при открытия окна Сбербанк он лайн в броузере, просит ввести, пины, пароли от карты и телефон владельца!
Помогите победить!
Printable View
при открытия окна Сбербанк он лайн в броузере, просит ввести, пины, пароли от карты и телефон владельца!
Помогите победить!
Уважаемый(ая) [B]Koksohim[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
[CODE]begin
QuarantineFile('C:\Users\user\LOCALS~1\Temp\cccivkcwu.exe','');
QuarantineFile('C:\Windows\system32\drivers\wwktaxjz.sys','');
DeleteService('wwktaxjz');
QuarantineFile('C:\Windows\system32\drivers\tjgubjpz.sys','');
DeleteService('tjgubjpz');
QuarantineFile('C:\Windows\system32\drivers\rawmeqcj.sys','');
DeleteService('rawmeqcj');
QuarantineFile('C:\Windows\system32\drivers\lnyxgsqw.sys','');
DeleteService('lnyxgsqw');
QuarantineFile('C:\Windows\system32\drivers\gljzkdha.sys','');
DeleteService('gljzkdha');
QuarantineFile('C:\Windows\system32\drivers\ffzkuahe.sys','');
DeleteService('ffzkuahe');
DeleteFile('C:\Windows\system32\drivers\ffzkuahe.sys','32');
DeleteFile('C:\Windows\system32\drivers\gljzkdha.sys','32');
DeleteFile('C:\Windows\system32\drivers\lnyxgsqw.sys','32');
DeleteFile('C:\Windows\system32\drivers\rawmeqcj.sys','32');
DeleteFile('C:\Windows\system32\drivers\tjgubjpz.sys','32');
DeleteFile('C:\Windows\system32\drivers\wwktaxjz.sys','32');
DeleteFile('C:\Users\user\LOCALS~1\Temp\cccivkcwu.exe','32');
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!
3. Выполните скрипт в AVZ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Загрузите файл quarantine.zip, используя ссылку [url]http://virusinfo.info/upload_virus.php?tid=164253[/url]
4. [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в HijackThis:[/URL]
[QUOTE]R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [url]http://webalta.ru/search[/url]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = [url]http://webalta.ru/search[/url]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = [url]http://webalta.ru/search[/url]
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = [url]http://webalta.ru/search[/url]
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = [url]http://erinope.com/recfor/today2.ruy[/url]
F3 - REG:win.ini: load=C:\Users\user\LOCALS~1\Temp\cccivkcwu.exe[/QUOTE]
5. Сделайте повторные логи (только п.2 и 3 раздела Диагностика).
Вроде все сделал, только во время отправки карантина, появляется надпись "ошибка...этот файл уже отправлен..."
Фикс нужно делать от имени Администратора по правой кнопке мыши. Переделайте...
[QUOTE]F3 - REG:win.ini: load=C:\Users\user\LOCALS~1\Temp\cccivkcwu.exe[/QUOTE]
Проблема решена?
[QUOTE=Aleksandra;1144674]Фикс нужно делать от имени Администратора по правой кнопке мыши. Переделайте...[/QUOTE]
переделал от админа, но при повторном скане - эту строчка снова появляется....
[QUOTE=Aleksandra;1144674]Проблема решена?[/QUOTE]
да! Огромное спасибо!
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
[CODE]begin
DeleteFile('C:\Users\user\LOCALS~1\Temp\cccivkcwu.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows NT\CurrentVersion\Windows','Load');
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!
3. [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в HijackThis:[/URL]
[QUOTE]F3 - REG:win.ini: load=C:\Users\user\LOCALS~1\Temp\cccivkcwu.exe[/QUOTE]
4. Сделайте повторный лог HijackThis.
[QUOTE=Aleksandra;1144688]1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
[CODE]begin
DeleteFile('C:\Users\user\LOCALS~1\Temp\cccivkcwu.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows NT\CurrentVersion\Windows','Load');
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!
3. [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в HijackThis:[/URL]
4. Сделайте повторный лог HijackThis.[/QUOTE]
Строчка [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в HijackThis:[/URL]
так и остается в HijackThis логе ! Не фиксица
Антивирусов вообще нет, все поудалял, восстановление системы отключено....
[QUOTE=Koksohim;1144969]Строчка так и остается в HijackThis логе ! Не фиксица[/QUOTE]
И все же от нее нужно избавиться.
1. Выполните скрипт в AVZ:
[CODE]begin
DeleteFile('C:\Users\user\LOCALS~1\Temp\cccivkcwu.exe','32');
RegKeyResetSecurity('HKEY_CURRENT_USER','Software\Microsoft\Windows NT\CurrentVersion\Windows');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows NT\CurrentVersion\Windows','Load');
INIEraseParam('C:\WINDOWS\win.ini','windows','load');
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!
2. Сделайте повторный лог HijackThis.
[QUOTE=Aleksandra;1144990]
2. Сделайте повторный лог HijackThis.[/QUOTE]
Все! Удалилась! Огромное Вам спасибо, чтобы мы без Вас делали))))