Собственно, любой сайт автоматически переключает на сайт ростелеком. ру.Требует обновление браузера, указывая на наличие трояна.При попытке войти вконтакт выскакивает сообщение "В связи с участившимися кражами паролей..." и требует ввести телефон.
Printable View
Собственно, любой сайт автоматически переключает на сайт ростелеком. ру.Требует обновление браузера, указывая на наличие трояна.При попытке войти вконтакт выскакивает сообщение "В связи с участившимися кражами паролей..." и требует ввести телефон.
Уважаемый(ая) [B]Sweetie[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Здравствуйте!!!
- [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в HijackThis:[/URL]
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\apppatch\wdriltk.dat,[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните в АВЗ:[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\mediabar Toolbar\RubarUpdateService.exe','');
QuarantineFile('C:\WINDOWS\system32\uifaywe.dll','');
QuarantineFile('c:\program files\mediabar toolbar\rubarupdateservice.exe','');
DeleteFile('C:\WINDOWS\system32\uifaywe.dll');
QuarantineFile('C:\WINDOWS\apppatch\wdriltk.dat','');
DeleteFile('C:\WINDOWS\apppatch\wdriltk.dat');
RegKeyStrParamWrite('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows','AppInit_DLLs','C:\PROGRA~1\KASPER~1\KASPER~1.0FO\kloehk.dll,C:\PROGRA~1\KASPER~1\KASPER~1.0FO\adialhk.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
[COLOR="#FF0000"]Компьютер перезагрузится[/COLOR]
[B]После перезагрузки:[/B]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [B]quarantine.zip[/B] из папки AVZ загрузите по ссылке "[COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR]" вверху темы.
- [B]Обновите базы АВЗ[/B] и повторите логи.
[B]RuBar[/B] сами устанавливали? Удалите если не пользуетесь.
Всё работает, никуда не перекидывает, вконтакт заходит.
Спасибо огромное.
Если честно, даже не знаю что такое РуБар - постараюсь удалить.
Повторные логи прикрепляю, "карантин" отправила
[quote="Sweetie;815021"]Если честно, даже не знаю что такое РуБар - постараюсь удалить.[/quote]
Тогда так:)
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните в АВЗ:[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
SetServiceStart('Rubar Update Service', 4);
StopService('Rubar Update Service');
QuarantineFile('C:\Program Files\mediabar Toolbar\rubar.dll','');
DeleteFile('C:\Program Files\mediabar Toolbar\rubar.dll');
DeleteFile('C:\Program Files\mediabar toolbar\rubarbroker.exe');
DeleteFile('C:\Program Files\mediabar toolbar\rubarupdateservice.exe');
DelBHO('23DD83B5-BDDC-49CE-B77B-514819C6D551');
DelCLSID('7A05BDCB-8F81-45C5-B9EC-3764E6FC1439');
DeleteService('Rubar Update Service');
DeleteFileMask('C:\Program Files\mediabar toolbar','*.*',true);
DeleteDirectory('C:\Program Files\mediabar toolbar');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Rubar Update Service');
BC_Activate;
RebootWindows(true);
end.[/CODE]
[COLOR="#FF0000"]Компьютер перезагрузится[/COLOR]
[B]После перезагрузки:[/B]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [B]quarantine.zip[/B] из папки AVZ загрузите по ссылке "[COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR]" вверху темы.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]11[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\program files\\mediabar toolbar\\rubarupdateservice.exe - [B]not-a-virus:WebToolbar.Win32.Rubar.a[/B][*] c:\\windows\\apppatch\\wdriltk.dat - [B]Trojan.Win32.Diple.ywe[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Kazy.32058, NOD32: Win32/Spy.Shiz.NBX trojan, AVAST4: Win32:MalOb-HI [Cryp] )[*] c:\\windows\\system32\\uifaywe.dll - [B]Trojan-Ransom.Win32.Cidox.gen[/B] ( DrWEB: Trojan.Mayachok.based, BitDefender: Trojan.Generic.6393464, NOD32: Win32/Agent.SFM trojan, AVAST4: Win32:MalOb-HG [Cryp] )[/LIST][/LIST]