[COLOR=#333333]Здравствуйте. Несколько дней всплывает окошко с блокировкой по адресу: [/COLOR]
[COLOR=#333333]IP 188.165.146.90 и [/COLOR][COLOR=#333333]wsslupdate.org IP 188.165.146.86
[/COLOR]
[COLOR=#333333]Здравствуйте. Несколько дней всплывает окошко с блокировкой по адресу: [/COLOR]
[COLOR=#333333]IP 188.165.146.90 и [/COLOR][COLOR=#333333]wsslupdate.org IP 188.165.146.86
[/COLOR]
Уважаемый(ая) [B]Oronchik[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
SetServiceStart('BDMWrench_x64', 4);
DeleteService('BDMWrench_x64');
DeleteService('BDKVRTP');
QuarantineFile('C:\Users\Александр\AppData\Local\Microsoft\Windows\toolbar.exe','');
QuarantineFile('C:\Users\Александр\AppData\Roaming\JBYUOXF.exe','');
QuarantineFile('C:\Users\Александр\AppData\Roaming\IAHPKQU.exe','');
QuarantineFile('C:\Program Files (x86)\HDQ-1.2cV05.12\9a644297-092a-4e6a-842a-cd4ac7dfe985-5.exe','');
QuarantineFile('C:\Program Files (x86)\HDQ-1.2cV05.12\9a644297-092a-4e6a-842a-cd4ac7dfe985-4.exe','');
QuarantineFile('C:\Program Files (x86)\HDQ-1.2cV05.12\9a644297-092a-4e6a-842a-cd4ac7dfe985-3.exe','');
QuarantineFile('C:\Program Files (x86)\HDQ-1.2cV05.12\9a644297-092a-4e6a-842a-cd4ac7dfe985-2.exe','');
QuarantineFile('C:\Program Files (x86)\HDQ-1.2cV05.12\9a644297-092a-4e6a-842a-cd4ac7dfe985-11.exe','');
QuarantineFile('C:\Program Files (x86)\HDQ-1.2cV05.12\HDQ-1.2cV05.12-codedownloader.exe','');
QuarantineFile('C:\Program Files (x86)\HDQ-1.2cV05.12\81056097-9e19-416b-8e0f-f9f559abee26.exe','');
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
DelBHO('{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2}');
QuarantineFile('C:\Users\Александр\AppData\Local\Microsoft\Internet Explorer\Extensions\APIHelper.dll','');
QuarantineFile('C:\Users\Александр\AppData\Roaming\Browsers\exe.emorhc.bat','');
DeleteFile('C:\Users\Александр\AppData\Local\Amigo\Application\amigo.exe','32');
DeleteFile('C:\Users\Александр\AppData\Local\Amigo\Application\ok.exe','32');
DeleteFile('C:\Users\Александр\AppData\Local\Amigo\Application\vk.exe','32');
DeleteFile('C:\Users\Александр\AppData\Roaming\Browsers\exe.emorhc.bat','32');
DeleteFile('C:\Users\Александр\AppData\Local\Microsoft\Internet Explorer\Extensions\APIHelper.dll','32');
DeleteFile('C:\Program Files (x86)\HDQ-1.2cV05.12\81056097-9e19-416b-8e0f-f9f559abee26.exe','32');
DeleteFile('C:\Program Files (x86)\HDQ-1.2cV05.12\HDQ-1.2cV05.12-codedownloader.exe','32');
DeleteFile('C:\Program Files (x86)\HDQ-1.2cV05.12\9a644297-092a-4e6a-842a-cd4ac7dfe985-11.exe','32');
DeleteFile('C:\Program Files (x86)\HDQ-1.2cV05.12\9a644297-092a-4e6a-842a-cd4ac7dfe985-2.exe','32');
DeleteFile('C:\Program Files (x86)\HDQ-1.2cV05.12\9a644297-092a-4e6a-842a-cd4ac7dfe985-3.exe','32');
DeleteFile('C:\Program Files (x86)\HDQ-1.2cV05.12\9a644297-092a-4e6a-842a-cd4ac7dfe985-4.exe','32');
DeleteFile('C:\Program Files (x86)\HDQ-1.2cV05.12\9a644297-092a-4e6a-842a-cd4ac7dfe985-5.exe','32');
DeleteFile('C:\Users\Александр\AppData\Roaming\IAHPKQU.exe','32');
DeleteFile('C:\Users\Александр\AppData\Roaming\JBYUOXF.exe','32');
DeleteFile('C:\Users\Александр\AppData\Local\Microsoft\Windows\toolbar.exe','32');
DeleteFile('C:\Windows\system32\DRIVERS\BDMWrench_x64.sys','32');
DeleteFile('C:\Program Files (x86)\BaiduSd3.0\BaiduSd\3.0.0.4605\baidusdSvc.exe','32');
DeleteFile('C:\Windows\system32\DRIVERS\bd0001.sys','32');
DeleteFile('C:\Windows\system32\DRIVERS\bd0002.sys','32');
DeleteFile('C:\Windows\system32\DRIVERS\bd0004.sys','32');
DeleteFile('C:\Windows\system32\DRIVERS\BDAntiExp.sys','32');
DeleteFile('C:\Windows\system32\drivers\BDEnhanceBoost.sys','32');
DeleteFile('C:\Windows\Tasks\81056097-9e19-416b-8e0f-f9f559abee26.job','64');
DeleteFile('C:\Windows\Tasks\9a644297-092a-4e6a-842a-cd4ac7dfe985-1.job','64');
DeleteFile('C:\Windows\Tasks\9a644297-092a-4e6a-842a-cd4ac7dfe985-11.job','64');
DeleteFile('C:\Windows\Tasks\9a644297-092a-4e6a-842a-cd4ac7dfe985-2.job','64');
DeleteFile('C:\Windows\Tasks\9a644297-092a-4e6a-842a-cd4ac7dfe985-3.job','64');
DeleteFile('C:\Windows\Tasks\9a644297-092a-4e6a-842a-cd4ac7dfe985-4.job','64');
DeleteFile('C:\Windows\Tasks\9a644297-092a-4e6a-842a-cd4ac7dfe985-5.job','64');
DeleteFile('C:\Windows\Tasks\9a644297-092a-4e6a-842a-cd4ac7dfe985-5_user.job','64');
DeleteFile('C:\Windows\Tasks\IAHPKQU.job','64');
DeleteFile('C:\Windows\Tasks\JBYUOXF.job','64');
DeleteFile('C:\Windows\system32\Tasks\81056097-9e19-416b-8e0f-f9f559abee26','64');
DeleteFile('C:\Windows\system32\Tasks\9a644297-092a-4e6a-842a-cd4ac7dfe985-1','64');
DeleteFile('C:\Windows\system32\Tasks\9a644297-092a-4e6a-842a-cd4ac7dfe985-11','64');
DeleteFile('C:\Windows\system32\Tasks\9a644297-092a-4e6a-842a-cd4ac7dfe985-2','64');
DeleteFile('C:\Windows\system32\Tasks\9a644297-092a-4e6a-842a-cd4ac7dfe985-3','64');
DeleteFile('C:\Windows\system32\Tasks\9a644297-092a-4e6a-842a-cd4ac7dfe985-4','64');
DeleteFile('C:\Windows\system32\Tasks\9a644297-092a-4e6a-842a-cd4ac7dfe985-5','64');
DeleteFile('C:\Windows\system32\Tasks\SystemScript','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи
Сделайте лог [url="http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657"]полного сканирования МВАМ[/url]
Сделайте логи [url="http://virusinfo.info/showthread.php?t=115256"]RSIT[/url]
Сделал.
Поместите в карантин МВАМ всё найденное
Сделайте новый логи RSIT
Вот.
[QUOTE]C:\Users\Александр\AppData\Roaming\Browsers
C:\Users\Александр\AppData\Roaming\ICL
C:\Users\Александр\AppData\Local\Amigo
C:\Windows\system32\drivers\BDMWrench_x64.sys[/QUOTE]удалите вручную
Всё сделал.
Рядом с этим C:\Windows\system32\drivers\BDMWrench_x64.sys ещё один был подобный, от китайской "байды".
Амиго не оказалось.
Нод молчит!
Удалите МВАМ
Проблема решена?
МВАМ удалил.
Похоже, что решена, сообщений о блокировке нет.
Что бы я без Вас делал, БлагоДарю!
Сайт в закладки...
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]
Вчера лечились [url]http://virusinfo.info/showthread.php?t=173536&p=1204874#post1204874[/url]
Сегодня рецидив...
[size="1"][color="#666686"][B][I]Добавлено через 11 минут[/I][/B][/color][/size]
У меня есть музыкальная программа Adobe Audition 3.0 Так вот, вчера во время проверки, MBAT определил файл Crack.exe, как Троян. Я его не удалял. Может это он? Но без него прога работать не будет.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Сообщение переместили, а мне там вроде бы хэлпер ответил, не успел прочитать...
Список установленных расширений для браузеров напишите
В Опере расширения не установлены.
В Хроме: Google Презентации, Google Таблицы, Визуальные Закладки Mail.Ru, Документы Google, Домашняя страница Mail.Ru, Поиск Mail.Ru, это штатные. И я установил Tampermonkey, не помню точно, но по моему Нод на неё ругался.
Вот открыл Хром и через пять минут Нод заблокировал новый адрес: d3dupdate.com IP: 188.168.146.90
Есть подозрение на фолсы NOD
d3dupdate.com запакуйте с паролем virus и пришлите по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Отправил.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Отправил ещё один, т.к. не уверен, что сделал правильно.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Удалил Хром, уже больше часа никаких сообщений от Нода.
Прислали файлы нулевого размера в архиве
[QUOTE=thyrex;1205223]Прислали файлы нулевого размера в архиве[/QUOTE]
Я сделал текстовый файл с адресом и запаковал его в архив, запаролил.
Подскажите, что значит запаковать d3dupdate.com?
Ладно, проехали
Вчера после удаления Хрома всё было нормально. Сегодня решил Нодом просканировать. И вот во время сканирования Нод снова d3dupdate.com заблокировал.