-
Junior Member
- Вес репутации
- 50
Помогите исправить подмену сайтов [Trojan-Ransom.Win32.Agent.hvr
]
Помениваются сайты ВКонтакте, Одноклассники, Мейл.ру.
Провериял полной проверкой Касперского, найденное вылечил (удалил), проблема осталась. Просит подтвердить учетки смс-кодом. Если смс не приходит то просит отправлять вручную на
Отправьте смс сообщение на номер 4016 (или 5014) с вашим личным идентификатором :009817812 . Полученный код подтверждения введите ниже.Вложение 410675Вложение 410676Вложение 410677
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) casperito, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
> Выполните скрипт в AVZ:
Код:
BEGIN
ClearQuarantine;
IF NOT IsWOW64 THEN
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
QuarantineFileF('C:\PROGRA~3\Mozilla', '*.*', false, '', 0, 0);
DeleteFile('C:\PROGRA~3\Mozilla\otgvcln.dll');
DeleteFileMask('C:\PROGRA~3\Mozilla','*',true);
DeleteDirectory('C:\PROGRA~3\Mozilla');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
END.
После выполнения скрипта компьютер будет перезагружен.
> Используйте ссылку "Прислать запрошенный карантин", которая находится над первым сообщением этой темы, чтобы прислать quarantine.zip.
> Повторите действия, указанные в правилах и подготовьте новые отчеты AVZ и hijackthis.
_________________
> как выполнить скрипт в AVZ
-
-
Junior Member
- Вес репутации
- 50
После выполнения скрипта проблема ушла. Сайты открываются как положено. Карантин отправил.
Прилагаю отчеты.
В чем была проблема? Вчера она проявилась после установки Мазилы с soft.yandex.ru. Неужели до этого уже был подменен этот сайт и я скачал зараженный дистрибутив?
-
> Выполните скрипт в AVZ:
Код:
BEGIN
IF NOT IsWOW64 THEN
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
DeleteFile('C:\PROGRA~3\Mozilla\otgvcln.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
END.
После выполнения скрипта компьютер будет перезагружен.
Повторите отчет syscheck
-
-
Junior Member
- Вес репутации
- 50
-
Не хочет уходить. Выполните последний скрипт еще раз в безопасном режиме.
-
-
Junior Member
- Вес репутации
- 50
Выполнил в безопасном, отчет собрал в обычном режиме.
-
Папку C:\PROGRA~3\Mozilla удалите
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
Папку удалил, лог прилагаю.
-
Чисто. МВАМ можно удалить. Проблема решена?
-
-
Junior Member
- Вес репутации
- 50
Спасибо большое! Проблема решена. Есть ли какие-то предложения, откуда появился вирус на компе?
После аванса с меня копеечка.
-
Нет, к сожалению, мы не отслеживаем сайты и ресурсы, распространяющие вредоносное ПО. Их слишком много.
Следуйте нашим рекомендациям после лечения и такие проблемы станут редкостью.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\\progra~3\\mozilla\\otgvcln.dll - Trojan-Ransom.Win32.Agent.hvr ( DrWEB: Trojan.Siggen5.1870, BitDefender: Gen:Variant.Kazy.156983, AVAST4: Win32:Kryptik-LGY [Trj] )
-