Решена carberp; vbs malware-gen

Статус
В этой теме нельзя размещать новые ответы.

whittery

Новый пользователь
Сообщения
14
Реакции
0
Добрый день, помогите разобраться.
На днях начали появлятся непонятные рекламные банеры во время серфинга по сети, так же непонятно с какого перепуга стартовой страничкой во всех браузерах стал mailrusearch.ru. Решил проверить на вирусы программой dr.web cure it. нашло те, что указаны в заголовке темы, удалить не получилось.
Аваст все это не спалил, фул чек делал, результат нулевой.
 

Вложения

  • virusinfo_syscure.zip
    34.5 KB · Просмотры: 2
  • virusinfo_syscheck.zip
    33.9 KB · Просмотры: 0
  • log.txt
    36.4 KB · Просмотры: 1
  • info.txt
    37.2 KB · Просмотры: 0
Приветствую whittery, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



***​

Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


***​

Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
__________________________________________________
С уважением, администрация SafeZone.
 
"Пофиксите" в HijackThis:
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxxi.biz
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mailrusearch.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxxi.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxxi.biz
R3 - URLSearchHook: (no name) -  - (no file)
O17 - HKLM\System\CCS\Services\Tcpip\..\{846ee342-7039-11de-9d20-806e6f6e6963}: NameServer = 5.199.140.180
O17 - HKLM\System\CCS\Services\Tcpip\..\{A4C35FBF-DB0E-44C4-968F-B9FDC8102F2F}: NameServer = 5.199.140.180
O17 - HKLM\System\CCS\Services\Tcpip\..\{EF86A584-6D1B-441E-B473-52298CE51754}: NameServer = 5.199.140.180


Прокси сами настраивали?

Код:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 67.208.113.203:80


  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Search" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R1].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
  • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Delete" и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[S1].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления может потребоваться перезагрузка компьютера!!!

+


Сделайте новый лог RSIT
 
сделал
 

Вложения

  • info.txt
    37.3 KB · Просмотры: 0
  • log.txt
    35.5 KB · Просмотры: 2
  • AdwCleaner[S1].txt
    4.1 KB · Просмотры: 1
Интернет через роутер?
 
Сбросьте настройки роутера кнопкой RESET, введите заново данные указанные вашим провайдером, поставьте сложный пароль на админку роутера, далее:

Скачайте ComboFix здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению."
 
+
 

Вложения

  • ComboFix.txt
    22.9 KB · Просмотры: 3
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::

File::
c:\windows\SysWow64\sho27FD.tmp
c:\windows\SysWow64\sho4D60.tmp
c:\windows\SysWow64\shoCC49.tmp

DDS::
mDefault_Page_URL = hxxp://www.smaxxi.biz
mStart Page = hxxp://www.smaxxi.biz
uInternet Settings,ProxyServer = 67.208.113.203:80
TCP: Interfaces\{846ee342-7039-11de-9d20-806e6f6e6963}: NameServer = 5.199.140.180
TCP: Interfaces\{A4C35FBF-DB0E-44C4-968F-B9FDC8102F2F}: NameServer = 5.199.140.180
TCP: Interfaces\{EF86A584-6D1B-441E-B473-52298CE51754}: NameServer = 5.199.140.180

ClearJavaCache::
Reboot::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
cfscript.gif

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
 
+
немог запустить ниодин браузер с помощью ярлыка, потом дошло запустить от имени администратора.
 

Вложения

  • ComboFix.txt
    21.8 KB · Просмотры: 2
Роутер сбрасывали?
 
Ок. Тогда далее.

Скачайте следующую утилиту:



запустите, на запрос закрытия браузера ответьте Да, лог opera.log приложите
 
+
 

Вложения

  • opera.log
    4.1 KB · Просмотры: 5
Прокси в Опере Ваши?

Код:
C:\Users\Аире\AppData\Roaming\Opera\Opera\operaprefs.ini HTTP server = 31.131.18.206:8080
C:\Users\Аире\AppData\Roaming\Opera\Opera\operaprefs.ini HTTPS server = 31.131.18.206:8080

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ExecuteWizard('SCU',2,3,true);
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteRepair(21);
RebootWindows(true);
end.

Компьютер перезагрузится

Снова сделайте лог RSIT
 
Прокси в Опере Ваши?
прокси не пользуюсь ? с адресами надо чтото сделать ?

временно выгрузите антивирус, файрволл и прочее защитное ПО.
с момента 2 перезапуска комбофикса ничего не включилось (защитное по)
 
+
 

Вложения

  • info.txt
    37.3 KB · Просмотры: 0
  • log.txt
    35 KB · Просмотры: 2
прокси не пользуюсь
Если не пользуетесь то найдите эти адреса 31.131.18.206:8080 в файле

Код:
C:\Users\Аире\AppData\Roaming\Opera\Opera\operaprefs.ini

и удалите руками

Как самочувствие системы?
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу