Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 27.

Вирус дописывает java script на всех страницах, во всех браузерах [Backdoor.Win32.ZAccess.dkth ] (заявка № 145279)

  1. #1
    Junior Member Репутация
    Регистрация
    09.09.2013
    Сообщений
    15
    Вес репутации
    16

    Вирус дописывает java script на всех страницах, во всех браузерах [Backdoor.Win32.ZAccess.dkth ]

    Добрый день,
    Вирус дописывает код java script ко всеи страницам, на всех брайзерах.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,459
    Вес репутации
    342
    Уважаемый(ая) KirillVin1981, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,176
    Вес репутации
    1040
    Здравствуйте!

    Закройте все программы

    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)

    1. Выполните скрипт в АВЗ:

    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     if not IsWOW64
      then
       begin
        SearchRootkit(true, true);
        SetAVZGuardStatus(true);
       end;
     QuarantineFile('C:\Documents and Settings\All Users\Local Settings\Temp\msutvock.com','');
     QuarantineFile('C:\DOCUME~1\info4\LOCALS~1\Temp\wjdpviy.exe','');
     QuarantineFile('C:\DOCUME~1\info4\LOCALS~1\Temp\winlogon.exe','');
     DeleteFile('C:\DOCUME~1\info4\LOCALS~1\Temp\winlogon.exe','32');
     DeleteFile('C:\DOCUME~1\info4\LOCALS~1\Temp\wjdpviy.exe','32');
     DeleteFile('C:\Documents and Settings\All Users\Local Settings\Temp\msutvock.com','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','AdobeFlash');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','56582');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteWizard('SCU', 2, 3, true);
    BC_Activate;
     ExecuteRepair(10);
    RebootWindows(true);
    end.
    Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    2. Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы.

    3. Затем выполните такой скрипт AVZ. На рабочем столе появится текстовый файл Correct_wuauserv&BITS прикрепите его.

    4. Пофиксите следующие строчки в HiJackThis если они у вас есть.

    Код:
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT2481034&CUI=UN35541430091477021
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\info4\LOCALS~1\Temp\winlog on.exe,
    O4 - HKLM\..\Run: [AdobeFlash] C:\DOCUME~1\info4\LOCALS~1\Temp\wjdpviy.exe noproxy noicon hide nolog hosts=C:\DOCUME~1\info4\LOCALS~1\Temp\ibaqjez noddns noftp nopop3 nosmtp
    O4 - HKLM\..\Policies\Explorer\Run: [56582] C:\Documents and Settings\All Users\Local Settings\Temp\msutvock.com
    Этот ProxyServer = 5.9.238.23:808 прокси сервер сами прописывали?

    5. Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

    6. Сделайте лог полного сканирования MBAM (http://virusinfo.info/showthread.php?t=53070)
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  5. #4
    Junior Member Репутация
    Регистрация
    09.09.2013
    Сообщений
    15
    Вес репутации
    16

    ййй

    Михаил, добрый день,

    Все сделал по вашей инструкции.
    Прокси не прописывал.
    Оставил на ночь проверяться MBAM, комп всю ночь рассылал спам (если я правильно понял, порядка 500 входящих сообщений - невозможно доставить).
    Вложения Вложения

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,176
    Вес репутации
    1040
    Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).

    Код:
    Обнаруженные ключи в реестре:  5
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Dealply (PUP.DealPly.A) -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\tolko ti (Trojan.StartPage.ooo) -> Действие не было предпринято.
    HKCU\SOFTWARE\INSTALLCORE (PUP.Optional.InstallCore.A) -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\miss zaglotnik (Trojan.Agent.VBS) -> Действие не было предпринято.
    HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_*202EETADPUG (Rootkit.0Access) -> Действие не было предпринято.
    
    Обнаруженные параметры в реестре:
    HKCU\Software\InstallCore|tb (PUP.Optional.InstallCore.A) -> Параметры: 0H1M1F1J1T -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|56582 (Trojan.Agent) -> Параметры: C:\Documents and Settings\All Users\Local Settings\Temp\msutvock.com -> Действие не было предпринято.
    
    Обнаруженные папки:
    
    C:\Program Files\rib\tolko (Trojan.StartPage.ooo) -> Действие не было предпринято.
    C:\Program Files\minet\miss (Trojan.Agent.VBS) -> Действие не было предпринято.
    C:\Documents and Settings\info4\Application Data\Dealply (PUP.Optional.DealPly.A) -> Действие не было предпринято.
    C:\Documents and Settings\info4\Application Data\Dealply\UpdateProc (PUP.Optional.DealPly.A) -> Действие не было предпринято.
    C:\Documents and Settings\info4\Application Data\PriceGong (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
    C:\Documents and Settings\info4\Application Data\PriceGong\Data (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
    
    Обнаруженные файлы:
    C:\Documents and Settings\info4\Local Settings\Application Data\Google\Desktop\Install\{960041ca-301c-9f98-b731-0b868c018026}\❤≸⋙\Ⱒ☠⍨\*ﯹ๛\{960041ca-301c-9f98-b731-0b868c018026}\GoogleUpdate.exe (Malware.Packer.ASF) -> Действие не было предпринято.
    C:\Documents and Settings\All Users\Local Settings\Temp\msrizxaz.scr (Trojan.Crypt.NKN) -> Действие не было предпринято.
    C:\Documents and Settings\All Users\Local Settings\Temp\mssiyir.com (Trojan.Crypt.NKN) -> Действие не было предпринято.
    C:\Documents and Settings\All Users\Local Settings\Temp\msuvaj.cmd (Trojan.Crypt.NKN) -> Действие не было предпринято.
    C:\Documents and Settings\All Users\Local Settings\Temp\msybxq.cmd (Trojan.Crypt.NKN) -> Действие не было предпринято.
    C:\Documents and Settings\info4\Application Data\Dealply\UpdateProc\UpdateTask.exe (PUP.DealPly.A) -> Действие не было предпринято.
    C:\Documents and Settings\info4\Local Settings\Application Data\Google\Desktop\Install\{960041ca-301c-9f98-b731-0b868c018026}\❤≸⋙\Ⱒ☠⍨\*ﯹ๛\{960041ca-301c-9f98-b731-0b868c018026}\U\00000004.@ (Rootkit.Zaccess) -> Действие не было предпринято.
    C:\Documents and Settings\info4\Local Settings\Application Data\Google\Desktop\Install\{960041ca-301c-9f98-b731-0b868c018026}\❤≸⋙\Ⱒ☠⍨\*ﯹ๛\{960041ca-301c-9f98-b731-0b868c018026}\U\000000cb.@ (Rootkit.0Access) -> Действие не было предпринято.
    C:\Documents and Settings\info4\Local Settings\Application Data\Google\Desktop\Install\{960041ca-301c-9f98-b731-0b868c018026}\❤≸⋙\Ⱒ☠⍨\*ﯹ๛\{960041ca-301c-9f98-b731-0b868c018026}\U\80000000.@ (Trojan.0Access) -> Действие не было предпринято.
    c:\program files\google\desktop\install\{960041ca-301c-9f98-b731-0b868c018026}\   \   \*ﯹ๛\{960041ca-301c-9f98-b731-0b868c018026}\u\00000004.@ (Rootkit.Zaccess) -> Действие не было предпринято.
    c:\program files\google\desktop\install\{960041ca-301c-9f98-b731-0b868c018026}\   \   \*ﯹ๛\{960041ca-301c-9f98-b731-0b868c018026}\u\000000cb.@ (Rootkit.0Access) -> Действие не было предпринято.
    c:\program files\google\desktop\install\{960041ca-301c-9f98-b731-0b868c018026}\   \   \*ﯹ๛\{960041ca-301c-9f98-b731-0b868c018026}\u\80000000.@ (Trojan.0Access) -> Действие не было предпринято.
    C:\RECYCLER\S-1-5-21-1606980848-790525478-725345543-1004\Dc11.exe (Trojan.Agent.ED) -> Действие не было предпринято.
    C:\RECYCLER\S-1-5-21-1606980848-790525478-725345543-1004\Dc12.exe (Trojan.Buterat) -> Действие не было предпринято.
    C:\WINDOWS\assembly\GAC\Desktop.ini (Rootkit.0access) -> Действие не было предпринято.
    C:\WINDOWS\system32\drivers\etc\hоsts (Hijack.Trace) -> Действие не было предпринято.
    C:\Program Files\rib\tolko\okkkeeeyy.vbs (Trojan.StartPage.ooo) -> Действие не было предпринято.
    C:\Program Files\rib\tolko\10101001010100101010.ooo (Trojan.StartPage.ooo) -> Действие не было предпринято.
    C:\Program Files\rib\tolko\gogorun.bat (Trojan.StartPage.ooo) -> Действие не было предпринято.
    C:\Program Files\rib\tolko\lllll.ggggg (Trojan.StartPage.ooo) -> Действие не было предпринято.
    C:\Program Files\rib\tolko\malenkiversion.lub (Trojan.StartPage.ooo) -> Действие не было предпринято.
    C:\Program Files\rib\tolko\maromoika.foi (Trojan.StartPage.ooo) -> Действие не было предпринято.
    C:\Program Files\rib\tolko\tseplyat_telok.vbs (Trojan.StartPage.ooo) -> Действие не было предпринято.
    C:\Program Files\rib\tolko\Uninstall.exe (Trojan.StartPage.ooo) -> Действие не было предпринято.
    C:\Program Files\rib\tolko\Uninstall.ini (Trojan.StartPage.ooo) -> Действие не было предпринято.
    C:\Program Files\minet\miss\horocho_bistro.bat (Trojan.Agent.VBS) -> Действие не было предпринято.
    C:\Program Files\minet\miss\kjb4rtiyugwuiytefwil45hyopwegtruowet.sdfhisaugf (Trojan.Agent.VBS) -> Действие не было предпринято.
    C:\Program Files\minet\miss\lock_docg_snop_dog.rrr (Trojan.Agent.VBS) -> Действие не было предпринято.
    C:\Program Files\minet\miss\palachi_na_dibah.hhhh (Trojan.Agent.VBS) -> Действие не было предпринято.
    C:\Program Files\minet\miss\shabash.log (Trojan.Agent.VBS) -> Действие не было предпринято.
    C:\Program Files\minet\miss\smoki_mo_mo_mo.vbs (Trojan.Agent.VBS) -> Действие не было предпринято.
    C:\Program Files\minet\miss\trehochkovi_ne_dlya.vbs (Trojan.Agent.VBS) -> Действие не было предпринято.
    C:\Program Files\minet\miss\Uninstall.exe (Trojan.Agent.VBS) -> Действие не было предпринято.
    C:\Program Files\minet\miss\Uninstall.ini (Trojan.Agent.VBS) -> Действие не было предпринято.
    C:\Documents and Settings\info4\Application Data\Dealply\UpdateProc\config.dat (PUP.Optional.DealPly.A) -> Действие не было предпринято.
    C:\Documents and Settings\info4\Application Data\Dealply\UpdateProc\TTL.DAT (PUP.Optional.DealPly.A) -> Действие не было предпринято.
    C:\Documents and Settings\info4\Application Data\PriceGong\Data\1.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
    C:\Documents and Settings\info4\Application Data\PriceGong\Data\a.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
    C:\Documents and Settings\info4\Application Data\PriceGong\Data\b.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
    C:\Documents and Settings\info4\Application Data\PriceGong\Data\c.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
    C:\Documents and Settings\info4\Application Data\PriceGong\Data\d.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
    C:\Documents and Settings\info4\Application Data\PriceGong\Data\e.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
    C:\Documents and Settings\info4\Application Data\PriceGong\Data\f.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
    C:\Documents and Settings\info4\Application Data\PriceGong\Data\g.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
    C:\Documents and Settings\info4\Application Data\PriceGong\Data\h.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
    C:\Documents and Settings\info4\Application Data\PriceGong\Data\i.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
    C:\Documents and Settings\info4\Application Data\PriceGong\Data\j.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
    C:\Documents and Settings\info4\Application Data\PriceGong\Data\k.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
    C:\Documents and Settings\info4\Application Data\PriceGong\Data\l.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
    C:\Documents and Settings\info4\Application Data\PriceGong\Data\m.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
    C:\Documents and Settings\info4\Application Data\PriceGong\Data\mru.xml (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
    C:\Documents and Settings\info4\Application Data\PriceGong\Data\n.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
    C:\Documents and Settings\info4\Application Data\PriceGong\Data\o.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
    C:\Documents and Settings\info4\Application Data\PriceGong\Data\p.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
    C:\Documents and Settings\info4\Application Data\PriceGong\Data\q.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
    C:\Documents and Settings\info4\Application Data\PriceGong\Data\r.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
    C:\Documents and Settings\info4\Application Data\PriceGong\Data\s.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
    C:\Documents and Settings\info4\Application Data\PriceGong\Data\t.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
    C:\Documents and Settings\info4\Application Data\PriceGong\Data\u.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
    C:\Documents and Settings\info4\Application Data\PriceGong\Data\v.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
    C:\Documents and Settings\info4\Application Data\PriceGong\Data\w.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
    C:\Documents and Settings\info4\Application Data\PriceGong\Data\x.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
    C:\Documents and Settings\info4\Application Data\PriceGong\Data\y.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
    C:\Documents and Settings\info4\Application Data\PriceGong\Data\z.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
    После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

    1. Скачайте TDSSKiller
    2. Запустите файл TDSSKiller.exe.
    3. Нажмите кнопку "Начать проверку". Не меняйте настройки сканирования по умолчанию.
    4. В процессе проверки могут быть обнаружены объекты двух типов:
      • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
      • подозрительные (тип вредоносного воздействия точно установить невозможно).
    5. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
    6. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
    7. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
    8. Самостоятельно без указания консультанта ничего не удаляйте!!!
    9. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
    10. Прикрепите лог утилиты к своему следующему сообщению
    По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
    Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
    Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  7. #6
    Junior Member Репутация
    Регистрация
    09.09.2013
    Сообщений
    15
    Вес репутации
    16
    От интернета нужно отключиться?
    На почту идет бесконечным потоком - Mail delivery failed: returning message to sender

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,176
    Вес репутации
    1040
    Да лучше отключиться.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  9. #8
    Junior Member Репутация
    Регистрация
    09.09.2013
    Сообщений
    15
    Вес репутации
    16
    Добрый день,

    Логи вложением.
    Вложения Вложения

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,176
    Вес репутации
    1040
    1. Отключите восстановление системы, затем удалите все точки восстановления системы. Потом включите обратно и создайте новую точку восстановления системы.

    2. Запакуйте целиком эту C:\TDSSKiller_Quarantine папку с паролем virus и пришлите согласно приложения 2 "Прислать запрошенный карантин".

    3. Удалите в MBAM:

    Код:
    C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.
    4. Проверьте эти файлы на virustotal
    Код:
    C:\Documents and Settings\info4\Application Data\HoolappForAndroid\Hoolapp.exe
    C:\Program Files\Sigma-Soft\ORM32\OrmAdm32.dll
    кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  11. #10

  12. #11

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,176
    Вес репутации
    1040
    Удалите в MBAM:

    Код:
    Обнаруженные параметры в реестре:  1
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Hoolapp Android (PUP.Optional.InstallCore.A) -> Параметры: "C:\DOCUME~1\info4\APPLIC~1\HOOLAP~1\Hoolapp.exe" /Minimized -> Действие не было предпринято.
    
    Обнаруженные файлы:
    C:\Documents and Settings\info4\Application Data\HoolappForAndroid\Hoolapp.exe (PUP.Optional.InstallCore.A) -> Действие не было предпринято.
    Сделайте новый лог MBAM
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  14. #13
    Junior Member Репутация
    Регистрация
    09.09.2013
    Сообщений
    15
    Вес репутации
    16
    Добрый день,

    Готово!
    Вложения Вложения

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,176
    Вес репутации
    1040
    Закройте все программы

    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)

    Выполните скрипт в АВЗ:

    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     if not IsWOW64
      then
       begin
        SearchRootkit(true, true);
        SetAVZGuardStatus(true);
       end;
     ClearQuarantine;
     QuarantineFile('C:\RECYCLER\S-1-5-21-1606980848-790525478-725345543-1004\Dc24.rar','Backdoor.Win32.ZAccess');
     QuarantineFile('C:\RECYCLER\S-1-5-21-1606980848-790525478-725345543-1004\Dc25.rar','Backdoor.Win32.ZAccess');
     DeleteFile('C:\RECYCLER\S-1-5-21-1606980848-790525478-725345543-1004\Dc24.rar','32');
     DeleteFile('C:\RECYCLER\S-1-5-21-1606980848-790525478-725345543-1004\Dc25.rar','32');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteWizard('SCU', 2, 2, true);
    BC_Activate;
    RebootWindows(true);
    end.
    Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы.

    Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  16. #15
    Junior Member Репутация
    Регистрация
    09.09.2013
    Сообщений
    15
    Вес репутации
    16
    Готово!
    Вложения Вложения

  17. #16
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,176
    Вес репутации
    1040
    Закройте все программы

    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)

    Выполните скрипт в АВЗ:

    Код:
    var j:integer; NumStr:string;
    begin
    for j:=0 to 999 do
     begin
        if j=0 then
            NumStr:='CurrentControlSet' else
            if j<10 then
                NumStr:='ControlSet00'+IntToStr(j) else
                if j<100 then
                    NumStr:='ControlSet0'+IntToStr(j) else
                    NumStr:='ControlSet'+IntToStr(j);
     if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then
      begin
      RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS');
      RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
      AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.');
      end;
     if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wscsvc') then
      begin
      RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wscsvc');
      RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wscsvc', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
      AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wscsvc исправлено на оригинальное.');
      end;
     end;
    SaveLog(GetAVZDirectory + 'Restore.log');
    end.
    Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки: файл Restore.log из папки AVZ прикрепите.

    Пофиксите следующие строчки в HiJackThis если они у вас есть.

    Код:
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 5.9.238.23:808
    Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

    - - - Добавлено - - -

    + Не увидел нового карантина.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  18. #17
    Junior Member Репутация
    Регистрация
    09.09.2013
    Сообщений
    15
    Вес репутации
    16
    сори, карантин отправил.

  19. #18
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,176
    Вес репутации
    1040
    Ждем новые логи.

    P.S. Во всех карантинах целый зоопарк.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  20. #19
    Junior Member Репутация
    Регистрация
    09.09.2013
    Сообщений
    15
    Вес репутации
    16
    Сделано!
    Вложения Вложения

  21. #20
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,176
    Вес репутации
    1040
    Выполните скрипт в AVZ:

    Код:
    begin   
    BackupRegKey('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\BITS','Parameters_1');
    BackupRegKey('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\wuauserv','Parameters_2');
    end.
    После выполнения в папке avz появится папка Backup в которой будет еще одна папка с датой выполнения этого скрипта, в которой в свою очередь будут reg-файлы. Запакуйте их в архив и прикрепите в сообщении.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  • Уважаемый(ая) KirillVin1981, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 2
      Последнее сообщение: 15.04.2013, 21:29
    2. Ответов: 2
      Последнее сообщение: 18.03.2013, 08:56
    3. Ответов: 8
      Последнее сообщение: 05.02.2013, 17:59
    4. Ответов: 15
      Последнее сообщение: 04.02.2013, 19:40
    5. Ответов: 5
      Последнее сообщение: 29.01.2013, 22:35

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00995 seconds with 17 queries