Возникла проблема , как только подключаюсь к интернету , тут же возникают непонятные подключения к сайту jajaca.com , комп при этом жутко тормозит и OPERA с IE8 как то странно работать стали , буду очень благодарен за любую помощь !!!!
Возникла проблема , как только подключаюсь к интернету , тут же возникают непонятные подключения к сайту jajaca.com , комп при этом жутко тормозит и OPERA с IE8 как то странно работать стали , буду очень благодарен за любую помощь !!!!
Уважаемый(ая) MTF, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\Администратор\Рабочий стол\busbmw\slideside.zip',''); TerminateProcessByName('c:\documents and settings\Администратор\local settings\application data\opera\opera\temporary_downloads\jre-6u26-windows-i586-iftw.exe'); QuarantineFile('c:\documents and settings\Администратор\local settings\application data\opera\opera\temporary_downloads\jre-6u26-windows-i586-iftw.exe',''); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:var i : integer; KeyList : TStringList; begin KeyList := TStringList.Create; RegKeyEnumKey('HKLM','SYSTEM', KeyList); for i := 0 to KeyList.Count-1 do if pos('controlset', LowerCase(KeyList[i])) > 0 then begin if RegKeyExistsEx('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS') then begin RegKeyResetSecurity('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS'); RegKeyStrParamWrite('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs'); AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+KeyList[i]+'\Services\BITS исправлено на оригинальное.'); end; if RegKeyExistsEx('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv') then begin RegKeyResetSecurity('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv'); RegKeyStrParamWrite('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs'); AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+KeyList[i]+'\Services\wuauserv исправлено на оригинальное.'); end; end; KeyList.Free; SaveLog(GetAVZDirectory + 'fystemRoot.log'); CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Сделайте лог MBAM
уважаемый polword все сделал но опять эта зараза лезет jajaca.com
Кто нибуть помогите пожалуйста
Вот лог MBAM
кто нибуть отзовитесь , комп совсем помирает !!!!!!!!!!!
Удалите в МВАМ только указанные строкиКод:Зараженные ключи в реестре: HKEY_CLASSES_ROOT\CLSID\{1408E208-2AC1-42D3-9F10-78A5B36E05AC} (Trojan.BHO) -> No action taken. HKEY_CLASSES_ROOT\Typelib\{10026069-7A5F-4531-811E-C8DF20643BEE} (Trojan.FakeAlert) -> No action taken. HKEY_CLASSES_ROOT\Interface\{275DE758-AE97-4BE3-BEF1-107A376C66E0} (Trojan.FakeAlert) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> No action taken. HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> No action taken. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> No action taken. HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> No action taken. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{3CC3D8FE-F0E0-4DD1-A69A-8C56BCC7BEBF} (Adware.SmartShopper) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3CC3D8FE-F0E0-4DD1-A69A-8C56BCC7BEBF} (Adware.SmartShopper) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{3CC3D8FE-F0E0-4DD1-A69A-8C56BCC7BEC0} (Adware.SmartShopper) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3CC3D8FE-F0E0-4DD1-A69A-8C56BCC7BEC0} (Adware.SmartShopper) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{4A7C84E2-E95C-43C6-8DD3-03ABCD0EB60E} (Adware.SmartShopper) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{4A7C84E2-E95C-43C6-8DD3-03ABCD0EB60E} (Adware.SmartShopper) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{A9D17DA6-022A-454A-AB26-E104C0F6D13A} (Trojan.Vundo) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} (Adware.MyCentria) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SETUP.EXE (Malware.Packer.Gen) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Bind (Malware.Trace) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\MyCentria (Adware.MyCentria) -> No action taken. Зараженные параметры в реестре: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Worm.AutoRun) -> Value: Shell -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> Value: option_1 -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> Value: option_2 -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> Value: option_3 -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Value: UID -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WinDLL (service.exe) (Trojan.Agent) -> Value: WinDLL (service.exe) -> No action taken. Объекты реестра заражены: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (explorer.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe) Good: (Explorer.exe) -> No action taken. Зараженные папки: c:\program files\FieryAds (Adware.Adware.FearAds) -> No action taken. c:\program files\mycentria (Adware.MyCentria) -> No action taken. c:\program files\mycentria\Firefox (Adware.MyCentria) -> No action taken. c:\program files\mycentria\InfoBar (Adware.MyCentria) -> No action taken. c:\WINDOWS\system32\twain32 (Backdoor.Bot) -> No action taken. c:\documents and settings\администратор\application data\winxrar (Trojan.Agent) -> No action taken. Зараженные файлы: d:\PROGRAMM\antivirus\avz4\Infected\2011-06-28\avz00001.dta (Rootkit.Agent) -> No action taken. d:\PROGRAMM\antivirus\avz4\Infected\2011-06-29\avz00001.dta (Rootkit.Agent) -> No action taken. d:\PROGRAMM\antivirus\avz4\quarantine\2011-06-28\avz00002.dta (Spyware.BlackShadesNET) -> No action taken. d:\PROGRAMM\antivirus\avz4\quarantine\2011-06-28\avz00005.dta (Spyware.BlackShadesNET) -> No action taken. d:\PROGRAMM\antivirus\avz4\quarantine\2011-06-28\avz00006.dta (Spyware.BlackShadesNET) -> No action taken. d:\PROGRAMM\antivirus\avz4\quarantine\2011-06-28\avz00008.dta (Spyware.BlackShadesNET) -> No action taken. d:\PROGRAMM\antivirus\avz4\quarantine\2011-06-28\avz00009.dta (Spyware.BlackShadesNET) -> No action taken. d:\PROGRAMM\antivirus\avz4\quarantine\2011-06-28\avz00010.dta (Spyware.BlackShadesNET) -> No action taken. d:\PROGRAMM\antivirus\avz4\quarantine\2011-06-28\avz00011.dta (Spyware.BlackShadesNET) -> No action taken. d:\PROGRAMM\antivirus\avz4\quarantine\2011-06-28\avz00013.dta (Spyware.BlackShadesNET) -> No action taken. c:\documents and settings\администратор\application data\fieryads.dat (Adware.FieryAds) -> No action taken. c:\program files\common files\keylog.txt (Malware.Trace) -> No action taken. c:\documents and settings\администратор\избранное\cheap pharmacy online.url (Rogue.Link) -> No action taken. c:\documents and settings\администратор\избранное\search online.url (Rogue.Link) -> No action taken. c:\documents and settings\администратор\избранное\vip casino.url (Rogue.Link) -> No action taken. c:\documents and settings\администратор\главное меню\cheap pharmacy online.url (Rogue.Link) -> No action taken. c:\documents and settings\администратор\главное меню\search online.url (Rogue.Link) -> No action taken. c:\documents and settings\администратор\главное меню\vip casino.url (Rogue.Link) -> No action taken. c:\WINDOWS\system32\c.ico (Malware.Trace) -> No action taken. c:\WINDOWS\system32\m.ico (Malware.Trace) -> No action taken. c:\WINDOWS\system32\s.ico (Malware.Trace) -> No action taken. c:\WINDOWS\k.txt (Trojan.FakeAlert) -> No action taken. c:\WINDOWS\system32\twain32\local.ds (Backdoor.Bot) -> No action taken. c:\WINDOWS\system32\twain32\user.ds (Backdoor.Bot) -> No action taken. c:\documents and settings\администратор\application data\winxrar\after.png (Trojan.Agent) -> No action taken. c:\documents and settings\администратор\application data\winxrar\dir.png (Trojan.Agent) -> No action taken. c:\documents and settings\администратор\application data\winxrar\dot.gif (Trojan.Agent) -> No action taken. c:\documents and settings\администратор\application data\winxrar\htmlayout.dll (Trojan.Agent) -> No action taken. c:\documents and settings\администратор\application data\winxrar\logo.png (Trojan.Agent) -> No action taken. c:\documents and settings\администратор\application data\winxrar\logo2.png (Trojan.Agent) -> No action taken. c:\documents and settings\администратор\application data\winxrar\myriadwebpro-condensed.ttf (Trojan.Agent) -> No action taken. c:\documents and settings\администратор\application data\winxrar\sb-h-scroll-next.png (Trojan.Agent) -> No action taken. c:\documents and settings\администратор\application data\winxrar\sb-h-scroll-prev.png (Trojan.Agent) -> No action taken. c:\documents and settings\администратор\application data\winxrar\sb-scroll-back.png (Trojan.Agent) -> No action taken. c:\documents and settings\администратор\application data\winxrar\sb-scroll-base.png (Trojan.Agent) -> No action taken. c:\documents and settings\администратор\application data\winxrar\sb-scroll-slider.png (Trojan.Agent) -> No action taken. c:\documents and settings\администратор\application data\winxrar\sb-v-scroll-next.png (Trojan.Agent) -> No action taken. c:\documents and settings\администратор\application data\winxrar\sb-v-scroll-prev.png (Trojan.Agent) -> No action taken. c:\documents and settings\администратор\application data\winxrar\scroll.css (Trojan.Agent) -> No action taken. c:\documents and settings\администратор\application data\winxrar\xsendexe.tmp (Trojan.Agent) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Удалил строки в MBam , стало чуть чуть лучше т.е интернет стал чуть быстрее работать время появление табличек с подключением к jajaca.com от нод32 увеличилось но все равно переодически появляются !!!!!!!
Сделайте лог ComboFix
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Добрый день вот сделал лог ComboFix !!!!!!!!
Уважаемые Хелперы , у моей проблемы вообще есть решение или надо переустанавливать систему , после выполнения скриптов состояние компа стало существенно лучше ,осталась одна проблема просто чем больше времени прошло с момента подключения к интернету тем больше он начинает тупить , страница откравается бывает доходит до несколько минут , NOD32 только видит попытку доступа к сайту jajaca.com , но сам вирус не обнаруживает при сканировании , проверил лог AVZ на мой взгляд криминала вроде нет , господа Хелперы что посоветуете cделать , не очень хочется переустанавливать систему ?????
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.Код:KillAll:: File:: c:\windows\system32\drivers\tcpz-x86d.sys c:\windows\system32\tcpwalblib.exe c:\documents and settings\Администратор\Application Data\4F.tmp c:\documents and settings\Администратор\Application Data\46.tmp c:\documents and settings\Администратор\Application Data\23.tmp c:\documents and settings\Администратор\Application Data\4E.tmp c:\documents and settings\Администратор\Application Data\4A.tmp c:\documents and settings\Администратор\Application Data\3F.tmp c:\documents and settings\Администратор\Application Data\1CC.tmp c:\documents and settings\Администратор\Application Data\C0.tmp c:\documents and settings\Администратор\Application Data\BD.tmp c:\documents and settings\Администратор\Application Data\A2.tmp c:\documents and settings\Администратор\Application Data\89.tmp c:\windows\system32\tcpwalalib.exe c:\documents and settings\Администратор\Application Data\8F.tmp c:\documents and settings\Администратор\Application Data\99.tmp c:\documents and settings\Администратор\Application Data\98.tmp c:\documents and settings\Администратор\Application Data\97.tmp c:\documents and settings\Администратор\Application Data\AE.tmp c:\documents and settings\Администратор\Application Data\AD.tmp c:\documents and settings\Администратор\Application Data\AB.tmp c:\documents and settings\Администратор\Application Data\6A.tmp c:\documents and settings\Администратор\Application Data\66.tmp c:\documents and settings\Администратор\Application Data\65.tmp c:\documents and settings\Администратор\Application Data\D6.tmp c:\windows\QTFont.for Driver:: TCPZ WalbSvc Folder:: Registry:: FileLook:: c:\windows\system32\Slsvcx.exe DirLook:: c:\windows\system32\X
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
вроде пока не подключается к jajaca.com , вот лог ComboFix
c:\windows\system32\X\D.bat - содержимое этого файла напишите
Удалите ComboFix
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
содержимое X.bat
Удалите этот файл вместе с папкой
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Здравствуйте thyrex сделал лог MBam там есть C:\WINDOWS\system32\CUV28.exe
не подскажите что это за файл ??????
Последний раз редактировалось MTF; 08.07.2011 в 12:57.
Запакуйте его с паролем virus и пришлите по красной ссылке
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 6
- В ходе лечения обнаружены вредоносные программы:
- \\cuv28.exe - Trojan.Win32.TDSS.cjoh ( DrWEB: Trojan.Siggen2.47216, BitDefender: Gen:Trojan.Heur.GM.000040047A, AVAST4: Win32:Malware-gen )
Уважаемый(ая) MTF, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.