Здравствуйте! У меня , как я уже понял, популярная проблема. Баннер в левом верхнем углу, переправляет на mindmouse.ru. Помогите пожалуйста победить. Спасибо!
Printable View
Здравствуйте! У меня , как я уже понял, популярная проблема. Баннер в левом верхнем углу, переправляет на mindmouse.ru. Помогите пожалуйста победить. Спасибо!
Уважаемый(ая) [B]vakulasan[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Нам нужны логи по правилам:
[url]http://virusinfo.info/pravila.html[/url]
[QUOTE=Nikkollo;979133]Нам нужны логи по правилам:
[URL]http://virusinfo.info/pravila.html[/URL][/QUOTE]
извините, был невнимателен. Отсылаю логи
Выполните скрипт в AVZ [URL="http://virusinfo.info/showthread.php?t=7239"](как выполнить)[/URL]:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
TerminateProcessByName('c:\windows\system32\msuhtdzj.exe');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\services.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Yryq\yroli.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Evizc\ordy.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\51nx88dz.exe','');
QuarantineFile('c:\windows\system32\msuhtdzj.exe','');
DeleteFile('c:\windows\system32\msuhtdzj.exe');
BC_DeleteSvc('Network Adapter Events');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\51nx88dz.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','xedb7');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\Evizc\ordy.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','{0275D6BA-DE07-DF4B-DD22-B68430BE012D}');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\Yryq\yroli.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','{820958C5-B6ED-4DA0-9D33-CA1C1F7BFC92}');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\services.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Taskhost');
BC_ImportDeletedList;
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(21);
ExecuteWizard('TSW',2,2,true);
ExecuteWizard('SCU',2,2,true);
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
После перезагрузки выполните скрипт в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
[/CODE]
Загрузите quarantine.zip из папки AVZ по красной ссылке в шапке этой темы "Прислать запрошенный карантин".
Выполните скрипт в AVZ отсюда (скопируйте там весь текст):
[url]http://dataforce.ru/~kad/ScanVuln.txt[/url]
Если будут найдены уязвимости, в папке AVZ\LOG появится файл avz_log.txt. Приложите его в теме.
Затем откройте его в блокноте, пройдите по всем ссылкам и установите указанные там обновления.
Перезагрузите компьютер, выполните еще раз этот скрипт и убедитесь, что обновления установились.
Сделайте заново лог virusinfo_syscheck.zip и лог HijackThis (пункты 2 и 3 раздела "Диагностика" [URL="http://virusinfo.info/pravila.html"]правил[/URL]) и приложите в теме.
Все выполнил. Баннер пропал, огромное Вам спасибо! Прилагаю логи.
Выполните скрипт в AVZ [URL="http://virusinfo.info/showthread.php?t=7239"](как выполнить)[/URL]:
[CODE]
var j:integer; NumStr:string;
begin
for j:=0 to 999 do
begin
if j=0 then
NumStr:='CurrentControlSet' else
if j<10 then
NumStr:='ControlSet00'+IntToStr(j) else
if j<100 then
NumStr:='ControlSet0'+IntToStr(j) else
NumStr:='ControlSet'+IntToStr(j);
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.');
end;
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.');
end;
end;
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','Tweak Tool');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','Tweak Tool');
SaveLog(GetAVZDirectory + 'fystemRoot.log');
end.
[/CODE]
Сделайте заново лог virusinfo_syscheck.zip и лог HijackThis (пункты 2 и 3 раздела "Диагностика" [URL="http://virusinfo.info/pravila.html"]правил[/URL]) и приложите в теме.
Запрошеные логи
Угу. Если больше проблем нет, то можно на этом закончить.
Вроде как все работает. Огромнейшее Вам спасибо!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]11[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\msuhtdzj.exe - [B]Trojan.Win32.Antavmu.ule[/B] ( BitDefender: Gen:Variant.Symmi.6797 )[/LIST][/LIST]