Показано с 1 по 20 из 20.

Нагуглил вирус (заявка № 92971)

  1. #1
    Junior Member Репутация
    Регистрация
    04.08.2008
    Сообщений
    32
    Вес репутации
    31

    Thumbs up Нагуглил вирус

    Доброй ночи.
    Искал в гугле "две аватарки вконтакте" или очень похожее, нашел вместо того вирус.
    После того как зашел на вредоносный сайт, у меня изменилась заставка рабочего стола на чёрный,
    открылось окошко с сообщением HDD scan, всё на английском, я сначала подумал что это мой
    родной виндовс это предлагает - нажал сканировать, через несколько минут после этого виндовс
    самопроизвольно перезагрузился. После того как загрузился снова,
    внизу слева, там где значки, появился красный перечёркнутый кружочек, наведя на него курсор
    пишеться windows security alert и с пугающей периодичностью примерно каждые 10 секунд
    постоянно выскакивает сообщение critical error, и ещё несколько явных признаков,
    зараженного компьютера.
    Сканирование антивирусом NOD результатов не дало, вирусов не обнаружено.
    По инструкции AVPTool нашло 14 или 15 вредоносных программ, были ли они удалены
    так и не понял. Проверьте пожалуйста!

  2. Реклама
     

  3. #2
    Junior Member Репутация
    Регистрация
    04.08.2008
    Сообщений
    32
    Вес репутации
    31
    Логи
    Вложения Вложения

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    195
    Отключите восстановление системы.

    Выполните скрипт в avz
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelBHO('{92860A02-4D69-48c1-82D7-EF6B2C609502}');
     QuarantineFile('C:\Program Files\BitAccelerator\BitAccelerator.dll','');
     QuarantineFile('C:\Windows\TEMP\98e1f1.exe','');
     QuarantineFile('C:\Windows\TEMP\98b291','');
     QuarantineFile('C:\Windows\TEMP\233627','');
     QuarantineFile('C:\Windows\TEMP\168188281','');
     QuarantineFile('C:\Users\Usver\AppData\Local\motrACPC.dll','');
     QuarantineFile('C:\Users\Usver\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\a_fa6cc2b4[1].jpg','');
     DeleteFile('C:\Windows\TEMP\168188281');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','168188281');
     DeleteFile('C:\Windows\TEMP\233627');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','233627');
     DeleteFile('C:\Windows\TEMP\98b291');
     DeleteFile('C:\Windows\TEMP\98e1f1.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','98e1f1');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','98b291');
     DeleteFile('C:\Program Files\BitAccelerator\BitAccelerator.dll');
    DeleteFileMask('C:\Program Files\BitAccelerator', '*.*', true);
    DeleteDirectory('C:\Program Files\BitAccelerator');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(11);
    RebootWindows(true);
    end.
    ПК перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Ваш ДНС 193.17.208.254 ?

    Сделайте новые логи.

  5. #4
    Junior Member Репутация
    Регистрация
    04.08.2008
    Сообщений
    32
    Вес репутации
    31
    Подскажите как узнать мой днс?

    Мой айпи очень похож 193.17.208.90
    Вложения Вложения

  6. #5
    Junior Member Репутация
    Регистрация
    04.08.2008
    Сообщений
    32
    Вес репутации
    31
    Основные признаки вирусов пропали, но при пользовании браузером IE при
    открытии новой вкладки иногда она как бы не загрузаетсья, её нельзя
    ни задействовать, ни закрыть. Приходиться закрывать через диспетчер задач весь браузер.
    До попадания вируса на компьютер такого никогда не было.
    Надеюсь на вашу помощь.

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    736
    Цитата Сообщение от Mirovoy Посмотреть сообщение
    Подскажите как узнать мой днс?
    Мой айпи очень похож 193.17.208.90
    Уточнить в службе поддержки провайдера, какой должен стоять ДНС.

  8. #7
    Junior Member Репутация
    Регистрация
    04.08.2008
    Сообщений
    32
    Вес репутации
    31
    Всё верно, мой ДНС 193.17.208.254. Сказали в службе поддержки моего провайдера.
    Жду дальнейщих инструкций

    Добавлено через 4 часа 28 минут

    IE иногда подозрительно тормозит и зависает =(
    Нод время от времени выдаёт сообщение что адрес заблокирован
    (каждый раз разный) ещё ниже какой то IP.
    Последний раз редактировалось Mirovoy; 06.12.2010 в 01:27. Причина: Добавлено

  9. #8
    Junior Member Репутация
    Регистрация
    04.08.2008
    Сообщений
    32
    Вес репутации
    31
    Многоуважаемые хэлперы! я вас очень жду

  10. #9
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Пофиксите в HijackThis:
    Код:
    O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - (no file)
    O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file)
    O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programs\PartyGaming\PartyPoker\RunApp.exe (file missing)
    O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programs\PartyGaming\PartyPoker\RunApp.exe (file missing)
    Больше ничего плохого в логах не видно.

    Откройте Свойства обозревателя, вкладку Дополнительно и нажмите кнопку Сброс.
    I am not young enough to know everything...

  11. #10
    Junior Member Репутация
    Регистрация
    04.08.2008
    Сообщений
    32
    Вес репутации
    31
    Ребята, не помогло

    NOD с периодичностью примерно раз в пол часа по прежнему выдаёт сообщение что блокирован такой то сайт, IP такой то.

    IE Очень часто подвисает. Тормозит.

    Начала выскакивать окошко с ошибкой сразу после загрузки windows
    "Ошибка при загрузке C:\Users\Usver\AppData\Local\motrACPC.dll"
    (Это началось после фикса в HijackThis)

    Перестал работать вход по отпечаткам пальцев в IE (я к нему очень привык) да и в целях безопасности постоянно им пользовался.

    И ещё, извините за нескромный вопрос, но не помещают ли вот этот фикс в HijackThis

    O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programs\PartyGaming\PartyPoker\RunApp.exe (file missing)

    O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programs\PartyGaming\PartyPoker\RunApp.exe (file missing)

    Они (PartyPoker.com) могут обнаружить это? и потом говорить что я вот такой плохой человек заблокировал некоторые возможности программы и теперь мы тебя заблокируем!

    А ещё один раз компьютер упал с помощью синего экрана

    Очень не хотелось бы переустанавливать виндовс, он у меня лицензионный шел вместе с ноутбуком, но диска нет. А не лицензию я не уважаю...

  12. #11
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Цитата Сообщение от Mirovoy Посмотреть сообщение
    не помещают ли вот этот фикс в HijackThis
    Не помешает, т.к. соответствующего файла на диске нет, это просто пустышка в реестре. Впрочем, можете и не фиксить, это не имеет большого значения.
    I am not young enough to know everything...

  13. #12
    Junior Member Репутация
    Регистрация
    04.08.2008
    Сообщений
    32
    Вес репутации
    31
    На счёт входа по отпечаткам вопрос решился.

    По вирусу я так понял вы мне больше помочь не можете?

  14. #13
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,523
    Вес репутации
    2915
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  15. #14
    Junior Member Репутация
    Регистрация
    04.08.2008
    Сообщений
    32
    Вес репутации
    31
    Честно признаться, что нашлось - удалил сразу, в печёнках у меня уже этот вирус, неделю удаляю. Вот лог.
    Проблемы с браузером и сообщение нода о блокировке некоего сайта по прежнему остались
    Вложения Вложения
    Последний раз редактировалось Mirovoy; 10.12.2010 в 07:07.

  16. #15
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,523
    Вес репутации
    2915
    Сделайте лог ComboFix
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  17. #16
    Junior Member Репутация
    Регистрация
    04.08.2008
    Сообщений
    32
    Вес репутации
    31
    Цитата Сообщение от thyrex Посмотреть сообщение
    Сделайте лог ComboFix
    8 раз запускал, все закончились синим экраном, рано или поздно.
    Продолжать попытки?

  18. #17
    Junior Member Репутация
    Регистрация
    04.08.2008
    Сообщений
    32
    Вес репутации
    31
    Попробовал в безопасном режиме - получилось, утилитка что то пофиксила и после этого получилось и при обычной загрузке виндовса.
    Пока что прежних проблем не замечаю. Лог.
    Вложения Вложения

  19. #18
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,523
    Вес репутации
    2915
    \\.\PhysicalDrive0 - Bootkit TDL4 was found and disinfected
    Придраться больше не к чему

    Удалите ComboFix
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  20. #19
    Junior Member Репутация
    Регистрация
    04.08.2008
    Сообщений
    32
    Вес репутации
    31
    Удалил.
    Благодарю всех хэлперов за Ваш труд!

  21. #20
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,538
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 19
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\users\\usver\\appdata\\local\\motracpc.dll - Trojan-Downloader.Win32.Mufanom.asel ( DrWEB: Trojan.Hiloti.based.2, BitDefender: Gen:Variant.Kazy.3358, AVAST4: Win32:MalOb-DT [Cryp] )


  • Уважаемый(ая) Mirovoy, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01122 seconds with 23 queries