Здравствуйте! Вчера появился баннер с рекламой во всех браузерах. Файл [B]virusinfo_syscure.zip, [/B]как я понял, на 64 битной системе прикреплять сюда не надо, поэтому вот два файла. Заранее спасибо за помощь!
Printable View
Здравствуйте! Вчера появился баннер с рекламой во всех браузерах. Файл [B]virusinfo_syscure.zip, [/B]как я понял, на 64 битной системе прикреплять сюда не надо, поэтому вот два файла. Заранее спасибо за помощь!
Уважаемый(ая) [B]OneginArtem[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол ([URL]http://virusinfo.info/showthread.php?t=130828[/URL])
1) [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL] в АВЗ:
[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
QuarantineFile('C:\Users\user\appdata\roaming\flash\cgminer.exe','');
QuarantineFile('C:\Users\user\AppData\Local\Temp\3162514aq','');
QuarantineFile('C:\Users\user\AppData\Local\Temp\3156399aq','');
QuarantineFile('c:\users\user\appdata\local\temp\209587.exe','');
DeleteFile('c:\users\user\appdata\local\temp\209587.exe','32');
DeleteFile('C:\Users\user\AppData\Local\Temp\3156399aq','32');
DeleteFile('C:\Windows\system32\Tasks\At1.job','64');
DeleteFile('C:\Windows\system32\Tasks\At2.job','64');
DeleteFile('C:\Users\user\AppData\Local\Temp\3162514aq','32');
DeleteFile('C:\Users\user\appdata\roaming\flash\cgminer.exe','32');
if MessageDlg('Рекомендуется отключить автозапуск со всех съемных носителей,нажмите "ОК" что бы отключить и "НЕТ" что бы отказаться ?', mtInformation, mbYes+mbNo, 0) = 6 then
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun','221');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
ExecuteRepair(13);
ExecuteRepair(16);
RebootWindows(true);
end.
[/CODE]
[B]Внимание![/B] Будет выполнена перезагрузка компьютера. После перезагрузки компьютера [URL="http://virusinfo.info/showthread.php?t=7239"]выполните скрипт[/URL] в АВЗ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]
Пришлите карантин согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы
2) [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] следующие строчки в HiJackThis если они у вас есть.
[CODE]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://gomailru5.ru
F2 - REG:system.ini: Shell=c:\users\user\appdata\local\temp\209587.exe
F2 - REG:system.ini: UserInit=c:\users\user\appdata\local\temp\209587.exe
O1 - Hosts: 37.10.117.86 vk.com m.vk.com wap.odnoklassniki.ru www.odnoklassniki.ru m.odnoklassniki.ru odnoklassniki.ru my.mail.ru
O17 - HKLM\System\CCS\Services\Tcpip\..\{008F2068-8E29-4332-8D22-540FFE4E9A77}: NameServer = 5.104.108.202
O17 - HKLM\System\CCS\Services\Tcpip\..\{2FCBA128-35A4-416A-A8D4-8C1B8C35AD4C}: NameServer = 5.104.108.202
O17 - HKLM\System\CCS\Services\Tcpip\..\{412F3942-F8EB-45EB-BDE8-CACB29D017F1}: NameServer = 5.104.108.202
O17 - HKLM\System\CCS\Services\Tcpip\..\{846ee342-7039-11de-9d20-806e6f6e6963}: NameServer = 5.104.108.202
O17 - HKLM\System\CCS\Services\Tcpip\..\{F1B394A2-C45D-4D32-AD7B-0537901AC581}: NameServer = 5.104.108.202
[/CODE]
Перезагрузите компьютер, снова запустите HijackThis и убедитесь, что этих строк там больше нет.
Если после фикса пропадет Интернет, впишите в настройки DNS адреса, выданные Вам провайдером (см. договор или звоните в их техподдержку).
Очистите куки и кэш браузеров ([url]http://virusinfo.info/showthread.php?t=128635[/url])
3) EgisTec MyWinLockerSuite - сами устанавливали?
4) Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])
5) Сделайте лог полного сканирования MBAM ([URL]http://virusinfo.info/showthread.php?t=53070[/URL])
Проблема решена)