Поймал странный вирус.

Printable View

18.01.2013, 19:57
jericho175

Вложений: 3

Поймал странный вирус.

Добрый день. Буквально полчаса назад поймал вирус, он почти не как не проявляется. Теперь почти все сайты не открываются с первого раза и я постоянно слышу звук предупреждения виндоус когда пытаюсь сделать что-либо за компьютером и программы эти не запускаются. Так же при запуске многих программ вижу ошибку "werfault.exe". Жду помощи.
18.01.2013, 19:59
Info_bot

Уважаемый(ая) [B]jericho175[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
19.01.2013, 09:45
Techno

- [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в HijackThis:[/URL]
[CODE]R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)
O20 - AppInit_DLLs: RFMultiWindowsFree.dll[/CODE]

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните в АВЗ:[/URL]
[CODE]begin
QuarantineFile('C:\Windows\system32\RFMultiWindowsFree.dll','');
DeleteFile('C:\Windows\system32\RFMultiWindowsFree.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

[COLOR="#FF0000"]Компьютер перезагрузится[/COLOR]

[B]После перезагрузки:[/B]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [B]quarantine.zip[/B] из папки AVZ загрузите по ссылке "[COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR]" вверху темы.

- Повторите логи.
19.01.2013, 14:03
jericho175

Вложений: 3

Всё сделал. Вот логи.
19.01.2013, 14:20
regist

- Сделайте лог [url=http://virusinfo.info/showpost.php?p=457118&postcount=1]полного сканирования МВАМ.[/url]

- Проведите процедуру, которая описана [url=http://virusinfo.info/content.php?r=125-page-uploadclean][B]тут[/B][/url]. Результат загрузки напишите в сообщении здесь.

Запустите HijackThis от имени админа и повторите фикс строчек, после этого прикрепите новый лог HijackThis
19.01.2013, 16:36
jericho175

Вложений: 2

Готово, вот новые логи.
19.01.2013, 17:42
regist

[url=http://virusinfo.info/showthread.php?t=53070&p=493584&viewfull=1#post493584]Удалите в MBAM [/url] только

[CODE]Обнаруженные ключи в реестре: 5
HKCR\CLSID\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Webalta Toolbar (PUP.ToolBar.WA) -> Действие не было предпринято.
Обнаруженные папки: 2
C:\Windows\assembly\GAC_MSIL\WEBALTASEARCH (PUP.ToolBar.WA) -> Действие не было предпринято.
C:\Windows\assembly\GAC_MSIL\WEBALTASEARCH\1.1.0.0__cae29f257fecba88 (PUP.ToolBar.WA) -> Действие не было предпринято.
C:\Windows\assembly\GAC_MSIL\WebAltaSearch\1.1.0.0__cae29f257fecba88\WebAltaSearch.dll (PUP.WebAlta) -> Действие не было предпринято.[/CODE]

Заархивируйте папку

[CODE]C:\Users\Jericho175\AppData\Roaming\.minecraft\[/CODE]

в zip архив с паролем [COLOR="Red"]virus[/COLOR] и загрузите по ссылке [b][color=Red]Прислать запрошенный карантин[/color][/b] вверху темы.

сделайте новый лог полного сканирования МВАМ.
20.01.2013, 12:21
jericho175

Вложений: 1

Вот лог MBAM.
20.01.2013, 14:11
regist

[quote="regist;961651"]Заархивируйте папку
[CODE]C:\Users\Jericho175\AppData\Roaming\.minecraft\[/CODE]
в zip архив с паролем virus и загрузите по ссылке Прислать запрошенный карантин вверху темы.[/quote]
жду ;)
20.01.2013, 17:16
jericho175

Не могу загрузить архив, веб-страница недоступна ... =\
20.01.2013, 18:01
regist

[quote="jericho175;961988"]веб-страница недоступна ... =\[/quote]
какая страница ? для загрузки карантина ? загрузите его сюда [url]http://rghost.ru/[/url] ссылку на скачивание мне в личку.

что с проблемой ?
20.01.2013, 21:51
jericho175

Сама проблема больше себя вроде никак не выявляет. А архив с .minecraft я загрузить не могу и на ргхост тоже ...
21.01.2013, 12:10
regist

закачайте его на любой файлообменник, не требующий ввода капчи (например: [url=http://rghost.ru/]RGhost[/url], [url=http://zalil.ru/]Zalil[/url], [url=http://dump.ru/]Dump.Ru[/url] или [url=http://webfile.ru/]WebFile[/url])
21.01.2013, 12:20
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]