Решена carberp; vbs malware-gen

Тема в разделе "Лечение компьютерных вирусов", создана пользователем whittery, 17 дек 2012.

Статус темы:
Закрыта.
  1. whittery
    Оффлайн

    whittery Новый пользователь

    Сообщения:
    14
    Симпатии:
    0
    Добрый день, помогите разобраться.
    На днях начали появлятся непонятные рекламные банеры во время серфинга по сети, так же непонятно с какого перепуга стартовой страничкой во всех браузерах стал mailrusearch.ru. Решил проверить на вирусы программой dr.web cure it. нашло те, что указаны в заголовке темы, удалить не получилось.
    Аваст все это не спалил, фул чек делал, результат нулевой.
     

    Вложения:

    • virusinfo_syscure.zip
      Размер файла:
      34,5 КБ
      Просмотров:
      2
    • virusinfo_syscheck.zip
      Размер файла:
      33,9 КБ
      Просмотров:
      0
    • log.txt
      Размер файла:
      36,4 КБ
      Просмотров:
      1
    • info.txt
      Размер файла:
      37,2 КБ
      Просмотров:
      0
  2. Ботан
    Оффлайн

    Ботан Злостный спам-бот

    Сообщения:
    1.092
    Симпатии:
    194
    Приветствую whittery, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
    __________________________________________________

    Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
    • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
    Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



    ***​


    Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


    ***​


    Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
    __________________________________________________
    С уважением, администрация SafeZone.
     
  3. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.596
    "Пофиксите" в HijackThis:
    Код (Text):
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxxi.biz
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mailrusearch.ru
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxxi.biz
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxxi.biz
    R3 - URLSearchHook: (no name) -  - (no file)
    O17 - HKLM\System\CCS\Services\Tcpip\..\{846ee342-7039-11de-9d20-806e6f6e6963}: NameServer = 5.199.140.180
    O17 - HKLM\System\CCS\Services\Tcpip\..\{A4C35FBF-DB0E-44C4-968F-B9FDC8102F2F}: NameServer = 5.199.140.180
    O17 - HKLM\System\CCS\Services\Tcpip\..\{EF86A584-6D1B-441E-B473-52298CE51754}: NameServer = 5.199.140.180
     

    Прокси сами настраивали?

    Код (Text):
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 67.208.113.203:80

    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Search" и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R1].txt.
    • Прикрепите отчет к своему следующему сообщению.
    Подробнее читайте в этом руководстве.
     
  4. whittery
    Оффлайн

    whittery Новый пользователь

    Сообщения:
    14
    Симпатии:
    0
    пофиксил
    да, было дело летом. но сейчас пользуюсь оперой
     

    Вложения:

  5. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.596
    • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Delete" и дождитесь окончания удаления.
    • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[S1].txt.
    • Прикрепите отчет к своему следующему сообщению
    Внимание: Для успешного удаления может потребоваться перезагрузка компьютера!!!

    +


    Сделайте новый лог RSIT
     
  6. whittery
    Оффлайн

    whittery Новый пользователь

    Сообщения:
    14
    Симпатии:
    0
    сделал
     

    Вложения:

    • AdwCleaner[S1].txt
      Размер файла:
      4,1 КБ
      Просмотров:
      1
    • log.txt
      Размер файла:
      35,5 КБ
      Просмотров:
      2
    • info.txt
      Размер файла:
      37,3 КБ
      Просмотров:
      0
  7. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.596
    Интернет через роутер?
     
  8. whittery
    Оффлайн

    whittery Новый пользователь

    Сообщения:
    14
    Симпатии:
    0
    да
     
  9. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.596
    Сбросьте настройки роутера кнопкой RESET, введите заново данные указанные вашим провайдером, поставьте сложный пароль на админку роутера, далее:

    Скачайте ComboFix здесь и сохраните на рабочий стол.

    1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
    2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
    Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

    Подробнее в "ComboFix. Руководство по применению."
     
  10. whittery
    Оффлайн

    whittery Новый пользователь

    Сообщения:
    14
    Симпатии:
    0
    +
     

    Вложения:

    • ComboFix.txt
      Размер файла:
      22,9 КБ
      Просмотров:
      3
  11. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.596
    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код (Text):

    KillAll::

    File::
    c:\windows\SysWow64\sho27FD.tmp
    c:\windows\SysWow64\sho4D60.tmp
    c:\windows\SysWow64\shoCC49.tmp

    DDS::
    mDefault_Page_URL = hxxp://www.smaxxi.biz
    mStart Page = hxxp://www.smaxxi.biz
    uInternet Settings,ProxyServer = 67.208.113.203:80
    TCP: Interfaces\{846ee342-7039-11de-9d20-806e6f6e6963}: NameServer = 5.199.140.180
    TCP: Interfaces\{A4C35FBF-DB0E-44C4-968F-B9FDC8102F2F}: NameServer = 5.199.140.180
    TCP: Interfaces\{EF86A584-6D1B-441E-B473-52298CE51754}: NameServer = 5.199.140.180

    ClearJavaCache::
    Reboot::
     
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
    [​IMG]
    Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
     
  12. whittery
    Оффлайн

    whittery Новый пользователь

    Сообщения:
    14
    Симпатии:
    0
    +
    немог запустить ниодин браузер с помощью ярлыка, потом дошло запустить от имени администратора.
     

    Вложения:

    • ComboFix.txt
      Размер файла:
      21,8 КБ
      Просмотров:
      2
  13. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.596
    Роутер сбрасывали?
     
  14. whittery
    Оффлайн

    whittery Новый пользователь

    Сообщения:
    14
    Симпатии:
    0
  15. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.596
    Ок. Тогда далее.

    Скачайте следующую утилиту:

    http://rghost.ru/42305534

    запустите, на запрос закрытия браузера ответьте Да, лог opera.log приложите
     
  16. whittery
    Оффлайн

    whittery Новый пользователь

    Сообщения:
    14
    Симпатии:
    0
    +
     

    Вложения:

    • opera.log
      Размер файла:
      4,1 КБ
      Просмотров:
      4
  17. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.596
    Прокси в Опере Ваши?

    Код (Text):
    C:\Users\Аире\AppData\Roaming\Opera\Opera\operaprefs.ini HTTP server = 31.131.18.206:8080
    C:\Users\Аире\AppData\Roaming\Opera\Opera\operaprefs.ini HTTPS server = 31.131.18.206:8080
    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     ExecuteWizard('SCU',2,3,true);
     ExecuteRepair(3);
     ExecuteRepair(4);
     ExecuteRepair(21);
    RebootWindows(true);
    end.
    Компьютер перезагрузится

    Снова сделайте лог RSIT
     
  18. whittery
    Оффлайн

    whittery Новый пользователь

    Сообщения:
    14
    Симпатии:
    0
    прокси не пользуюсь ? с адресами надо чтото сделать ?

    с момента 2 перезапуска комбофикса ничего не включилось (защитное по)
     
  19. whittery
    Оффлайн

    whittery Новый пользователь

    Сообщения:
    14
    Симпатии:
    0
    +
     

    Вложения:

    • info.txt
      Размер файла:
      37,3 КБ
      Просмотров:
      0
    • log.txt
      Размер файла:
      35 КБ
      Просмотров:
      2
  20. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.596
    Если не пользуетесь то найдите эти адреса 31.131.18.206:8080 в файле

    Код (Text):
    C:\Users\Аире\AppData\Roaming\Opera\Opera\operaprefs.ini
    и удалите руками

    Как самочувствие системы?
     
Статус темы:
Закрыта.

Поделиться этой страницей