Заблокирован на Яндексе [Trojan.Win32.ShipUp.dhes, HEUR:Trojan.Win32.Generic ]

**Роман Павлов** · 08.07.2013, 14:35

Здравствуйте! При попытке зайти на поисковик яндекс через Гугл Хром или Мозиллу пишет:

ой...

Нам очень жаль, но запросы, поступившие с вашего IP-адреса, похожи на автоматические. По этой причине мы вынуждены временно заблокировать доступ к поиску.
Чтобы продолжить поиск, пожалуйста, введите свой номер телефона в поле ввода и нажмите «Отправить».

Введите номер телефона

Что делать если код не приходит?Если автоматические запросы действительно поступают с вашего компьютера и вы об этом знаете (например, вам по роду деятельности необходимо отправлять Яндексу подобные запросы), рекомендуем воспользоваться специально разработанным для этих целей сервисом Яндекс.XML.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 08.07.2013, 14:36

Уважаемый(ая) Роман Павлов, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Роман Павлов** · 08.07.2013, 15:36

Логи сканирования приложил к первому сообщению.

**Роман Павлов** · 09.07.2013, 10:50

Что еще необходимо сделать?

**Vvvyg** · 09.07.2013, 11:14

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\PROGRA~2\Mozilla\hvcqned.dll','');
 QuarantineFileF('C:\PROGRA~2\Mozilla', '*.exe', false,'', 0, 0, '', '', '');
 DeleteFileMask('C:\PROGRA~2\Mozilla', '*.exe', false);
 DeleteFile('C:\PROGRA~2\Mozilla\hvcqned.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Выполните в AVZ скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Сделайте полный образ автозапуска uVS.

**Роман Павлов** · 09.07.2013, 11:54

Все выполнил.

**Vvvyg** · 09.07.2013, 12:23

Выполните скрипт в uVS

Код:

;uVS v3.80.12 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

; C:\USERS\НОМЕ\APPDATA\LOCAL\MAIL.RU\MAILRUUPDATER.EXE
addsgn 1A16FB9A5583C58CF42B254E3143FE8E6082CF3FB2FED2D06195C5C84397F2B50E6532DA76B81EB03AF78AF54B4E1439F6DB25DEB18CB071EE72E0D038F9487D 24 Win32:Downloader-TPW [PUP] [Avast]

delref %SystemDrive%\PROGRA~2\MOZILLA\CYHWCLA.EXE
delref HTTP://SOFT0.0FEES.NET
delref %SystemDrive%\PROGRAM FILES\BABYLONTOOLBAR\BABYLONTOOLBAR\1.5.3.17\BH\BABYLONTOOLBAR.DLL
delref {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBC}\[CLSID]
delref HTTP://START.TICNO.COM?KEY=BBCAD17A-F56E-4F4D-B7AA-9A35EE887214
exec MsiExec.exe /quiet /X{26A24AE4-039D-4CA4-87B4-2F83216038FF}
restart

Компьютер перезагрузится.

Уведомление

Данный скрипт удалит все установленные версии Java, т. к. в них имеются критические ошибки, позволяющие выполнить вредоносный код в целевой системе. Проще говоря - при заходе на сайт с вредоносным кодом внедрить в систему без ведома пользователя трояна.
Если Java нужна, т.е. без неё не работают какие-либо сайты, онлайн-игры и т. п., скачайте и установите Java 7 Update 25. Для большинства сайтов Java не нужна и является потенциальной дырой в безопасности.

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

**Роман Павлов** · 09.07.2013, 13:35

Все выполнил.

**Vvvyg** · 09.07.2013, 13:42

Выполните рекомендации после лечения.

**CyberHelper** · 09.07.2013, 13:52

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 2
В ходе лечения обнаружены вредоносные программы:
1. c:\\progra~2\\mozilla\\cyhwcla.exe - HEUR:Trojan.Win32.Generic ( BitDefender: Trojan.GenericKDV.1095525, AVAST4: Win32:Malware-gen )
2. c:\\progra~2\\mozilla\\hvcqned.dll - Trojan.Win32.ShipUp.dhes ( BitDefender: Gen:Variant.Kazy.199540, AVAST4: Win32:Kryptik-MIN [Trj] )