Здравствуйте.Подцепил данный вирус. Во всех браузерах стартовой стала страница speed2, постоянно открываются посторонние сайты. Помогите пожайлуста.
Здравствуйте.Подцепил данный вирус. Во всех браузерах стартовой стала страница speed2, постоянно открываются посторонние сайты. Помогите пожайлуста.
Уважаемый(ая) [B]QuattroAe[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
QuarantineFile('C:\WINDOWS\Temp\kitre0.exe','');
QuarantineFile('C:\Documents and Settings\User\Мои документы\Новая папка3\Автозагрузка\64UxwjovYAk.exe','');
DeleteFile('C:\Documents and Settings\User\Мои документы\Новая папка3\Автозагрузка\64UxwjovYAk.exe');
DeleteFile('C:\WINDOWS\Temp\kitre0.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Пофиксите в HiJack
[CODE]R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk[/CODE]
Сделайте новые логи
Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]
Сделайте логи [url="http://virusinfo.info/showthread.php?t=115256"]RSIT[/url]
Все сделал по инструкции. вот новые логи
А логи МВАМ почему от старой версии?
всмысле программа старой версии?
Именно так
+ [url=http://virusinfo.info/showthread.php?t=121767]Сделайте полный образ автозапуска uVS[/url]
Вот полный образ автозапуска. а логи МВАМ по новой завтра сделаю
[url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS[/url]
[CODE];uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
delref HTTP://BROWSERHELP2.RU
delref HTTP://WEBALTA.RU
delref HTTP://WEBALTA.RU/POISK
restart[/CODE]
ждём лога MBAM, заодно отпишитесь что с проблемой.
вот лог MBAM. скрипт пока не сделал. как сделаю отпишусь. но проблема пока актуальна. плюс появилось какое то непонятное якобы обновление для виндовс, которое при закрытии даже через диспетчер все равно открывается
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
выполнил скрипт. из браузеров все исчезло, спасибо вам большое. но система все равно подтормаживает. загрузка рабочего стола происходит гораздо дольше чем обычно и программы загружет медленне...
[url=http://virusinfo.info/showthread.php?t=53070&p=493584&viewfull=1#post493584]Удалите в MBAM [/url] только
[CODE]Обнаруженные параметры в реестре: 1
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon|SysDebug32 (Trojan.Agent) -> Параметры: ЧT!яБx4<±Бдў+Г†д„a‰ѕлХI“ђnо7eьсAУ=Ћ?дёJє{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вrС•›НЂ1µX(E"НtV[@
Rї;V‡{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вrpћsнцэ%гхЊ(иџoд{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вrЦЉйЅ†М5~ -> Действие не было предпринято.
Обнаруженные папки: 1
C:\g4fweq23.Bi (Trojan.SpyEyes) -> Действие не было предпринято.
C:\g4fweq23.Bi\40842F38C4A.exe (Spyware.Zbot.VO) -> Действие не было предпринято.
C:\g4fweq23.Bi\E41A719E8ADA0BC (Trojan.SpyEyes) -> Действие не было предпринято.
[/CODE]
- Сделайте [url=http://virusinfo.info/showthread.php?t=115256]логи RSIT.[/url]
- Сделайте лог [url=http://virusinfo.info/showpost.php?p=457118&postcount=1]полного сканирования МВАМ.[/url]
по окончанию лечения обязательно смените пароли !
Зделал все вышесказанное. вот логи. лог RSITа вложить не получается. похоже я привысил лимит вложений по объему
Мой кабинет - управление вложениями - удалить лог uVS (он больше всего весит).
и прикрепите логи RSIT.
лог MBAM просканируйте заново и прикрепите.
вот лог RSIT.
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=57441]- Антивирус и Файрвол[/url]
[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -
[code]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\WINDOWS\system32\muzapp.exe','');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','D:\installer.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\windows\System32\muzapp.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\system32\svchost.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\Temp\_iu14D2O.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
[color=#FF0000]После выполнения скрипта компьютер перезагрузится.[/color]
[b]После перезагрузки:[/b]
повторите логи RSIT
Здравствуйте. сделал все по вышеуказанным инструкциям. вот новые логи
что с проблемой ?
[B]смените все пароли ![/B]
Вроде бы проблема решена. Спасибо Вам огромное за оказанную помощ
[url=http://virusinfo.info/showthread.php?t=121902]Советы и рекомендации после лечения компьютера[/url]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\user\\мои документы\\новая папка3\\автозагрузка\\64uxwjovyak.exe - [B]Trojan-Spy.Win32.Carberp.qwq[/B] ( BitDefender: Gen:Variant.Kazy.103962, AVAST4: Win32:MalOb-HX [Cryp] )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]