-
Junior Member
- Вес репутации
- 59
Всплывающий баннер с рекламой + не могу попасть на сайт virusinfo [Trojan.Win32.Jorik.Buterat.aazw
]
Доброго времени суток! Вчера Google и Яндекс вывесили сообщение "Мы зарегистрировали подозрительный трафик, исходящий из вашей сети. С помощью этой страницы мы сможем определить, что запросы отправляете именно вы, а не робот." И требовался номер телефона. Утилитой CureIt выловился троян и вроде бы как проблема ушла. Но сегодня стал всплывать баннер в левом углу с неприличным содержанием, а при попытке зайти на главную странику virusinfo браузер перенаправляет на Яндекс. При попытке зайти на внутренние страницы форума virusinfo просто высвечивается ошибка 404. Так что просьбу о помощи пишу с другого домашнего компа.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) atkins, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
> Выполните скрипт в AVZ:
Код:
BEGIN
ClearQuarantine;
IF NOT IsWOW64 THEN
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
QuarantineFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\Mozilla\wwotlyf.exe','');
QuarantineFile('C:\WINDOWS\TEMP\mr7s2ipi.exe','');
DeleteFile('C:\WINDOWS\TEMP\mr7s2ipi.exe');
DeleteFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\Mozilla\wwotlyf.exe');
DeleteFile('C:\WINDOWS\Tasks\13o2.job');
DeleteFile('C:\WINDOWS\Tasks\czkjyya.job');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('SCU',2,2,true);
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
END.
После выполнения скрипта компьютер будет перезагружен.
> Используйте ссылку "Прислать запрошенный карантин", которая находится над первым сообщением этой темы, чтобы прислать quarantine.zip.
> Повторите действия, указанные в правилах и подготовьте новые отчеты AVZ и hijackthis.
_________________
> как выполнить скрипт в AVZ
-
-
Junior Member
- Вес репутации
- 59
Карантин загрузил. Новые логи прилагаю. На сайт virusinfo все еще попасть немогу - перенаправляюсь на яндекс.
-
> Выполните скрипт в AVZ:
Код:
BEGIN
ClearQuarantine;
IF NOT IsWOW64 THEN
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
QuarantineFileF('C:\DOCUME~1\ALLUSE~1\APPLIC~1\Mozilla', '*.*', false, '', 0, 0);
DeleteFileMask('C:\DOCUME~1\ALLUSE~1\APPLIC~1\Mozilla','*',true);
DeleteDirectory('C:\DOCUME~1\ALLUSE~1\APPLIC~1\Mozilla');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(20);
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine_2.zip');
RebootWindows(true);
END.
После выполнения скрипта компьютер будет перезагружен.
> Используйте ссылку "Прислать запрошенный карантин", которая находится над первым сообщением этой темы, чтобы прислать quarantine_2.zip.
> Повторите действия, указанные в правилах и подготовьте новые отчеты AVZ и hijackthis.
_________________
> как выполнить скрипт в AVZ
-
-
Junior Member
- Вес репутации
- 59
Карантин выслать не могу - пишет сообщение Ошибка загрузки. Данный файл уже был загружен. А я ничего не загружал.
Новые логи прилагаю.
-
-
-
Junior Member
- Вес репутации
- 59
Все вредители наместе. Ничего не изменилось.
-
-
-
Junior Member
- Вес репутации
- 59
У меня стоит антивирус ESET NOD32 Antivirus 4.0 и я не знаю как его отключать. Пробовал через Ctrl+Alt+Del и принудительно останосить проесс, но в доступе отказано. Как его отключить?
Сорри, разобрался.
- - - Добавлено - - -
Сделал.
Последний раз редактировалось atkins; 24.03.2013 в 01:50.
-
-
-
Junior Member
- Вес репутации
- 59
-
Сделайте новые отчеты AVZ.
-
-
Junior Member
- Вес репутации
- 59
-
- Пофиксите в HijackThis:
Код:
O17 - HKLM\System\CCS\Services\Tcpip\..\{44116301-C358-4293-AD62-CCED1DCF4D02}: NameServer = 193.111.137.199
O17 - HKLM\System\CS1\Services\Tcpip\..\{44116301-C358-4293-AD62-CCED1DCF4D02}: NameServer = 193.111.137.199
O17 - HKLM\System\CS2\Services\Tcpip\..\{44116301-C358-4293-AD62-CCED1DCF4D02}: NameServer = 193.111.137.199
- Очистите кеш и куки браузеров
- Установите SP3 (может потребоваться активация), а также все доступные обновления для Windows
Повторите логи.
-
-
Junior Member
- Вес репутации
- 59
Проблемы ушли. Спасибо огромное!
Попутно вопрос: как удалить за ненадобностью все ранее загруженные логи из моего профиля? Самым старым уже по несколько лет.
-
Сообщение от
atkins
Попутно вопрос: как удалить за ненадобностью все ранее загруженные логи из моего профиля?
Мой кабинет - вложения
- Удалите ComboFix.
В логах порядок, обязательно обновитесь!
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\temp\\mr7s2ipi.exe - Trojan.Win32.Jorik.Buterat.aazw ( BitDefender: Gen:Variant.Symmi.16239, AVAST4: Win32:Malware-gen )
-