http://1kanal.org/?src=hp1 и audio32hd.exe СПАСИТЕ ОТ НИХ ПЛЗЗЗЗ [Backdoor.Win32.Sdbot.adaw, Trojan-Clicker.BAT.Agent.an ]

[Shopoholik]

Здравствуйте!
При загрузке мозиллы выскакивает блок от Dr. Web на сайт удалено не знаю, что с ним поделать...
а при загрузке компьютера выскакивает окошко с разрешением на загрузку audio32hd.exe знаю, что эта гадость имеет много разновидностей...скажите, пожалуйста, как избавиться?

[Info_bot]

Уважаемый(ая) Shopoholik, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Shopoholik]

прикрепила скрипты

[regist]

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true); 
 QuarantineFile('C:\Program Files (x86)\Ask.com\UpdateTask.exe','');
 QuarantineFile('C:\Users\it-m\AppData\Local\Microsoft\Windows\system.vbs','');
 QuarantineFile('C:\Users\it-m\AppData\Roaming\UPDATE~1\UPDATE~1\UPDATE~1.EXE','');
 QuarantineFile('C:\Windows\audio32hd.exe','');
 QuarantineFile('C:\Program Files (x86)\Internet Explorer\iexplore.exe.bat','');
 DeleteFile('C:\Windows\system32\Tasks\SystemScript', '64');
 DeleteFile('C:\Users\it-m\AppData\Local\Microsoft\Windows\system.vbs', '32');
 DeleteFile('C:\Program Files (x86)\Internet Explorer\iexplore.exe.bat','32');
 DeleteFile('C:\Users\it-m\AppData\Local\Microsoft\Windows\system.vbs','32');
 DeleteFile('C:\Windows\system32\Tasks\SystemScript','64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(2);
 ExecuteWizard('SCU', 2, 3, true);
 ExecuteWizard('TSW',2,2,true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
• Прикрепите отчет к своему следующему сообщению.

- сделайте лог CheckBrowserLnk

[Shopoholik]

повторные скрипты

- - - - -Добавлено - - - - -

ChkBrowserLnk

[regist]

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true); 
 QuarantineFile('C:\Windows\audio32hd.exe','');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk','');
 QuarantineFile('C:\Users\it-m\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox (2).lnk','');
 QuarantineFile('C:\Users\it-m\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox (3).lnk','');
 QuarantineFile('C:\Users\it-m\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox (4).lnk','');
 QuarantineFile('C:\Users\it-m\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk','');
 QuarantineFile('C:\Users\it-m\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk','');
 QuarantineFile('C:\Users\it-m\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk','');
 QuarantineFile('C:\Users\it-m\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk','');
 QuarantineFile('C:\Program Files (x86)\Mozilla Firefox\firefox.exe.bat','');
 QuarantineFile('C:\Program Files (x86)\Internet Explorer\iexplore.exe.bat','');
 DeleteFile('C:\Windows\audio32hd.exe','32');
 DeleteFile('C:\Program Files (x86)\Mozilla Firefox\firefox.exe.bat','');
 DeleteFile('C:\Program Files (x86)\Internet Explorer\iexplore.exe.bat','');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

- Перетащите лог CheckBrowserLnk.log на утилиту ClearLNK. Отчёт о работе прикрепите.

- сделайте свежий лог CheckBrowserLnk.

[Shopoholik]

выполнила

[regist]

- Исправьте с помощью утилиты ClearLNK следующие ярлыки:

Код:

C:\Users\it-m\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk  n
C:\Users\it-m\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk  
C:\Users\it-m\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk

отчёт о работе прикрепите.

[Shopoholik]

выполнила

[regist]

проблема решена?

[Shopoholik]

ДА!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! УРРРРРА!!!!!!!!!!!!!!!!!!!!!!! Спасибо огромное!!!!!!!!!!!!!!!!!!!!!!!!!!

[regist]

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Советы и рекомендации после лечения компьютера

[Shopoholik]

А теперь у меня вообще паника!!!!!! Пишу с мобильного, т.к. после установки обновлений я не могу запустить ни одну программу! В том числе и браузеры!
Как это всё откатить? ???????????????????

[regist]

после установки обновлений я не могу запустить ни одну программу! В том числе и браузеры!

Подробней напишите, что значит не можете? Какую-то ошибку выдаёт?
Файл со списком предлагаемых обновлений прикрепить сюда можете? И проверьте IE x64 наверно будет работать.
0xc0000005: ошибка при инициализации приложения
- это не ваш случай?

[Shopoholik]

Именно эту ошибку и выдаёт (((

- - - - -Добавлено - - - - -

IE никакой не работает....

- - - - -Добавлено - - - - -

Кстати wifi тоже не хочет...пишет без доступа к интернету

[regist]

Shopoholik, пробуйте либо этот патч, либо удалить указанные в теме обновления.

[Shopoholik]

Почти плачу (

- - - - -Добавлено - - - - -

Через командную строку всё удалила. Перезагрузила. Ошибку ту же вылаёт всё равно. А на фото ошибка после восстановления (которое оказалось невозможным из-за отсутствия предыдущей точки...)
Воспользоваться переустановкой или восстановлением с диска-нереально или по крайней мере проблематично т.к. в Париже я не видела ни разу установочных дисков, а я здесь.

[regist]

Через командную строку всё удалила. Перезагрузила. Ошибку ту же вылаёт всё равно.

видно не всё, осталось ещё какоё-то обновление windows которое и вызывает эти проблемы.

[Shopoholik]

Было бы потрясающе, если бы я знала, какие именно обновления я устанавливала....не могу найти того файла со списком.

- - - - -Добавлено - - - - -

Всё! я спаслась!!!!!!! Единственное место, куда я смогла зайти для отката и т.д. и т.п. - это в удаление программ, где по ссылке зашла на установленные обновления! и отталкиваясь даты, когда я их установила (7 октября в моём случае) - удалила вообще все обновления от Microsoft! И я и мой комп снова живы!)))))))))))))
Так что спасибо огромадное за то, что вылечиться помогли!!!!
кстааати! диагност сетей написал, что ошибка была подключения из-за этого 1kanal была!

[regist]

Было бы потрясающе, если бы я знала, какие именно обновления я устанавливала....не могу найти того файла со списком.

Shopoholik, а вы устаналивали только те обновления который предложил тот скрипт или и все остальные с windows update ?
Если можно выполните этот скрипт ещё раз и прикрепите сюда список обновлений которые он предлагает установить.