Показано с 1 по 20 из 20.

Нагуглил вирус (заявка № 92971)

  1. #1
    Junior Member Репутация
    Регистрация
    04.08.2008
    Сообщений
    32
    Вес репутации
    58

    Thumbs up Нагуглил вирус

    Доброй ночи.
    Искал в гугле "две аватарки вконтакте" или очень похожее, нашел вместо того вирус.
    После того как зашел на вредоносный сайт, у меня изменилась заставка рабочего стола на чёрный,
    открылось окошко с сообщением HDD scan, всё на английском, я сначала подумал что это мой
    родной виндовс это предлагает - нажал сканировать, через несколько минут после этого виндовс
    самопроизвольно перезагрузился. После того как загрузился снова,
    внизу слева, там где значки, появился красный перечёркнутый кружочек, наведя на него курсор
    пишеться windows security alert и с пугающей периодичностью примерно каждые 10 секунд
    постоянно выскакивает сообщение critical error, и ещё несколько явных признаков,
    зараженного компьютера.
    Сканирование антивирусом NOD результатов не дало, вирусов не обнаружено.
    По инструкции AVPTool нашло 14 или 15 вредоносных программ, были ли они удалены
    так и не понял. Проверьте пожалуйста!

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    04.08.2008
    Сообщений
    32
    Вес репутации
    58
    Логи
    Вложения Вложения

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    222
    Отключите восстановление системы.

    Выполните скрипт в avz
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelBHO('{92860A02-4D69-48c1-82D7-EF6B2C609502}');
     QuarantineFile('C:\Program Files\BitAccelerator\BitAccelerator.dll','');
     QuarantineFile('C:\Windows\TEMP\98e1f1.exe','');
     QuarantineFile('C:\Windows\TEMP\98b291','');
     QuarantineFile('C:\Windows\TEMP\233627','');
     QuarantineFile('C:\Windows\TEMP\168188281','');
     QuarantineFile('C:\Users\Usver\AppData\Local\motrACPC.dll','');
     QuarantineFile('C:\Users\Usver\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\a_fa6cc2b4[1].jpg','');
     DeleteFile('C:\Windows\TEMP\168188281');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','168188281');
     DeleteFile('C:\Windows\TEMP\233627');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','233627');
     DeleteFile('C:\Windows\TEMP\98b291');
     DeleteFile('C:\Windows\TEMP\98e1f1.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','98e1f1');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','98b291');
     DeleteFile('C:\Program Files\BitAccelerator\BitAccelerator.dll');
    DeleteFileMask('C:\Program Files\BitAccelerator', '*.*', true);
    DeleteDirectory('C:\Program Files\BitAccelerator');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(11);
    RebootWindows(true);
    end.
    ПК перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Ваш ДНС 193.17.208.254 ?

    Сделайте новые логи.

  5. #4
    Junior Member Репутация
    Регистрация
    04.08.2008
    Сообщений
    32
    Вес репутации
    58
    Подскажите как узнать мой днс?

    Мой айпи очень похож 193.17.208.90

  6. #5
    Junior Member Репутация
    Регистрация
    04.08.2008
    Сообщений
    32
    Вес репутации
    58
    Основные признаки вирусов пропали, но при пользовании браузером IE при
    открытии новой вкладки иногда она как бы не загрузаетсья, её нельзя
    ни задействовать, ни закрыть. Приходиться закрывать через диспетчер задач весь браузер.
    До попадания вируса на компьютер такого никогда не было.
    Надеюсь на вашу помощь.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    763
    Цитата Сообщение от Mirovoy Посмотреть сообщение
    Подскажите как узнать мой днс?
    Мой айпи очень похож 193.17.208.90
    Уточнить в службе поддержки провайдера, какой должен стоять ДНС.

  8. #7
    Junior Member Репутация
    Регистрация
    04.08.2008
    Сообщений
    32
    Вес репутации
    58
    Всё верно, мой ДНС 193.17.208.254. Сказали в службе поддержки моего провайдера.
    Жду дальнейщих инструкций

    Добавлено через 4 часа 28 минут

    IE иногда подозрительно тормозит и зависает =(
    Нод время от времени выдаёт сообщение что адрес заблокирован
    (каждый раз разный) ещё ниже какой то IP.
    Последний раз редактировалось Mirovoy; 06.12.2010 в 01:27. Причина: Добавлено

  9. #8
    Junior Member Репутация
    Регистрация
    04.08.2008
    Сообщений
    32
    Вес репутации
    58
    Многоуважаемые хэлперы! я вас очень жду

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Пофиксите в HijackThis:
    Код:
    O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - (no file)
    O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file)
    O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programs\PartyGaming\PartyPoker\RunApp.exe (file missing)
    O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programs\PartyGaming\PartyPoker\RunApp.exe (file missing)
    Больше ничего плохого в логах не видно.

    Откройте Свойства обозревателя, вкладку Дополнительно и нажмите кнопку Сброс.
    I am not young enough to know everything...

  11. #10
    Junior Member Репутация
    Регистрация
    04.08.2008
    Сообщений
    32
    Вес репутации
    58
    Ребята, не помогло

    NOD с периодичностью примерно раз в пол часа по прежнему выдаёт сообщение что блокирован такой то сайт, IP такой то.

    IE Очень часто подвисает. Тормозит.

    Начала выскакивать окошко с ошибкой сразу после загрузки windows
    "Ошибка при загрузке C:\Users\Usver\AppData\Local\motrACPC.dll"
    (Это началось после фикса в HijackThis)

    Перестал работать вход по отпечаткам пальцев в IE (я к нему очень привык) да и в целях безопасности постоянно им пользовался.

    И ещё, извините за нескромный вопрос, но не помещают ли вот этот фикс в HijackThis

    O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programs\PartyGaming\PartyPoker\RunApp.exe (file missing)

    O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programs\PartyGaming\PartyPoker\RunApp.exe (file missing)

    Они (PartyPoker.com) могут обнаружить это? и потом говорить что я вот такой плохой человек заблокировал некоторые возможности программы и теперь мы тебя заблокируем!

    А ещё один раз компьютер упал с помощью синего экрана

    Очень не хотелось бы переустанавливать виндовс, он у меня лицензионный шел вместе с ноутбуком, но диска нет. А не лицензию я не уважаю...

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Цитата Сообщение от Mirovoy Посмотреть сообщение
    не помещают ли вот этот фикс в HijackThis
    Не помешает, т.к. соответствующего файла на диске нет, это просто пустышка в реестре. Впрочем, можете и не фиксить, это не имеет большого значения.
    I am not young enough to know everything...

  13. #12
    Junior Member Репутация
    Регистрация
    04.08.2008
    Сообщений
    32
    Вес репутации
    58
    На счёт входа по отпечаткам вопрос решился.

    По вирусу я так понял вы мне больше помочь не можете?

  14. #13
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  15. #14
    Junior Member Репутация
    Регистрация
    04.08.2008
    Сообщений
    32
    Вес репутации
    58
    Честно признаться, что нашлось - удалил сразу, в печёнках у меня уже этот вирус, неделю удаляю. Вот лог.
    Проблемы с браузером и сообщение нода о блокировке некоего сайта по прежнему остались
    Последний раз редактировалось Mirovoy; 10.12.2010 в 07:07.

  16. #15
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Сделайте лог ComboFix
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  17. #16
    Junior Member Репутация
    Регистрация
    04.08.2008
    Сообщений
    32
    Вес репутации
    58
    Цитата Сообщение от thyrex Посмотреть сообщение
    Сделайте лог ComboFix
    8 раз запускал, все закончились синим экраном, рано или поздно.
    Продолжать попытки?

  18. #17
    Junior Member Репутация
    Регистрация
    04.08.2008
    Сообщений
    32
    Вес репутации
    58
    Попробовал в безопасном режиме - получилось, утилитка что то пофиксила и после этого получилось и при обычной загрузке виндовса.
    Пока что прежних проблем не замечаю. Лог.

  19. #18
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    \\.\PhysicalDrive0 - Bootkit TDL4 was found and disinfected
    Придраться больше не к чему

    Удалите ComboFix
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  20. #19
    Junior Member Репутация
    Регистрация
    04.08.2008
    Сообщений
    32
    Вес репутации
    58
    Удалил.
    Благодарю всех хэлперов за Ваш труд!

  21. #20
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 19
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\users\\usver\\appdata\\local\\motracpc.dll - Trojan-Downloader.Win32.Mufanom.asel ( DrWEB: Trojan.Hiloti.based.2, BitDefender: Gen:Variant.Kazy.3358, AVAST4: Win32:MalOb-DT [Cryp] )


  • Уважаемый(ая) Mirovoy, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00597 seconds with 19 queries