Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 23.

URL: Mal [Trojan.Win64.Patched.bj ] (заявка № 143741)

  1. #1
    Junior Member Репутация
    Регистрация
    06.09.2012
    Сообщений
    47
    Вес репутации
    20

    URL: Mal [Trojan.Win64.Patched.bj ]

    Подцепил такую заразу - троян маячок (кажется, так называется). Думаю, всему виной скачка брата чит-программ для игр. Теперь вирус подменяет почти все адреса на другие (к примеру, вместо vk.com - smile-vk.ru). Уже создавал по этому поводу тему, тот же вид вируса был.Тогда всему виной был ext_driver.exe в папке Windows. Теперь уж не знаю, что...

    P.S.
    Во время сканирования АВЗ Аваст пометил программу, как троян.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,458
    Вес репутации
    342
    Уважаемый(ая) alexlogroman, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. Это понравилось:


  5. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,559
    Вес репутации
    836
    Пофиксите в HijackThis:
    Код:
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://sindex.biz/?company=5
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://sindex.biz/?company=5
    Выполните скрипт в AVZ:
    Код:
    begin
     QuarantineFile('C:\Users\ALEX-A~1\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE','');
     QuarantineFile('C:\Users\Alex-Andrey\AppData\Local\Schedule\Schedule.exe','');
     DeleteFile('C:\Users\Alex-Andrey\AppData\Local\Schedule\Schedule.exe');
     DeleteFile('C:\Users\ALEX-A~1\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE');
     DeleteFile('C:\Windows\Tasks\DSite.job');
    ExecuteWizard('SCU',3,3,true);
    RebootWindows(true);
    end..
    Компьютер перезагрузится.
    Выполните в AVZ скрипт:
    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    Сделайте новые логи версией AVZ 4.41, ссылка на скачивание - в правилах. Предварительно обновите базы.
    WBR,
    Vadim

  6. Это понравилось:


  7. #4
    Junior Member Репутация
    Регистрация
    06.09.2012
    Сообщений
    47
    Вес репутации
    20
    Вот новые логи. Антивирус все равно ругается.
    P.S. Я нечаянно профиксил ВСЕ в HijackThis. Это не опасно?


    АВЗ почему то создал карантин-папку. В архиве папка Quarantine
    Последний раз редактировалось alexlogroman; 13.08.2013 в 08:35.

  8. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,559
    Вес репутации
    836
    Цитата Сообщение от alexlogroman Посмотреть сообщение
    P.S. Я нечаянно профиксил ВСЕ в HijackThis. Это не опасно?
    Это может привести к неработоспособности системы. Запустите HijackThis снова, выберите "View the list of backups", отметьте там всё, кроме того, что я написал в сообщении #3 и восстановите. Затем сделайте новый лог HijackThis.
    information

    Уведомление

    И сделайте логи AVZ версией 4.41 с обновлёнными базами.

    WBR,
    Vadim

  9. Это понравилось:


  10. #6
    Junior Member Репутация
    Регистрация
    06.09.2012
    Сообщений
    47
    Вес репутации
    20
    Вот с последней версией и обновленными базами

    И еще. Ваш фикс помог моему антивирусу обновиться (раньше писал, что невозможно)

  11. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,559
    Вес репутации
    836
    Удалите BrowserDefender (может называться BrowserProtect) через панель управления.

    Выполните скрипт в AVZ:
    Код:
    begin
     DelBHO('{4B4D5056-3600-A76A-76A7-7A786E7484D7}');
     DeleteFile('C:\Windows\system32\Tasks\DealPlyUpdate','64');
     DeleteFile('C:\Windows\system32\Tasks\pxreozj','64');
    RebootWindows(false);
    end.
    Компьютер перезагрузится.

    Сделайте полный образ автозапуска uVS, только программу скачайте отсюда.
    WBR,
    Vadim

  12. Это понравилось:


  13. #8
    Junior Member Репутация
    Регистрация
    06.09.2012
    Сообщений
    47
    Вес репутации
    20
    Вот
    Проблема осталась ( вместо URL: Mal вылезает URL: Mal2 )

  14. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,559
    Вес репутации
    836
    Выполните скрипт в uVS:
    Код:
    ;uVS v3.80.17 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    
    offsgnsave
    
    ; C:\USERS\ALEX-ANDREY\APPDATA\ROAMING\DEALPLY\UPDATEPROC\UPDATETASK.EXE
    addsgn A7679B23526A4C7261D4C4B12DBDEB549D06E8B78912614E7A3CF67C05BEE25A6217A7A80E311469C3539560B99389F5F980E9725532B2B2D288296A2BEED44D 24 PUP.UpdateTask
    
    zoo %Sys32%\RPCSS.DLL
    delref HTTP://SINDEX.BIZ/?COMPANY=5
    delref %SystemDrive%\USERS\ALEX-ANDREY\APPDATA\LOCAL\SCHEDULE\SCHEDULE.EXE
    delref %SystemDrive%\PROGRAM FILES\ZAXAR\ZAXARLOADER.EXE
    delref HTTP://YAMBLER.NET/?IQ
    delref 2498909670.PORTAL.QTRAX.COM
    zoo %SystemDrive%\USERS\ALEX-ANDREY\APPDATA\ROAMING\DEALPLY\UPDATEPROC\UPDATETASK.EXE
    chklst
    delvir
    
    exec "C:\Users\Alex-Andrey\AppData\Roaming\BabSolution\Shared\GUninstaller.exe" -key "Delta Chrome Toolbar" -rmkey
    exec C:\Program Files (x86)\DealPly\uninst.exe
    exec "C:\Program Files (x86)\Delta\delta\1.8.16.16\GUninstaller.exe" -uprtc -key "delta"
    exec MsiExec.exe /quiet /X{26A24AE4-039D-4CA4-87B4-2F83217021FF}
    exec "C:\Program Files (x86)\PANDORA.TV\PanService\unins000.exe"
    zoo C:\Program Files (x86)\ne_dovodi_do_predela\voobshem\Uninstall.exe
    uidel C:\Program Files (x86)\ne_dovodi_do_predela\voobshem\Uninstall.exe
    deltmp
    czoo
    restart
    На вопросы об удалении программ рекомендую соглашаться.
    Компьютер перезагрузится.

    information

    Уведомление

    Данный скрипт удалит все устаревшие версии Java, т. к. в них имеются критические ошибки, позволяющие выполнить вредоносный код в целевой системе. Проще говоря - при заходе на сайт с вредоносным кодом внедрить в систему без ведома пользователя трояна.
    Скачайте и установите Java 7 Update 25. Уязвимости Java являются частой причиной взлома и заражения системы и поэтому это потенциальная дыра в безопасности




    В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    Скачайте AdwCleaner (by Xplode) и сохраните его на рабочем столе. Запустите его (в Windows Vista/7 необходимо запускать по правой кнопке мыши от имени администратора), нажмите кнопку "Search" и дождитесь окончания сканирования.
    Когда сканирование будет завершено, отчет будет сохранен в файле C:\AdwCleaner[R1].txt. Прикрепите отчет к своему следующему сообщению.
    WBR,
    Vadim

  15. Это понравилось:


  16. #10
    Junior Member Репутация
    Регистрация
    06.09.2012
    Сообщений
    47
    Вес репутации
    20
    Вот

    анвир ругается на сайты, и пишет smiles-vk.ru/scripts/... и куча цифр и букв. Все так же
    Последний раз редактировалось alexlogroman; 13.08.2013 в 11:27.

  17. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,559
    Вес репутации
    836
    Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/7 необходимо запускать по правой кнопке мыши от имени администратора), нажмите кнопку "Delete" и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен как C:\AdwCleaner[S1].txt. Прикрепите отчет к своему следующему сообщению.
    Внимание! Для успешного удаления может потребоваться перезагрузка компьютера.

    Скачайте утилиту OTL by OldTimer. Запустите OTL.EXE, установите галочки в следующих пунктах настройки:

    Scan All Users
    Include 64Bit Scans - в случае 64-разрядной системы;
    Output: Minimal Output;
    File Scans: Use Company-Name WhiteList и Skip Microsoft Files;
    Lop Check;
    Purity Check;

    Остальные параметры оставьте по умолчанию и нажмите Run Scan. По окончании сканирования программа создаст в той же папке, где находится она сама, два файла: OTL.txt и Extras.txt. Упакуйте их в архив и прикрепите к своему следующему сообщению.
    WBR,
    Vadim

  18. Это понравилось:


  19. #12
    Junior Member Репутация
    Регистрация
    06.09.2012
    Сообщений
    47
    Вес репутации
    20
    Вот
    Последний раз редактировалось alexlogroman; 13.08.2013 в 13:15.

  20. #13
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,353
    Вес репутации
    3019
    C:\WINDOWS\SYSTEM32\RPCSS.DLL замените чистым с дистрибутива http://virusinfo.info/showthread.php?t=51654 или скопируйте с аналогичной системы
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  21. Это понравилось:


  22. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,559
    Вес репутации
    836
    Отключите антивирус, запустите OTL, скопируйте скрипт ниже в окно Custom Scans/Fixes и нажмите Run Fix
    Код:
    :processes
    
    :OTL
    IE - HKU\S-1-5-21-245592117-2377087973-4154077892-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://sindex.biz/?company=5
    [2013.08.12 19:52:35 | 000,000,000 | ---D | M] (TrollBar) -- C:\Users\Alex-Andrey\AppData\Roaming\mozilla\Firefox\Profiles\nahd6ha2.default\extensions\likesmile@new-net.ru
    @Alternate Data Stream - 132 bytes -> C:\ProgramData\TEMP:74603393
    
    :Files
    
    recycler /alldrives
    ipconfig /flushdns /c
    :Reg
    
    :Commands
    [EMPTYTEMP]
    [EMPTYJAVA]
    [EMPTYFLASH]
    [purity]
    [Reboot]
    Компьютер перезагрузится и откроет в блокноте лог выполнения скрипта, прикрепите его к своему следующему сообщению.

    Очистите кэш и cookies-файлы браузеров.
    Проверьте проблему.
    WBR,
    Vadim

  23. Это понравилось:


  24. #15
    Junior Member Репутация
    Регистрация
    06.09.2012
    Сообщений
    47
    Вес репутации
    20
    Проблема не исчезла. Скажите имя файла, который я должен прикрепить. После перезагрузки у меня на минуту завис рабочий стол (explorer.exe еще не запустился), и больше ничего

  25. #16
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,353
    Вес репутации
    3019
    Сообщение №13 читали? Выполняли?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  26. Это понравилось:


  27. #17
    Junior Member Репутация
    Регистрация
    06.09.2012
    Сообщений
    47
    Вес репутации
    20
    Цитата Сообщение от thyrex Посмотреть сообщение
    Сообщение №13 читали? Выполняли?
    Нет возможности выполнить. Загрузочного диска Windows нет

    - - - Добавлено - - -

    Нашел лог после ребута

  28. #18
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,353
    Вес репутации
    3019
    Цитата Сообщение от thyrex Посмотреть сообщение
    или скопируйте с аналогичной системы
    До этого дочитали?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  29. Это понравилось:


  30. #19
    Junior Member Репутация
    Регистрация
    06.09.2012
    Сообщений
    47
    Вес репутации
    20
    Цитата Сообщение от thyrex Посмотреть сообщение
    До этого дочитали?
    Опять нет Нет аналогичной системы

  31. #20
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,559
    Вес репутации
    836
    Скачайте такой хотфикс, запустите, будет распакован файл обновления Windows6.1-KB2401588-x64.msu . Запустите его установку вручную, по завершении перезапустите систему и проверьте проблему. Если осталась - подробнее - в каких броузерах, на какие сайты перенаправление.
    WBR,
    Vadim

  32. Это понравилось:


  • Уважаемый(ая) alexlogroman, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00934 seconds with 15 queries