Вирус clubrelaxxxx.com/gibdd/ [Trojan-Dropper.Win32.Daws.azrc ]

[synco]

Здравствуйте, вылезает уже как 3 дня ссылка [удалено] проверил dr.web не исчезла, а стала появляться в виде окошка внизу слева на странице, а не новой ссылкой...

[Info_bot]

Уважаемый(ая) synco, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[regist]

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
  ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
  ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
  QuarantineFile('C:\Users\Андрей\appdata\roaming\txt.exe','');
  QuarantineFile('C:\Users\A4F7~1\AppData\Local\Temp\4560330FdOh','');
  QuarantineFile('C:\Users\A4F7~1\AppData\Local\Temp\4501393FdOh','');
  DeleteFile('C:\Users\A4F7~1\AppData\Local\Temp\4501393FdOh');
  DeleteFile('C:\Users\A4F7~1\AppData\Local\Temp\4560330FdOh');
  DeleteFile('C:\Users\Андрей\appdata\roaming\txt.exe');
  RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','4501783');
  RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','4560377');
 ClearHostsFile;
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('TSW',2,2,true);
 ExecuteWizard('SCU',3,3,true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

- Сделайте лог полного сканирования МВАМ.

[thyrex]

+ очистите куки и кэш браузеров

+ Сделайте логи RSIT

[synco]

Все сделал...

[thyrex]

Удалите в МВАМ только указанные строки

Код:

Обнаруженные параметры в реестре:  1
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon|SysDebug32 (Trojan.Agent) -> Параметры: ⾩趓풸쯁႖첔貯穱엑ꤪ坿㰨䘼ꁯ邕꭬寝⣶箘Ꮲﲐ焩ꗞtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀ㗻쬁ᓵ�蘌ꍆ瞏뀅粊ῗṁ㽛嚿䛠乍tฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀ會ꌠ윅矣追凮笆tฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀtฑ잲ﰀ榘닍䖣 -> Действие не было предпринято.

Обнаруженные файлы:  10
C:\Users\Андрей\AppData\Roaming\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
C:\Windows\System32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.

Пофиксите в Hijack

Код:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://browserhelp3.ru

Удалите вручную

Код:

C:\Windows\tasks\At1.job
C:\Windows\tasks\At2.job
C:\ProgramData\IBank
C:\Users\Андрей\AppData\Roaming\H0uxQ1Fzjp8
C:\ProgramData\H0uxQ1Fzjp8

Смените все пароли

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 7
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\users\\андрей\\appdata\\roaming\\txt.exe - Trojan-Dropper.Win32.Daws.azrc ( DrWEB: Trojan.Mayachok.18092, BitDefender: Trojan.Generic.KD.795966 )