Вирус &am p;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;q uot; мой@

[Qaqtus Maklay]

Ну во общем то тот же антиштраф и т.п. незаходит в соц сети и реклама после клика на любом сайте=)
hijackthis.log
virusinfo_syscheck.zip
virusinfo_syscure.zip

[Info_bot]

Уважаемый(ая) Qaqtus Maklay, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[regist]

Профиксите в HijackThis

Код:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://lasupporte.com/SCtk23j/lagon.pac
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 46.4.7.198:3128
O1 - Hosts: 37.10.117.75 mc.yandex.ru admulti.com counter.rambler.ru www.google-analytics.com counter.spylog.com
O1 - Hosts: 37.10.117.74 wap.odnoklassniki.ru vk.com www.odnoklassniki.ru m.vk.com odnoklassniki.ru my.mail.ru 
O2 - BHO: (no name) - {C93F72A2-2162-4BBA-A07A-F13663C297A6} - (no file)
O3 - Toolbar: (no name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - (no file)
O3 - Toolbar: (no name) - {855F3B16-6D32-4FE6-8A56-BBB695989046} - (no file)
O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
O17 - HKLM\System\CCS\Services\Tcpip\..\{0F40410B-4E2F-445F-B433-4E2C5F17CF06}: NameServer = 127.0.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{56DF43B2-3667-40B7-BBFD-140523FED6CD}: NameServer = 127.0.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{966FE049-43AF-4E5C-ABA7-804EB3F731B4}: NameServer = 127.0.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{C48A6562-31D7-4BF0-97C0-5A9658231E09}: NameServer = 127.0.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{FDAA498D-3C9D-4518-BFBA-1544A970FBE9}: NameServer = 127.0.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{0F40410B-4E2F-445F-B433-4E2C5F17CF06}: NameServer = 127.0.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{0F40410B-4E2F-445F-B433-4E2C5F17CF06}: NameServer = 127.0.0.1
O20 - Winlogon Notify: kdcfrea - Invalid registry found

ZAO "Delovaja set" Internet provider, 902,17 Curupa str.,Ufa Russia - это ваш провайдер ?

посмотрите список установленных программ, тулбары которыми не пользуетесь удалите.

- Сделайте логи RSIT.

- Сделайте лог полного сканирования МВАМ.

[Qaqtus Maklay]

info.txt
log.txt
RSIT
Провайдер вроде мой так как Уфа=) в Уфе мало провайдеров во основном уфанет, баштралаласвязь и домру=)

- - - Добавлено - - -

спасибо всё норм=)

- - - Добавлено - - -

Неа нерабит! опять та же хрень=(

- - - Добавлено - - -

Не помогло, сночало помогло потом опять тоже самое!

- - - Добавлено - - -

Да блиииииииииин о5 заработало норм=)

[regist]

где лог MBAM ?

Код:

C:\Windows\tasks\At1.job

откройте блокнотом и покажиет содержимое.

Код:

D:\Games\proxy\pcapui.exe

- такую программу вы устанавливали ?

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('D:\Games\proxy\pcapui.exe','');
 QuarantineFile('C:\Users\Zuzu\AppData\Roaming\131.exe','');
 DeleteFileMask('C:\DOCUME~1\Nastena\LOCALS~1\Temp\','*',true ,' ');
 DeleteFile('C:\Users\Zuzu\AppData\Roaming\131.exe');
  QuarantineFileF('C:\ProgramData\hotfPE7Xe3k','*', true,'',0 ,0);
 DeleteFileMask('C:\ProgramData\hotfPE7Xe3k', '*', true);
 DeleteDirectory('C:\ProgramData\hotfPE7Xe3k',' ');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\Users\Zuzu\AppData\Roaming\131.exe');
 BC_ImportALL;
 ExecuteSysClean;
 ExecuteRepair(2);
 ExecuteRepair(3);
 ExecuteRepair(4);
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Сделайте повторные логи RSIT + MBAM

[Qaqtus Maklay]

Содержимое того файла ("* Э*.JHB°\YAў|и6F  <
s   *!Ь   * †  c m d . e x e « " / c a t t r i b - H C : \ W i n d o w s \ s y s t e m 3 2 \ d r i v e r s \ e t c \ h o s t s & & c o p y C : \ T E M P \ 7 7 4 0 2 5 4 a q C : \ W i n d o w s \ s y s t e m 3 2 \ d r i v e r s \ e t c \ h o s t s / Y & & a t t r i b + H C : \ W i n d o w s \ s y s t e m 3 2 \ d r i v e r s \ e t c \ h o s t s "  A8AB5<0  !>AB02;5=> N e t S c h e d u l e J o b A d d . 
0 Ь   * 
 с"_]

aЂЉ;@"zMaќ‡бћ$ЗJ2яFЗ�јlXw+Вћ«¶QЬН¤€·н&/~‰„Џгzdш»‹Їq"©ѕр-"‡F)
РСИТ
info.txt
log.txt
МБАМ я немного непонял как делать=)

- - - Добавлено - - -

Кстати не помогло!

[thyrex]

Выполните скрипт в AVZ (программу запускать от имени Администратора по правой кнопке мыши)

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then	
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;	
 DeleteFile('C:\Windows\tasks\At1.job');
ExecuteSysClean;
ExecuteRepair(13); 
RebootWindows(true);
end.

Компьютер перезагрузится.

Очистите куки и кэш браузеров

Сделайте новые логи

[regist]

МБАМ я немного непонял как делать=)

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если лог не открылся, то найти его можно в следующей папке:

Код:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

[Qaqtus Maklay]

Спасибо всё работает=)

[regist]

Сделайте новые логи

и прикрепите его к следующему посту.

где логи ?

+ Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 2
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\programdata\\hotfpe7xe3k\\klpclst.dat - Trojan.Script.Carberp.a ( DrWEB: Trojan.Carberp.30, BitDefender: Trojan.Downloader.Carberp.BR, AVAST4: Other:Malware-gen [Trj] )
  2. c:\\users\\zuzu\\appdata\\roaming\\131.exe - Trojan.Win32.TDSS.ismk ( DrWEB: Trojan.DownLoader6.34751, BitDefender: Gen:Variant.Symmi.244, AVAST4: Win32:Downloader-QZN [Trj] )