• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Не входит почти не на один сайт.

Статус
В этой теме нельзя размещать новые ответы.

SaimonCSKA

Активный пользователь
Сообщения
3
Реакции
0
Баллы
301
Подхватил я по моему вирус. Вообще при заходе на некоторые сайты пишет "Вы пытаетесь зайти из необычного места" и просит ввести номер телефона. А так же появился банер " Вы выиграли 50 смс...". Вообщем помогите разобраться с этой чумой.
 

Вложения

Ботан

Злостный спам-бот
Сообщения
1,030
Реакции
128
Баллы
453
Приветствую SaimonCSKA, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



***​

Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


***​

Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
__________________________________________________
С уважением, администрация SafeZone.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,650
Реакции
5,905
Баллы
1,008
Здравствуйте!

Отключите антивирус/фаервол, интернет;

Выполните скрипт в AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:
begin
  ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
  ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
  QuarantineFile('C:\Users\Sanya\AppData\Roaming\Udouoo.exe','');
  QuarantineFile('E:\autorun.inf','');
  QuarantineFile('C:\Windows\system32\utbufcf.dll','');
  DeleteFile('C:\Windows\system32\utbufcf.dll');
  DeleteFile('C:\Users\Sanya\AppData\Roaming\Udouoo.exe');
  DelBHO('{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a}');
  RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Udouoo');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
  ExecuteRepair(3);
  ExecuteRepair(4);
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Сделайте новые логи virusinfo_syscheck.zip; log.txt, info.txt.

E:\autorun.inf - откройте блокнотом и покажите его содержимое.

Добавлено через 44 секунды
+
  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Скопируйте содержимое файла в свое следующее сообщение.
Подробнее читайте в этом разделе форума поддержки утилиты.
 

SaimonCSKA

Активный пользователь
Сообщения
3
Реакции
0
Баллы
301
После процедур

[Autorun]
open=setup.exe
icon=setup.exe,0
Security Check by glax24 version 0.1.2.30 rc1
WebSite: www.safezone.cc
DataLog 19.11.2012 17:49:34
Program directory: C:\Users\Sanya\AppData\Local\Temp\SecurityCheck\
Log directory: C:\
XML File - VersionInet=0.6

WIN_7 (x86) Ultimate Lan:0419
Service Pack 1
Internet Explorer 9.0
-------------Windows------------------------------
Контроль учётных записей пользователя отключен
Уведомлять о загрузке и установке обновлений
Центр обновления Windows - Служба работает
Центр обеспечения безопасности - Служба работает
-------------Antivirus_WMI------------------------
Kaspersky Internet Security
Антивирус обновлен
Сканирование отключено
-------------Firewall_WMI-------------------------
Kaspersky Internet Security
-------------AntiSpyware_WMI----------------------
Kaspersky Internet Security
Windows Defender
-------------AntiVirusFirewallInstall-------------
Kaspersky Internet Security 2013 v.13.0.1.4190
-------------OtherUtilities-----------------------
-------------Java---------------------------------
Java(TM) 6 Update 31 v.6.0.310 Внимание! Скачать обновления
-------------AppleProduction----------------------
-------------AdobeProduction----------------------
Adobe Flash Player 11 Plugin v.11.5.502.110
Adobe Reader 8 - Russian v.8.1.2 Внимание! Скачать обновления
-------------Browser------------------------------
Google Chrome v.23.0.1271.64
Opera 11.62 v.11.62.1347 Внимание! Скачать обновления
-------------RunningProcess-----------------------
-------------EndLog-------------------------------
По поводу диска E:
Это мой съемный диск,и у меня там лежит образ установочный виндоус.
 

Вложения

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,501
Реакции
5,658
Баллы
753
"Пофиксите" в HijackThis:
Код:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT2127165
Деинсталлируйте через установку/удаление программ:

Java(TM) 6 Update 31 v.6.0.310
Adobe Reader 8

Скачайте и установите новые версии. Ссылки на скачку в вашем логе SC выше.
Обновите Opera

Включите Контроль учетных записей.


Как самочувствие системы?
 

SaimonCSKA

Активный пользователь
Сообщения
3
Реакции
0
Баллы
301
Спасибо огромное! Все работает как часы!
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу