Всплывают порно-баннеры в браузерах вертикально слева. [Trojan.Win32.Genome.aiqsu ]

[Нино Мориарти]

Dr.Web CureIt! и касперский не видят никаких вирусов.
Помогите пожалуйста!
virusinfo_syscheck.ziphijackthis.logvirusinfo_syscheck.ziphijackthis.log

[Info_bot]

Уважаемый(ая) Нино Мориарти, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[mrak74]

Здравствуйте !!!

Выполните скрипт в AVZ:

Код:

begin
  QuarantineFile('C:\Users\User\AppData\Local\Temp\e6xik0j0.exe','');
  DeleteFile('C:\Users\User\AppData\Local\Temp\e6xik0j0.exe');
  DeleteFile('C:\Windows\Tasks\ttj9gjdq.job');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(2);
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteRepair(21);
 ExecuteWizard('SCU',2,2,true);
RebootWindows(true);
end.

После перезагрузки выполните скрипт:

Код:

begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантин
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )

[Нино Мориарти]

Все сделано по инструкции, в карантин отправлено, вот новые скрипты.
virusinfo_syscheck.zip
hijackthis.log

[Techno]

Что с проблемой?

[Нино Мориарти]

пока не всплывает ничего)

- - - Добавлено - - -

Только написала это и появился синий экран смерти.

- - - Добавлено - - -

И ОПЯТЬ СИНИЙ!

- - - Добавлено - - -

Сделала откатку системы.

[mrak74]

Сделала откатку системы.

И скорее всего вернули вирусы на место.

Только написала это и появился синий экран смерти.

Железо компьютера проверить не помешало бы.

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )

[Нино Мориарти]

virusinfo_syscheck.ziphijackthis.log

[Techno]

- Пофиксите в HijackThis:

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://searchfunmoods.com/?f=1&a=iron2&ir=iron2&cd=2XzuyEtN2Y1L1Qzuzz0C0AzyzztBzz0EyD0AtB0F0C0A0CtDtN0D0Tzu0CtAyDtDtN1L2XzutBtFtBtFtCtFyEtDyB&cr=731101671

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://searchfunmoods.com/?f=1&a=iron2&ir=iron2&cd=2XzuyEtN2Y1L1Qzuzz0C0AzyzztBzz0EyD0AtB0F0C0A0CtDtN0D0Tzu0CtAyDtDtN1L2XzutBtFtBtFtCtFyEtDyB&cr=731101671
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O17 - HKLM\System\CCS\Services\Tcpip\..\{0DBA2F03-1F1B-44D2-B9FA-41B2B40FEC7D}: NameServer = 127.0.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{67869732-37E4-460B-9D18-74CC357DA28C}: NameServer = 127.0.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{74721B31-AA34-4FE3-9EF2-0D59404F07AA}: NameServer = 127.0.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{0DBA2F03-1F1B-44D2-B9FA-41B2B40FEC7D}: NameServer = 127.0.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{0DBA2F03-1F1B-44D2-B9FA-41B2B40FEC7D}: NameServer = 127.0.0.1

- Выполните в АВЗ:

Код:

begin
 QuarantineFile('C:\Users\User\appdata\roaming\txt.exe','');
 DeleteFile('C:\Users\User\appdata\roaming\txt.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end

Компьютер перезагрузится

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Сделайте лог полного сканирования MBAM.

[Нино Мориарти]

В HijackThis профиксила.
В авз скритп не выполняется. Пишет ошибка: "." expected в позиции 9:1

[mrak74]

Код:

begin
 QuarantineFile('C:\Users\User\appdata\roaming\txt.exe','');
 DeleteFile('C:\Users\User\appdata\roaming\txt.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Поправил, выполняйте.

[Нино Мориарти]

MBAM-log-2013-03-01 (22-26-06).txt

- - - Добавлено - - -

сделано

[Techno]

Удалите в MBAM:

Код:

HKCR\CLSID\{75A4D144-506D-4BE5-81DB-EC7DA1E7F840} (PUP.Funmoods) -> Действие не было предпринято.
HKCR\TypeLib\{960DF771-CFCB-4E53-A5B5-6EF2BBE6E706} (PUP.Funmoods) -> Действие не было предпринято.
HKCR\esrv.funmoodsESrvc.1 (PUP.Funmoods) -> Действие не было предпринято.
HKCR\esrv.funmoodsESrvc (PUP.Funmoods) -> Действие не было предпринято.
HKCR\CLSID\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{C87FC351-A80D-43E9-9A86-CF1E29DC443A} (PUP.Funmoods) -> Действие не было предпринято.
HKCU\SOFTWARE\Funmoods (PUP.FunMoods) -> Действие не было предпринято.
HKCU\SOFTWARE\InstallCore\funmoods (PUP.FunMoods) -> Действие не было предпринято.
HKLM\SOFTWARE\InstallCore\funmoods (PUP.FunMoods) -> Действие не было предпринято.

HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} (PUP.ToolBar.WA) -> Параметры:  -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs|Tabs (PUP.FunMoods) -> Параметры: http://searchfunmoods.com/?f=2&a=iron2&ir=iron2&cd=2XzuyEtN2Y1L1Qzuzz0C0AzyzztBzz0EyD0AtB0F0C0A0CtDtN0D0Tzu0CtAyDtDtN1L2XzutBtFtBtFtCtFyEtDyB&cr=731101671 -> Действие не было предпринято.

C:\Program Files (x86)\dns2\dns (Backdoor.Bot.ooo) -> Действие не было предпринято.
C:\Program Files (x86)\qqqq0\oooo0 (Trojan.Agent.cn) -> Действие не было предпринято.
C:\Program Files (x86)\Plastic goa\Auve (Trojan.Agent.VBS) -> Действие не было предпринято.

C:\Users\User\AppData\Roaming\198.exe (Backdoor.Bot.ooo) -> Действие не было предпринято.

C:\Users\User\Local Settings\Application Data\Google\Chrome\User Data\Default\Local Storage\chrome-extension_bbjciahceamgodcoidkjpchnokgfpphh_0.localstorage (PUP.Funmoods) -> Действие не было предпринято.
C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_bbjciahceamgodcoidkjpchnokgfpphh_0.localstorage (PUP.Funmoods) -> Действие не было предпринято.
C:\Users\User\0.6302773085363372.exe (Exploit.Drop.UR.2) -> Действие не было предпринято.
C:\Users\User\AppData\Roaming\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
c:\windows\system32\drivers\etc\hоsts (Hijack.Trace) -> Действие не было предпринято.
C:\Program Files (x86)\dns2\dns\govno.bat (Backdoor.Bot.ooo) -> Действие не было предпринято.
C:\Program Files (x86)\dns2\dns\data.txt (Backdoor.Bot.ooo) -> Действие не было предпринято.
C:\Program Files (x86)\dns2\dns\idet.vbs (Backdoor.Bot.ooo) -> Действие не было предпринято.
C:\Users\User\AppData\Roaming\Funmoods\UpdateProc\UpdateTask.exe (PUP.FunMoods) -> Действие не было предпринято.
C:\Users\User\Local Settings\Application Data\Google\Chrome\User Data\Default\Local Storage\chrome-extension_cjpglkicenollcignonpgiafdgfeehoj_0.localstorage (PUP.FunMoods) -> Действие не было предпринято.
C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_cjpglkicenollcignonpgiafdgfeehoj_0.localstorage (PUP.FunMoods) -> Действие не было предпринято.
C:\Program Files (x86)\qqqq0\oooo0\airan.vbs (Trojan.Agent.cn) -> Действие не было предпринято.
C:\Program Files (x86)\qqqq0\oooo0\dsk.txt (Trojan.Agent.cn) -> Действие не было предпринято.
C:\Program Files (x86)\qqqq0\oooo0\jog.bat (Trojan.Agent.cn) -> Действие не было предпринято.
C:\Program Files (x86)\qqqq0\oooo0\pjpl.txt (Trojan.Agent.cn) -> Действие не было предпринято.
C:\Program Files (x86)\qqqq0\oooo0\tan.vbs (Trojan.Agent.cn) -> Действие не было предпринято.
C:\Program Files (x86)\Plastic goa\Auve\sellmeforalls.bat (Trojan.Agent.VBS) -> Действие не было предпринято.
C:\Program Files (x86)\Plastic goa\Auve\soapandpillows.vbs (Trojan.Agent.VBS) -> Действие не было предпринято.
C:\Program Files (x86)\Plastic goa\Auve\toni.ha (Trojan.Agent.VBS) -> Действие не было предпринято.
C:\Program Files (x86)\Plastic goa\Auve\trollingna_suse.vbs (Trojan.Agent.VBS) -> Действие не было предпринято.

[Нино Мориарти]

готово

[Techno]

Что с проблемами?

[Нино Мориарти]

все вроде норм

- - - Добавлено - - -

Спасибо огромное!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 2
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\users\\user\\appdata\\roaming\\txt.exe - Trojan.Win32.Genome.aiqsu ( DrWEB: Trojan.Mayachok.18024, BitDefender: Gen:Variant.Kazy.99718, AVAST4: Win32:Crypt-OKC [Trj] )