• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Решена carberp; vbs malware-gen

Статус
В этой теме нельзя размещать новые ответы.

whittery

Активный пользователь
Сообщения
14
Симпатии
0
#1
Добрый день, помогите разобраться.
На днях начали появлятся непонятные рекламные банеры во время серфинга по сети, так же непонятно с какого перепуга стартовой страничкой во всех браузерах стал mailrusearch.ru. Решил проверить на вирусы программой dr.web cure it. нашло те, что указаны в заголовке темы, удалить не получилось.
Аваст все это не спалил, фул чек делал, результат нулевой.
 

Вложения

Ботан

Злостный спам-бот
Сообщения
970
Симпатии
173
#2
Приветствую whittery, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



***​

Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


***​

Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
__________________________________________________
С уважением, администрация SafeZone.
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,434
Симпатии
8,699
#3
"Пофиксите" в HijackThis:
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxxi.biz
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mailrusearch.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxxi.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxxi.biz
R3 - URLSearchHook: (no name) -  - (no file)
O17 - HKLM\System\CCS\Services\Tcpip\..\{846ee342-7039-11de-9d20-806e6f6e6963}: NameServer = 5.199.140.180
O17 - HKLM\System\CCS\Services\Tcpip\..\{A4C35FBF-DB0E-44C4-968F-B9FDC8102F2F}: NameServer = 5.199.140.180
O17 - HKLM\System\CCS\Services\Tcpip\..\{EF86A584-6D1B-441E-B473-52298CE51754}: NameServer = 5.199.140.180

Прокси сами настраивали?

Код:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 67.208.113.203:80

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Search" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R1].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,434
Симпатии
8,699
#5
  • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Delete" и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[S1].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления может потребоваться перезагрузка компьютера!!!

+


Сделайте новый лог RSIT
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,434
Симпатии
8,699
#7
Интернет через роутер?
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,434
Симпатии
8,699
#9
Сбросьте настройки роутера кнопкой RESET, введите заново данные указанные вашим провайдером, поставьте сложный пароль на админку роутера, далее:

Скачайте ComboFix здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению."
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,434
Симпатии
8,699
#11
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::

File::
c:\windows\SysWow64\sho27FD.tmp
c:\windows\SysWow64\sho4D60.tmp
c:\windows\SysWow64\shoCC49.tmp

DDS::
mDefault_Page_URL = hxxp://www.smaxxi.biz
mStart Page = hxxp://www.smaxxi.biz
uInternet Settings,ProxyServer = 67.208.113.203:80
TCP: Interfaces\{846ee342-7039-11de-9d20-806e6f6e6963}: NameServer = 5.199.140.180
TCP: Interfaces\{A4C35FBF-DB0E-44C4-968F-B9FDC8102F2F}: NameServer = 5.199.140.180
TCP: Interfaces\{EF86A584-6D1B-441E-B473-52298CE51754}: NameServer = 5.199.140.180

ClearJavaCache::
Reboot::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
 

whittery

Активный пользователь
Сообщения
14
Симпатии
0
#12
+
немог запустить ниодин браузер с помощью ярлыка, потом дошло запустить от имени администратора.
 

Вложения

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,434
Симпатии
8,699
#13
Роутер сбрасывали?
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,434
Симпатии
8,699
#15
Ок. Тогда далее.

Скачайте следующую утилиту:

http://rghost.ru/42305534

запустите, на запрос закрытия браузера ответьте Да, лог opera.log приложите
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,434
Симпатии
8,699
#17
Прокси в Опере Ваши?

Код:
C:\Users\Аире\AppData\Roaming\Opera\Opera\operaprefs.ini HTTP server = 31.131.18.206:8080
C:\Users\Аире\AppData\Roaming\Opera\Opera\operaprefs.ini HTTPS server = 31.131.18.206:8080
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ExecuteWizard('SCU',2,3,true);
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteRepair(21);
RebootWindows(true);
end.
Компьютер перезагрузится

Снова сделайте лог RSIT
 

whittery

Активный пользователь
Сообщения
14
Симпатии
0
#18
прокси не пользуюсь ? с адресами надо чтото сделать ?

временно выгрузите антивирус, файрволл и прочее защитное ПО.
с момента 2 перезапуска комбофикса ничего не включилось (защитное по)
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,434
Симпатии
8,699
#20
Если не пользуетесь то найдите эти адреса 31.131.18.206:8080 в файле

Код:
C:\Users\Аире\AppData\Roaming\Opera\Opera\operaprefs.ini
и удалите руками

Как самочувствие системы?
 
Статус
В этой теме нельзя размещать новые ответы.