Рассадник вирусов

**JaneYa** · 26.03.2014, 22:03

Прошелся веберовским карайти, отстреляло несколько десятков, по логам avz куча всякого в планировщике задач и не удаляется хвостик от Movies Toolbar

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 26.03.2014, 22:05

Уважаемый(ая) JaneYa, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 26.03.2014, 22:55

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\PROGRA~1\MOVIES~1\Datamngr\mgrldr.dll','');
 QuarantineFile('C:\Program Files\Movies Toolbar\Datamngr\apcrtldr.dll','');
 DeleteFile('C:\Program Files\Movies Toolbar\Datamngr\apcrtldr.dll','32');
 DeleteFile('C:\PROGRA~1\MOVIES~1\Datamngr\mgrldr.dll','32');
 DeleteFile('C:\Users\User\Documents\MSDCSC\msdcsc.exe','32');
 DeleteFile('c:\program files\movies toolbar\datamngr\x64\apcrtldr.dll','32');
 DeleteFile('C:\Windows\Tasks\PC Performer_DEFAULT.job','32');
 DeleteFile('C:\Windows\Tasks\PC Performer_UPDATES.job','32');
 DeleteFile('C:\Windows\system32\Tasks\PC Performer_DEFAULT','32');
 DeleteFile('C:\Windows\system32\Tasks\PC Performer_UPDATES','32');
 DeleteFile('C:\ProgramData\7a339gpD\7a339gpD.exe','32');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(3);
ExecuteWizard('SCU',2,2,true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Выполните в AVZ скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Обновите базы AVZ ("Файл" -> "Обновление баз"), выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.

Сделайте лог HijackThis.

Сделайте лог AdwCleaner (by Xplode).

**JaneYa** · 27.03.2014, 10:33

Сделал.

**Vvvyg** · 27.03.2014, 11:01

Запустите повторно AdwCleaner (by Xplode) (в Windows Vista/7/8 необходимо запускать через правую кнопку мыши от имени администратора)), нажмите кнопку Scan, по окончании сканирования уберите следующие галочки, если используете программы и сервисы Yandex и Mail.Ru:

на вкладке Folders

Код:

C:\Program Files\Yandex
C:\Users\User\AppData\Local\Mail.Ru
C:\Users\User\AppData\Local\Yandex
C:\Users\User\AppData\LocalLow\Yandex
C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mail.Ru
C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex
C:\Users\User\AppData\Roaming\Yandex

Затем нажмите "Clean", по окончании удаления программа перезагрузит систему.
Очистите кэш и cookies-файлы браузеров и проверьте проблему.

**JaneYa** · 27.03.2014, 12:19

Удалилься мовиз тулбар.
Я установил аваст. И он теперь постоянно блокирует следующую страницу
http://64.125.87.101/__utm.gif?utmn

**Vvvyg** · 27.03.2014, 12:41

Сделайте лог MiniToolBox при подключённом интернете.

**JaneYa** · 27.03.2014, 12:55

Сделал.

**Vvvyg** · 27.03.2014, 13:19

Сделайте аппаратный сброс настроек роутера кнопкой reset, настройте заново, смените пароль на веб-интерфейс роутера на сложный.
Очистите кеш и куки брoузеров и кэш DNS.

Проверяйте проблему.

**JaneYa** · 27.03.2014, 14:04

А причем тут роутер?
у меня, кроме ноута, компьютер ещё подключен к тому же роутеру и на нем проблемы нет.

**Vvvyg** · 27.03.2014, 14:09

Если 94.242.222.66 - DNS-сервер Вашего провайдера, и он действительно находится в Люксембурге, то, определённо, не при чём

На компьютере могут быть просто прописаны DNS-сервера явно, вот и не влияет.

**JaneYa** · 27.03.2014, 14:29

Да, на ноутбуке был жестко прописан именно этот 94.242.222.66 - DNS-сервер провайдера, я его убрал, перезагрузил, проблема ушла. Перезагрузил ещё раз, - опять появилась.
И аваст ругается только при запуске IE, при запуске оперы молчит

**Vvvyg** · 27.03.2014, 14:47

Т. е. 94.242.222.66 - это точно DNS-сервер Вашего провайдера?

Сделайте лог "Угроза о сканирования" МВАМ..

**JaneYa** · 27.03.2014, 16:10

Нет, 94.242.222.66 - это DNS-сервер не моего провайдера. Но в настройках подключения он был жестко прописан. Я убрал его и установил - автоматически подхватывать DNS-сервера.

**Vvvyg** · 27.03.2014, 16:31

Очистите кеш и куки брoузеров и кэш DNS и сообщите, что с проблемой.

**JaneYa** · 27.03.2014, 17:18

Сделал лог МВАМ.
Попробовал на другом роутере, в другой точке доступа интернета и у другого провайдера.
Проблема не показывается.

**Vvvyg** · 27.03.2014, 21:17

А я что про роутер писал? Сбрасывайте, меняйте пароль, перенастраивайте. Прошивку обновите на последнюю.

Удалите в MBAM всё, кроме:

Код:

Hijack.SecurityCenter, HKU\S-1-5-21-1009706655-1814117369-1461153365-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\CONTROL PANEL\DON'T LOAD|wscui.cpl, No, , [46f801073744fc3aa029a32cf90959a7]
Hijack.SecurityCenter, HKU\S-1-5-21-1009706655-1814117369-1461153365-501-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\CONTROL PANEL\DON'T LOAD|wscui.cpl, No, , [a896b256bfbc34024e7bae215ea4a759]
PUM.Disabled.SecurityCenter, HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER|AntiVirusDisableNotify, 1, Good: (0), Bad: (1),,[7ac420e856252511d797669cbd4734cc]
PUM.Disabled.SecurityCenter, HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER|FirewallDisableNotify, 1, Good: (0), Bad: (1),,[54ea15f3c9b20a2c640bc93971937f81]
PUM.Disabled.SecurityCenter, HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER|UpdatesDisableNotify, 1, Good: (0), Bad: (1),,[59e5bc4c7308e55148283ac84db7bd43]