Добрый день. Судя по всему поймал троян, блокирующий все файлы с расширением .lst
Пытаясь установить или запустить игру, игнорирует либо не находит данные файлы.
Добрый день. Судя по всему поймал троян, блокирующий все файлы с расширением .lst
Пытаясь установить или запустить игру, игнорирует либо не находит данные файлы.
Уважаемый(ая) Spear, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте.
Скачайте и распакуйте свежую версию AVZ:
http://z-oleg.com/avz4.zip
Удалите папку со старым AVZ.
Обновите базы AVZ.
Если базы не обновляются через меню Файл - Обновление баз,
скачайте архив баз http://z-oleg.com/secur/avz_up/avzbase.zip
и распакуйте его в папку Base внутри папки AVZ, заменив имеющиеся файлы и перезапустите AVZ.
Выполните скрипт в AVZ (как выполнить):
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; TerminateProcessByName('c:\windows\yadrive32.exe'); TerminateProcessByName('c:\recycler\s-1-5-21-0243556031-888888379-781863308-14699\brenasa.exe'); QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\2Jw1j5Cz1g8.exe',''); QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\21.tmp',''); QuarantineFile('C:\WINDOWS\nnnut.sys',''); QuarantineFile('newdriver.sys',''); QuarantineFile('c:\windows\yadrive32.exe',''); QuarantineFile('c:\recycler\s-1-5-21-0243556031-888888379-781863308-14699\brenasa.exe',''); DeleteFile('c:\recycler\s-1-5-21-0243556031-888888379-781863308-14699\brenasa.exe'); DeleteFile('c:\windows\yadrive32.exe'); DeleteFile('newdriver.sys'); BC_DeleteSvc('newdriver'); DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\21.tmp'); DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\2Jw1j5Cz1g8.exe'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(21); ExecuteWizard('SCU',2,2,true); BC_Activate; RebootWindows(true); end.
Сделайте заново лог virusinfo_syscheck.zip и лог HijackThis (пункты 2 и 3 раздела "Диагностика" правил) и приложите в теме.
Выполните скрипт в AVZ отсюда (скопируйте там весь текст):
http://dataforce.ru/~kad/ScanVuln.txt
Если будут найдены уязвимости, в папке AVZ\LOG появится файл avz_log.txt. Приложите его в теме.
Затем откройте его в блокноте, пройдите по всем ссылкам и установите указанные там обновления.
Перезагрузите компьютер, выполните еще раз этот скрипт и убедитесь, что обновления установились.
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
Большое спасибо! Проблема решена.
Мы еще не закончили. Вы снова заразились.
Обновления установили?
Это важно. Устанавливайте в первую очередь для Java (последний абзац в avz_log.txt), затем все остальное.
Затем (после Java):
Выполните скрипт в AVZ (как выполнить):
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\h4e2jnte1.exe',''); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\h4e2jnte1.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Загрузите quarantine.zip из папки AVZ по красной ссылке в шапке этой темы "Прислать запрошенный карантин".
Пофиксите в HijackThis только указанные строки (как пофиксить):
Сделайте заново лог virusinfo_syscheck.zip и лог HijackThis (пункты 2 и 3 раздела "Диагностика" правил) и приложите в теме.Код:R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.babylon.com/?babsrc=HP_Prot R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=acec9efb000000000000002618625402&tlver=1.4.19.19&affID=16553 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.franzis.de/ O3 - Toolbar: Babylon Toolbar - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.19.19\BabylonToolbarTlbr.dll O4 - HKLM\..\Run: [BabylonToolbar] "C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.19.19\BabylonToolbarsrv.exe" /md I
В файл hosts сами записи вставляли?
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
Обновления все поставил. Пофиксил, скрипт выполнил. Прикладываю логи.
Насчет файла hosts точно не скажу, не помню, чтобы я там что-то менял.
Тогда пофиксите в HijackThis только указанные строки (как пофиксить):
И рекомендую сменить все пароли (особенно банковские).Код:O1 - Hosts: Jnj667hvfnr O1 - Hosts: 54.90.10.02 Microsoft Corp. O1 - Hosts: 217.73.57.92 userapi.com O1 - Hosts: 217.73.57.92 st0.userapi.com O1 - Hosts: 217.73.57.92 st1.userapi.com O1 - Hosts: 217.73.57.92 st2.userapi.com O1 - Hosts: 217.73.57.92 st3.userapi.com O1 - Hosts: 217.73.57.92 st4.userapi.com O1 - Hosts: 217.73.57.92 st5.userapi.com O1 - Hosts: 217.73.57.92 st6.userapi.com O1 - Hosts: 217.73.57.92 st7.userapi.com O1 - Hosts: 217.73.57.92 st8.userapi.com O1 - Hosts: 217.73.57.92 st9.userapi.com O1 - Hosts: 217.73.57.92 stg.odnoklassniki.ru O1 - Hosts: 217.73.57.92 cdn.connect.mail.ru O1 - Hosts: 217.73.57.92 img0.imgsmail.ru O1 - Hosts: 217.73.57.92 img1.imgsmail.ru O1 - Hosts: 217.73.57.92 img2.imgsmail.ru O1 - Hosts: 217.73.57.92 img3.imgsmail.ru O1 - Hosts: 217.73.57.92 img4.imgsmail.ru O1 - Hosts: 217.73.57.92 img5.imgsmail.ru O1 - Hosts: 217.73.57.92 img6.imgsmail.ru O1 - Hosts: 217.73.57.92 img7.imgsmail.ru O1 - Hosts: 217.73.57.92 img8.imgsmail.ru O1 - Hosts: 217.73.57.92 img9.imgsmail.ru
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\admin\\главное меню\\программы\\автозагрузка\\h4e2jnte1.exe - Trojan-Spy.Win32.Carberp.qxk ( DrWEB: Trojan.Carberp.33, BitDefender: Gen:Variant.Symmi.3907, AVAST4: Win32:Carberp-AMO [Trj] )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
Уважаемый(ая) Spear, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.