Помогите!!! Вирус - вор

**konfetka_2007** · 23.09.2009, 14:35

Пожалуйста, помогите.

Началось все с того, что по каким-то непонятным причинам с моего кошелька веб-моней был совершен обмен на счет яндекс-деньги. Но деньги я не переводила. Сам веб-моней почему-то виснет, когда нужно ввести код активации.

А в упавлении компьютером - Просмотр событий - Система:

"Основной обозреватель сети получил с сервера сооющение что компьютер
SERG-PC объявил себя основным обозревателем домена"

И таких сообщений было то ли 5, то ли 6.
Только пользователи разные.

Сейчас поставила усиленную защиту браузера, вроде все нормально.

Только сама программа при активации виснет, и не могу никак внести цифры.

Пожалуйста, помогите, одна надежда на Вас.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Bratez** · 23.09.2009, 14:49

Отключите восстановление системы!
Пофиксите в HijackThis:

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twex.exe,C:\WINDOWS\system32\twext.exe,C:\WINDOWS\system32\sdra64.exe,
O1 - Hosts: 91.212.198.20 mail.yandex.ru
O1 - Hosts: 91.212.198.20 mail.yandex.ru
O1 - Hosts: 91.212.198.20 mail.yandex.ru
O1 - Hosts: 91.212.198.20 mail.yandex.ru
O1 - Hosts: 91.212.198.20 mail.yandex.ru
O1 - Hosts: 91.212.198.20 mail.yandex.ru
O1 - Hosts: 91.212.198.20 mail.yandex.ru
O1 - Hosts: 91.212.198.20 mail.yandex.ru
O1 - Hosts: 91.212.198.20 mail.yandex.ru
O1 - Hosts: 91.212.198.20 mail.yandex.ru
O1 - Hosts: 91.212.198.20 mail.yandex.ru
O1 - Hosts: 91.212.198.20 mail.yandex.ru
O4 - HKLM\..\Run: [servises] C:\WINDOWS\system32\servises.exe
O4 - HKLM\..\Run: [Generic Host for Win32 Services] ‘|x
O4 - HKCU\..\Run: [servises] C:\WINDOWS\system32\servises.exe

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\twext.exe','');
 QuarantineFile('C:\WINDOWS\system32\twex.exe','');
 QuarantineFile('C:\WINDOWS\system32\servises.exe','');
 QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
 QuarantineFile('C:\WINDOWS\system32\15.exe','');
 QuarantineFile('C:\WINDOWS\system32\msvcrt57.dll','');
 DeleteFile('C:\WINDOWS\system32\msvcrt57.dll');
 DeleteFile('C:\WINDOWS\system32\15.exe');
 DeleteFile('C:\WINDOWS\system32\sdra64.exe');
 DeleteFile('C:\WINDOWS\system32\servises.exe');
 DeleteFile('C:\WINDOWS\system32\twex.exe');
 DeleteFile('C:\WINDOWS\system32\twext.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
DelCLSID('{E6FB5E20-DE35-11CF-9C87-00AA005127ED}');
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=55429).
Сделайте новые логи, все три по правилам (читайте внимательно, какие именно файлы следует прикреплять).

**konfetka_2007** · 23.09.2009, 15:40

Пофиксите в HijackThis:
а как профиксить? Там все на английском?
Нашла как. Буду работать
Нет, ничего не помогло в HijackThis!! В чаво, не написано куда необходимо вставлять алгоритм!!!!!
Помогите, плиз, как профиксить в HijackThis!!!!!

**Bratez** · 23.09.2009, 15:52

В Правилах все есть:

Что значит "пофиксить с помощью HiJackThis"
http://virusinfo.info/showthread.php?t=4491

Как выполнить скрипт в AVZ
http://virusinfo.info/showthread.php?t=7239

**konfetka_2007** · 23.09.2009, 16:46

http://virusinfo.info/showthread.php?t=4491
я видела эту ссылку, но там ведь нигде не указано куда необходимо вставлять код!!!! Пробывала и метод 1 и метод 2
Код никуда не вставляется!!!!!

**konfetka_2007** · 23.09.2009, 16:52

Выполнила скрипт в AVZ. Вот такие вот результаты.

**Bratez** · 23.09.2009, 17:23

Сообщение от konfetka_2007

я видела эту ссылку, но там ведь нигде не указано куда необходимо вставлять код!!!! Пробывала и метод 1 и метод 2
Код никуда не вставляется!!!!!

Какой метод? Какой код? Читаем:

Запустить файл hijackthis.exe**) В главном окне программы нужно нажать кнопочку "Do a system scan only"

В открывшемся логе сканирования поставить галочки напротив указанных строк и нажать кнопку "Fix Checked". Затем следует перегрузить компьютер.

Всё! Что тут непонятного?

Вот такие вот результаты.

Результаты это хорошо, но в правилах конкретно сказано, какие именно файлы следует прикреплять. Тоже нужно цитировать или сами прочтете?

Логи сейчас посмотрю...

Добавлено через 7 минут

1. Повторяю: Отключите восстановление системы! (см. приложение 1 правил).

2. Пофиксите в HijackThis то, что осталось из списка в сообщении #2.

3. Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\cmdow.exe','');
DeleteFile('C:\WINDOWS\system32\cmdow.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

4. Пришлите новый карантин согласно приложению 3 правил.

5. Сделайте новые логи (все три в соответствии с п.1-3 раздела Диагностика).

**konfetka_2007** · 23.09.2009, 22:02

Bratez, пожалуйста посмотрите еще раз.

hijackthis.exe - не нашла этого и поэтому решила что все нужно вставить одним целым, как в AVZ
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDO WS\system32\twex.exe,C:\WINDOWS\system32\twext.exe ,C:\WINDOWS\system32\sdra64.exe,

Отключила восстановление системы

Пофиксила в HijackThis

Выполнила скрипт в AVZ

Пожалуйста, посмотрите.

**Bratez** · 24.09.2009, 03:08

В логах больше ничего подозрительного.
Что с проблемой?

**konfetka_2007** · 24.09.2009, 09:29

урааааааааа!!!!!!! Спасибо-спасибо-спасибо!!!!!!!!!

Подскажите,

в упавлении компьютером - Просмотр событий - Система:

"Основной обозреватель сети получил с сервера сооющение что компьютер
SERG-PC объявил себя основным обозревателем домена"

Это опасно или нет?

Восстановление системы можно включить?

УРА!!!!!! ВЕБ-МОНЕЙ ЗАРАБОТАЛ!!!!!!! Больше не выскакивает табличка - что он завершает работу.

Ребята, ВЫ ВСЕ ПРОСТО СУПЕР!!!!!!

**Гриша** · 24.09.2009, 11:51

Вам лучше сменить все коды доступа Web Money, зверь который был у вас, крадет пароли...

**konfetka_2007** · 24.09.2009, 13:30

Спасибо, Гриша.

Обязательно сегодня займусь этим.

можно закрывать. У меня все ок.

**CyberHelper** · 25.09.2009, 13:30

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 29
В ходе лечения обнаружены вредоносные программы:
1. c:\system volume information\_restore{d1401922-cf20-4469-ad2f-3f725f972f7c}\rp73\a0030130.exe - Worm.Win32.Bezopi.fj ( DrWEB: Win32.HLLW.Autoruner.6326, BitDefender: Application.Generic.216493, AVAST4: Win32:MalOb-M [Cryp] )
2. c:\windows\system32\msvcrt57.dll - Packed.Win32.Krap.x ( DrWEB: Trojan.DownLoad.5244, BitDefender: Trojan.Dropper.Preald.B )

Помогите!!! Вирус - вор (заявка № 55429)

Опции темы

Помогите!!! Вирус - вор

Лечение

Итог лечения

Похожие темы

NOD не может удалить вирус win32/Protector.N вирус,помогите!!

Помогите вирус достал(если это вирус)

Помогите вирус..сильный вирус

Что за вирус - помогите

Ваши права в разделе