Возникла проблема , как только подключаюсь к интернету , тут же возникают непонятные подключения к сайту jajaca.com , комп при этом жутко тормозит и OPERA с IE8 как то странно работать стали , буду очень благодарен за любую помощь !!!!
Printable View
Возникла проблема , как только подключаюсь к интернету , тут же возникают непонятные подключения к сайту jajaca.com , комп при этом жутко тормозит и OPERA с IE8 как то странно работать стали , буду очень благодарен за любую помощь !!!!
Уважаемый(ая) [B]MTF[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/donate/"]поддержите проект[/URL].
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Администратор\Рабочий стол\busbmw\slideside.zip','');
TerminateProcessByName('c:\documents and settings\Администратор\local settings\application data\opera\opera\temporary_downloads\jre-6u26-windows-i586-iftw.exe');
QuarantineFile('c:\documents and settings\Администратор\local settings\application data\opera\opera\temporary_downloads\jre-6u26-windows-i586-iftw.exe','');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- выполните такой скрипт
[CODE]
var
i : integer;
KeyList : TStringList;
begin
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then
begin
if RegKeyExistsEx('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+KeyList[i]+'\Services\BITS исправлено на оригинальное.');
end;
if RegKeyExistsEx('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+KeyList[i]+'\Services\wuauserv исправлено на оригинальное.');
end;
end;
KeyList.Free;
SaveLog(GetAVZDirectory + 'fystemRoot.log');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila.html"]правилам[/URL] п.2 и 3 раздела Диагностика.([COLOR="Blue"]virusinfo_syscheck.zip;hijackthis.log[/COLOR])
- Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"][COLOR="Blue"][B]MBAM[/B][/COLOR][/URL]
уважаемый [B]polword[/B] все сделал но опять эта зараза лезет jajaca.com
Кто нибуть помогите пожалуйста :(
Вот лог [B]MBAM[/B]
кто нибуть отзовитесь , комп совсем помирает :( !!!!!!!!!!!
[url="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/url] [b]только указанные строки[/b] [code]Зараженные ключи в реестре:
HKEY_CLASSES_ROOT\CLSID\{1408E208-2AC1-42D3-9F10-78A5B36E05AC} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{10026069-7A5F-4531-811E-C8DF20643BEE} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{275DE758-AE97-4BE3-BEF1-107A376C66E0} (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{3CC3D8FE-F0E0-4DD1-A69A-8C56BCC7BEBF} (Adware.SmartShopper) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3CC3D8FE-F0E0-4DD1-A69A-8C56BCC7BEBF} (Adware.SmartShopper) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{3CC3D8FE-F0E0-4DD1-A69A-8C56BCC7BEC0} (Adware.SmartShopper) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3CC3D8FE-F0E0-4DD1-A69A-8C56BCC7BEC0} (Adware.SmartShopper) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{4A7C84E2-E95C-43C6-8DD3-03ABCD0EB60E} (Adware.SmartShopper) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{4A7C84E2-E95C-43C6-8DD3-03ABCD0EB60E} (Adware.SmartShopper) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{A9D17DA6-022A-454A-AB26-E104C0F6D13A} (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} (Adware.MyCentria) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SETUP.EXE (Malware.Packer.Gen) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Bind (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\MyCentria (Adware.MyCentria) -> No action taken.
Зараженные параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Worm.AutoRun) -> Value: Shell -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> Value: option_1 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> Value: option_2 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> Value: option_3 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Value: UID -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WinDLL (service.exe) (Trojan.Agent) -> Value: WinDLL (service.exe) -> No action taken.
Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (explorer.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe) Good: (Explorer.exe) -> No action taken.
Зараженные папки:
c:\program files\FieryAds (Adware.Adware.FearAds) -> No action taken.
c:\program files\mycentria (Adware.MyCentria) -> No action taken.
c:\program files\mycentria\Firefox (Adware.MyCentria) -> No action taken.
c:\program files\mycentria\InfoBar (Adware.MyCentria) -> No action taken.
c:\WINDOWS\system32\twain32 (Backdoor.Bot) -> No action taken.
c:\documents and settings\администратор\application data\winxrar (Trojan.Agent) -> No action taken.
Зараженные файлы:
d:\PROGRAMM\antivirus\avz4\Infected\2011-06-28\avz00001.dta (Rootkit.Agent) -> No action taken.
d:\PROGRAMM\antivirus\avz4\Infected\2011-06-29\avz00001.dta (Rootkit.Agent) -> No action taken.
d:\PROGRAMM\antivirus\avz4\quarantine\2011-06-28\avz00002.dta (Spyware.BlackShadesNET) -> No action taken.
d:\PROGRAMM\antivirus\avz4\quarantine\2011-06-28\avz00005.dta (Spyware.BlackShadesNET) -> No action taken.
d:\PROGRAMM\antivirus\avz4\quarantine\2011-06-28\avz00006.dta (Spyware.BlackShadesNET) -> No action taken.
d:\PROGRAMM\antivirus\avz4\quarantine\2011-06-28\avz00008.dta (Spyware.BlackShadesNET) -> No action taken.
d:\PROGRAMM\antivirus\avz4\quarantine\2011-06-28\avz00009.dta (Spyware.BlackShadesNET) -> No action taken.
d:\PROGRAMM\antivirus\avz4\quarantine\2011-06-28\avz00010.dta (Spyware.BlackShadesNET) -> No action taken.
d:\PROGRAMM\antivirus\avz4\quarantine\2011-06-28\avz00011.dta (Spyware.BlackShadesNET) -> No action taken.
d:\PROGRAMM\antivirus\avz4\quarantine\2011-06-28\avz00013.dta (Spyware.BlackShadesNET) -> No action taken.
c:\documents and settings\администратор\application data\fieryads.dat (Adware.FieryAds) -> No action taken.
c:\program files\common files\keylog.txt (Malware.Trace) -> No action taken.
c:\documents and settings\администратор\избранное\cheap pharmacy online.url (Rogue.Link) -> No action taken.
c:\documents and settings\администратор\избранное\search online.url (Rogue.Link) -> No action taken.
c:\documents and settings\администратор\избранное\vip casino.url (Rogue.Link) -> No action taken.
c:\documents and settings\администратор\главное меню\cheap pharmacy online.url (Rogue.Link) -> No action taken.
c:\documents and settings\администратор\главное меню\search online.url (Rogue.Link) -> No action taken.
c:\documents and settings\администратор\главное меню\vip casino.url (Rogue.Link) -> No action taken.
c:\WINDOWS\system32\c.ico (Malware.Trace) -> No action taken.
c:\WINDOWS\system32\m.ico (Malware.Trace) -> No action taken.
c:\WINDOWS\system32\s.ico (Malware.Trace) -> No action taken.
c:\WINDOWS\k.txt (Trojan.FakeAlert) -> No action taken.
c:\WINDOWS\system32\twain32\local.ds (Backdoor.Bot) -> No action taken.
c:\WINDOWS\system32\twain32\user.ds (Backdoor.Bot) -> No action taken.
c:\documents and settings\администратор\application data\winxrar\after.png (Trojan.Agent) -> No action taken.
c:\documents and settings\администратор\application data\winxrar\dir.png (Trojan.Agent) -> No action taken.
c:\documents and settings\администратор\application data\winxrar\dot.gif (Trojan.Agent) -> No action taken.
c:\documents and settings\администратор\application data\winxrar\htmlayout.dll (Trojan.Agent) -> No action taken.
c:\documents and settings\администратор\application data\winxrar\logo.png (Trojan.Agent) -> No action taken.
c:\documents and settings\администратор\application data\winxrar\logo2.png (Trojan.Agent) -> No action taken.
c:\documents and settings\администратор\application data\winxrar\myriadwebpro-condensed.ttf (Trojan.Agent) -> No action taken.
c:\documents and settings\администратор\application data\winxrar\sb-h-scroll-next.png (Trojan.Agent) -> No action taken.
c:\documents and settings\администратор\application data\winxrar\sb-h-scroll-prev.png (Trojan.Agent) -> No action taken.
c:\documents and settings\администратор\application data\winxrar\sb-scroll-back.png (Trojan.Agent) -> No action taken.
c:\documents and settings\администратор\application data\winxrar\sb-scroll-base.png (Trojan.Agent) -> No action taken.
c:\documents and settings\администратор\application data\winxrar\sb-scroll-slider.png (Trojan.Agent) -> No action taken.
c:\documents and settings\администратор\application data\winxrar\sb-v-scroll-next.png (Trojan.Agent) -> No action taken.
c:\documents and settings\администратор\application data\winxrar\sb-v-scroll-prev.png (Trojan.Agent) -> No action taken.
c:\documents and settings\администратор\application data\winxrar\scroll.css (Trojan.Agent) -> No action taken.
c:\documents and settings\администратор\application data\winxrar\xsendexe.tmp (Trojan.Agent) -> No action taken.[/code]
Удалил строки в MBam , стало чуть чуть лучше т.е интернет стал чуть быстрее работать время появление табличек с подключением к jajaca.com от нод32 увеличилось но все равно переодически появляются !!!!!!!
Сделайте лог [url="http://virusinfo.info/showpost.php?p=493610&postcount=1"]ComboFix[/url]
Добрый день вот сделал лог ComboFix !!!!!!!!
Уважаемые Хелперы , у моей проблемы вообще есть решение или надо переустанавливать систему , после выполнения скриптов состояние компа стало существенно лучше ,осталась одна проблема просто чем больше времени прошло с момента подключения к интернету тем больше он начинает тупить , страница откравается бывает доходит до несколько минут , NOD32 только видит попытку доступа к сайту jajaca.com , но сам вирус не обнаруживает при сканировании , проверил лог AVZ на мой взгляд криминала вроде нет , господа Хелперы что посоветуете cделать , не очень хочется переустанавливать систему ?????
Скопируйте текст ниже в блокнот и сохраните как файл с названием [B]CFScript.txt[/B] на рабочий стол.
[code]KillAll::
File::
c:\windows\system32\drivers\tcpz-x86d.sys
c:\windows\system32\tcpwalblib.exe
c:\documents and settings\Администратор\Application Data\4F.tmp
c:\documents and settings\Администратор\Application Data\46.tmp
c:\documents and settings\Администратор\Application Data\23.tmp
c:\documents and settings\Администратор\Application Data\4E.tmp
c:\documents and settings\Администратор\Application Data\4A.tmp
c:\documents and settings\Администратор\Application Data\3F.tmp
c:\documents and settings\Администратор\Application Data\1CC.tmp
c:\documents and settings\Администратор\Application Data\C0.tmp
c:\documents and settings\Администратор\Application Data\BD.tmp
c:\documents and settings\Администратор\Application Data\A2.tmp
c:\documents and settings\Администратор\Application Data\89.tmp
c:\windows\system32\tcpwalalib.exe
c:\documents and settings\Администратор\Application Data\8F.tmp
c:\documents and settings\Администратор\Application Data\99.tmp
c:\documents and settings\Администратор\Application Data\98.tmp
c:\documents and settings\Администратор\Application Data\97.tmp
c:\documents and settings\Администратор\Application Data\AE.tmp
c:\documents and settings\Администратор\Application Data\AD.tmp
c:\documents and settings\Администратор\Application Data\AB.tmp
c:\documents and settings\Администратор\Application Data\6A.tmp
c:\documents and settings\Администратор\Application Data\66.tmp
c:\documents and settings\Администратор\Application Data\65.tmp
c:\documents and settings\Администратор\Application Data\D6.tmp
c:\windows\QTFont.for
Driver::
TCPZ
WalbSvc
Folder::
Registry::
FileLook::
c:\windows\system32\Slsvcx.exe
DirLook::
c:\windows\system32\X[/code]
После сохранения переместите [B]CFScript.txt[/B] на пиктограмму ComboFix.exe.
[img]http://safezone.cc/images/cfscript.gif[/img]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
вроде пока не подключается к jajaca.com , вот лог [B]ComboFix[/B]
c:\windows\system32\X\D.bat - содержимое этого файла напишите
[url="http://virusinfo.info/showpost.php?p=500136&postcount=2"]Удалите ComboFix[/url]
содержимое [B]X.bat[/B]
Удалите этот файл вместе с папкой
Здравствуйте [B]thyrex[/B] сделал лог MBam там есть C:\WINDOWS\system32\CUV28.exe
не подскажите что это за файл ??????
Запакуйте его с паролем virus и пришлите по красной ссылке
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \\cuv28.exe - [B]Trojan.Win32.TDSS.cjoh[/B] ( DrWEB: Trojan.Siggen2.47216, BitDefender: Gen:Trojan.Heur.GM.000040047A, AVAST4: Win32:Malware-gen )[/LIST][/LIST]