKQU.job','64'); DeleteFile('C:\Windows\Tasks\JBYUOXF.job','64'); DeleteFile('C:\Windows\system32\Tasks\81056097-9e19-416b-8e0f-f9f559abee26','64'); DeleteFile('C:\Windows\system32\Tasks\9a644297-092a-4e6a-842a-cd4ac7dfe985-1','64'); DeleteFile('C:\Windows\system32\Tasks\9a644297-092a-4e6a-842a-cd4ac7dfe985-11','64'); DeleteFile('C:\Windows\system32\Tasks\9a644297-092a-4e6a-842a-cd4ac7dfe985-2','64'); DeleteFile('C:\Windows\system32\Tasks\9a644297-092a-4e6a-842a-cd4ac7dfe985-3','64'); DeleteFile('C:\Windows\system32\Tasks\9a644297-092a-4e6a-842a-cd4ac7dfe985-4','64'); DeleteFile('C:\Windows\system32\Tasks\9a644297-092a-4e6a-842a-cd4ac7dfe985-5','64'); DeleteFile('C:\Windows\system32\Tasks\SystemScript','64'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Сделайте лог полного сканирования МВАМ
Сделайте логи RSIT
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Сделал.
Поместите в карантин МВАМ всё найденное
Сделайте новый логи RSIT
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Вот.
удалите вручнуюC:\Users\Александр\AppData\Roaming\Browsers
C:\Users\Александр\AppData\Roaming\ICL
C:\Users\Александр\AppData\Local\Amigo
C:\Windows\system32\drivers\BDMWrench_x64.sys
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Всё сделал.
Рядом с этим C:\Windows\system32\drivers\BDMWrench_x64.sys ещё один был подобный, от китайской "байды".
Амиго не оказалось.
Нод молчит!
Удалите МВАМ
Проблема решена?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
МВАМ удалил.
Похоже, что решена, сообщений о блокировке нет.
Что бы я без Вас делал, БлагоДарю!
Сайт в закладки...
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения вредоносные программы в карантинах не обнаружены
Вчера лечились http://virusinfo.info/showthread.php...74#post1204874
Сегодня рецидив...
Добавлено через 11 минут
У меня есть музыкальная программа Adobe Audition 3.0 Так вот, вчера во время проверки, MBAT определил файл Crack.exe, как Троян. Я его не удалял. Может это он? Но без него прога работать не будет.
- - - - -Добавлено - - - - -
Сообщение переместили, а мне там вроде бы хэлпер ответил, не успел прочитать...
Последний раз редактировалось Oronchik; 27.12.2014 в 13:01. Причина: Добавлено
Список установленных расширений для браузеров напишите
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
В Опере расширения не установлены.
В Хроме: Google Презентации, Google Таблицы, Визуальные Закладки Mail.Ru, Документы Google, Домашняя страница Mail.Ru, Поиск Mail.Ru, это штатные. И я установил Tampermonkey, не помню точно, но по моему Нод на неё ругался.
Вот открыл Хром и через пять минут Нод заблокировал новый адрес: d3dupdate.com IP: 188.168.146.90
Есть подозрение на фолсы NOD
d3dupdate.com запакуйте с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Отправил.
- - - - -Добавлено - - - - -
Отправил ещё один, т.к. не уверен, что сделал правильно.
- - - - -Добавлено - - - - -
Удалил Хром, уже больше часа никаких сообщений от Нода.
Последний раз редактировалось Oronchik; 27.12.2014 в 13:54.
Прислали файлы нулевого размера в архиве
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Ладно, проехали
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Вчера после удаления Хрома всё было нормально. Сегодня решил Нодом просканировать. И вот во время сканирования Нод снова d3dupdate.com заблокировал.
Уважаемый(ая) Oronchik, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.