вы пытаетесь зайти из необычного места / штраф ГБДД при иногда [Trojan-Spy.Win32.Carberp.rdh ]

Printable View

10.11.2012, 12:25
facepalmz

Вложений: 2

вы пытаетесь зайти из необычного места / штраф ГБДД при иногда [Trojan-Spy.Win32.Carberp.rdh ]

вконтакте пишет вы пытаетесь зайти из необычного места
еще иногда открывается страница с штрафами гибдд
10.11.2012, 12:26
Info_bot

Уважаемый(ая) [B]facepalmz[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
10.11.2012, 12:30
thyrex

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
DeleteFile('C:\Users\papa\AppData\Local\Temp\76713179FdOh');
DeleteFile('C:\Users\papa\AppData\Local\Temp\2698910FdOh');
QuarantineFile('C:\Users\papa\AppData\Local\Temp\67YrlvB.exe','');
QuarantineFile('C:\Users\papa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Lkhp5rhtVws.exe','');
QuarantineFile('C:\Users\papa\ms.exe','');
DeleteFile('C:\Users\papa\ms.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S19767133');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','S1405919');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','S1405919');
DeleteFile('C:\Users\papa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Lkhp5rhtVws.exe');
DeleteFile('C:\Users\papa\AppData\Local\Temp\67YrlvB.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','C:\Users\papa\AppData\Local\Temp\67YrlvB.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','explorer');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','2698926');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','76713242');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(10);
ExecuteRepair(13);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи

Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]
Сделайте логи [url="http://virusinfo.info/showthread.php?t=115256"]RSIT[/url]
10.11.2012, 13:45
facepalmz

Вложений: 6

есть
10.11.2012, 13:50
thyrex

Содержимое файлов
[CODE]C:\Windows\tasks\At1.job
C:\Windows\tasks\At2.job[/CODE]
посмотрите в Блокноте и процитируйте в сообщении

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

C:\ProgramData\qvp9Ce2H2M4 удалите вручную
10.11.2012, 14:09
facepalmz

Z>aO†D¶„9G“lжF v <
s а!Ь
n c m d . e x e _ / c c o p y C : \ U s e r s \ p a p a \ A p p D a t a \ L o c a l \ T e m p \ 7 6 7 1 3 1 7 9 F d O h C : \ W i n d o w s \ s y s t e m 3 2 \ d r i v e r s \ e t c \ h o s t s / Y A8AB5<0 !>AB02;5=> N e t S c h e d u l e J o b A d d . 0 Ь
*це9v#•ЂЕ;Єью!ђ;hЮЉГЊ2¤Z{u(‰m-u+~…»[WП]о—ЏA=з‡вn.L©M5~Ъe

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

второй
FсАeђKїНЕ{єЙКvF t <
s а!Ь 7 c m d . e x e ^ / c c o p y C : \ U s e r s \ p a p a \ A p p D a t a \ L o c a l \ T e m p \ 2 6 9 8 9 1 0 F d O h C : \ W i n d o w s \ s y s t e m 3 2 \ d r i v e r s \ e t c \ h o s t s / Y A8AB5<0 !>AB02;5=> N e t S c h e d u l e J o b A d d . 0 Ь 7 /и.dЅ»Ю у]АG˜ЃjЗќOафмяK*лЦџ·џ)«!и&*32кµ8e2†ѓЧц¦0{юuf
10.11.2012, 14:16
thyrex

Удалите эти файлы
11.11.2012, 11:31
facepalmz

проблема с антиштраф ГИБДД так и не решилась..
11.11.2012, 13:23
regist

[quote="thyrex;938114"]Сделайте логи RSIT[/quote]
повторите.
11.11.2012, 14:26
facepalmz

Вложений: 2

готово
11.11.2012, 17:30
thyrex

Куки и кэш браузеров очистите

C:\ProgramData\qvp9Ce2H2M4 так и не удалили

Смените все пароли

Что с проблемой?
11.11.2012, 17:38
facepalmz

C:\ProgramData\qvp9Ce2H2M4 нет такого файла
11.11.2012, 18:18
thyrex

Это папка с атрибутами "скрытая", "системная"
11.11.2012, 18:28
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\users\\papa\\appdata\\roaming\\microsoft\\windows\\start menu\\programs\\startup\\lkhp5rhtvws.exe - [B]Trojan-Spy.Win32.Carberp.rdh[/B] ( DrWEB: Trojan.Winlock.6049, BitDefender: Gen:Variant.Symmi.4149 )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]