Работа вредоносного ПО

Printable View

09.09.2013, 11:23
anadoli_annli

Вложений: 3

Работа вредоносного ПО

Здравствуйте.

появились следующие симптомы:
1. долгая загрузка ПК при запуске. Все из автозагрузки убирала - не особо помогло.
2. появление баннеров на некоторых сайтах о том что я в числе пользователей которым положен приз.
также самрпроизвольное открытие сайта [url]http://www.vuupc.com/expirednotice/index.html[/url] через определенный интервал времени.
3. периодическое зависание браузеров при попытке ввести символ в адресную строку.
09.09.2013, 11:24
Info_bot

Уважаемый(ая) [B]anadoli_annli[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
09.09.2013, 13:22
Vvvyg

Скачайте [URL="http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner"]AdwCleaner (by Xplode)[/URL] и сохраните его на рабочем столе. Запустите его (в Windows Vista/7 необходимо запускать по правой кнопке мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в файле [B]C:\AdwCleaner[R1].txt[/B]. Прикрепите отчет к своему следующему сообщению.
09.09.2013, 16:16
anadoli_annli

Вложений: 1

Прилагаю
09.09.2013, 19:29
Vvvyg

[url="http://virusinfo.info/showthread.php?t=145214]"Удалите всё найденное в [B]AdwCleaner[/B][/URL], дождитесь окончания удаления и перезагрузите систему по требованию программы.

[URL="http://virusinfo.info/showthread.php?t=128635"]Очистите кэш и cookies-файлы браузеров[/URL].

[url=http://virusinfo.info/showthread.php?t=121767]Сделайте полный образ автозапуска uVS[/url].
09.09.2013, 22:35
anadoli_annli

прилагаю
09.09.2013, 22:57
Vvvyg

Прошу прощения, один этап вывалился из логики решения проблемы....:?
[url="http://virusinfo.info/showthread.php?t=145214]Удалите всё найденное в [B]AdwCleaner[/B][/URL], дождитесь окончания удаления и перезагрузите систему по требованию программы. Отчет об удалении откроется после перезагрузки, а также будет сохранен как [B]C:\AdwCleaner[S1].txt[/B]. Прикрепите его к своему следующему сообщению.

После этого сделайте, пожалуйста новый полный образ автозапуска uVS. Уже сделанный предварительно [url=http://virusinfo.info/showthread.php?t=130567]удалите из вложений[/url], по новому будем дочищать за AdwCleaner, если что останется.
09.09.2013, 23:51
anadoli_annli

Вложений: 2

[QUOTE=Vvvyg;1037248]Прошу прощения, один этап вывалился из логики решения проблемы....:?
[url="http://virusinfo.info/showthread.php?t=145214]Удалите всё найденное в [B]AdwCleaner[/B][/URL], дождитесь окончания удаления и перезагрузите систему по требованию программы. Отчет об удалении откроется после перезагрузки, а также будет сохранен как [B]C:\AdwCleaner[S1].txt[/B]. Прикрепите его к своему следующему сообщению.

После этого сделайте, пожалуйста новый полный образ автозапуска uVS. Уже сделанный предварительно [url=http://virusinfo.info/showthread.php?t=130567]удалите из вложений[/url], по новому будем дочищать за AdwCleaner, если что останется.[/QUOTE]

Сделано, согласно инструкциям. Посмотрите пожалуйста
09.09.2013, 23:52
anadoli_annli

Вложений: 2

Приложила. Вроде будет опубликовано после проверки модератором.
10.09.2013, 00:20
Vvvyg

[url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS:[/url][code];uVS v3.81.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

; C:\USERS\USER\APPDATA\ROAMING\METACRAWLER\UPDATEPROC\UPDATETASK.EXE
addsgn A7679B19919AF4A25195AE59F838ECFA4F8B945EC3BB1F10598984BC38C63A0D23AEAF0C7F5527D570C18427DA4D08FA958C8E8DAA3236F2D388A42F38F9DD8C 24 SScope.Trojan.Kriptik.8607 [VBA32]

zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\METACRAWLER\UPDATEPROC\UPDATETASK.EXE
; C:\USERS\USER\APPDATA\LOCAL\CONVERTAD\CONVERTAD.EXE
addsgn 1A4D1C9A5583C58CF42B95BC9C86450550880F3560D2737885483AE9DB3A201F759CF63B9C079D1ED4B5EC431116B62C82EA8CAE02DA3BF4A42A58D0118DD248 24 Adware.Downware.1396 [DrWeb]

zoo %SystemDrive%\USERS\USER\APPDATA\LOCAL\CONVERTAD\CONVERTAD.EXE
delref HTTP://SPEEDBAR.RU
delref %SystemDrive%\PROGRAM FILES (X86)\LYRMIX\132.DLL
regt 14
delref %SystemDrive%\PROGRAM FILES (X86)\LYRMIX\LYMXUD.EXE
delref (X86)\BONANZADEALS\BONANZADEALSUPDATE.EXE
delref /C ATTRIB -H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS &AMP;&AMP; COPY C:\USERS\USER\APPDATA\LOCAL\TEMP\15982177AQ C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS /Y &AMP;&AMP; ATTRIB +H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS
delref /C ATTRIB -H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS && COPY C:\USERS\USER\APPDATA\LOCAL\TEMP\15982177AQ C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS /Y && ATTRIB +H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS
delref %SystemDrive%\PROGRAM FILES (X86)\LYRMIX\LYMXUD.EXE
exec "C:\Users\User\AppData\Local\ConvertAd\uninstall.exe"
exec MsiExec.exe /quiet /X{26A24AE4-039D-4CA4-87B4-2F86416022FF}
exec MsiExec.exe /quiet /X{26A24AE4-039D-4CA4-87B4-2F83216022FF}
exec C:\Program Files (x86)\WebConnect\WebConnectuninstall.exe
uidel C:\Program Files (x86)\Lyrmix\Uninstall.exe
uidel C:\Program Files (x86)\WebConnect\WebConnectuninstall.exe
exec "C:\Program Files (x86)\BonanzaDeals\uninst.exe" /uninstall
exec "C:\Program Files (x86)\metaCrawler\1.8.19.0\uninstall.exe"
deltmp
restart[/code]На вопросы об удалении программ рекомендую соглашаться.
Компьютер перезагрузится.

[NOTICE]Данный скрипт удалит все устаревшие версии Java, т. к. в них имеются критические ошибки, позволяющие выполнить вредоносный код в целевой системе. Проще говоря - при заходе на сайт с вредоносным кодом внедрить в систему без ведома пользователя трояна.
Скачайте и установите [URL="http://www.java.com/ru/download/manual.jsp"]Java 7 Update 25[/URL]. Уязвимости Java являются частой причиной взлома и заражения системы и поэтому это потенциальная дыра в безопасности[/NOTICE]

Упакуйте содержимое папки ZOO с помощью WinRar, 7-Zip или WinZip в архив формата [B].ZIP[/B] с паролем [B]virus[/B] и отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Сделайте лог [url=http://virusinfo.info/showpost.php?p=457118&postcount=1]полного сканирования МВАМ.[/url]
10.09.2013, 08:30
anadoli_annli

Файл сохранён как 130910_042935_ZOO_522ea02f36f63.zip
Размер файла 949508
MD5 2afbf47e22e10849ea6b72f2cf6b1e87
10.09.2013, 08:39
Vvvyg

Лог MBAM жду.
10.09.2013, 12:03
миднайт

[B]Повторите стандартные логи AVZ и HiJackThis.[/B]
10.09.2013, 12:13
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]