Решена Пожалуйста помогите

[starkin]

Ваша страница была взломана, и с нее рассылался спам. Чтобы это прекратилось, Вам необходимо сменить пароль от страницы.


Пожалуйста помогите удалить вирус.

Вот логи http://webfile.ru/5403577

За ранее спасибо! Жду помощи

 

[Severnyj]

Деинсталлируйте программы lovivkontakte и AskToolbar

Выполните скрипт в AVZ:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Windows\system32\drivers\rdvgkmd.sys','');
BC_ImportAll;
BC_Activate;
 ExecuteRepair(13);
RebootWindows(true);
end.

Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив отправьте с помощью этой формы с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Повторите логи AVZ и RSIT

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

 

[starkin]

Вот логи 2 http://webfile.ru/5403945

 

[Severnyj]

Это:

Деинсталлируйте программы lovivkontakte и AskToolbar

- выполнили?

TeamViewer сами устанавливали?

 

[starkin]

TeamViewer установил сам, почему то не могу найти lovivkontakte и AskToolbar эти программы, ловивконтакте нашел но он не удаляется пишет при удалении что закройте файл или папку , я не смог этого сделать. Можно ли как нибудь удалить?

 

[Severnyj]

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению."

 

[starkin]

http://webfile.ru/5407624 сделал ComboFix.txt

 

[Severnyj]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

KillAll::

File::
d:\torrentfiles\LoviVkontakte\VkontakteService.exe
d:\torrentfiles\LoviVkontakte\lovivkontakte.exe
c:\program files\Ask.com\GenericAskToolbar.dll
c:\windows\C5C1C0F0D62F4DBF81D4D7EF397C228B.TMP

Driver::
LoviVkontakteService

Folder::
C:\32788R22FWJFW
d:\torrentfiles\LoviVkontakte
c:\program files\Ask.com

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[-HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
[-HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
[-HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
[-HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[-HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
[-HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
[-HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
[-HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LoviVkontakte"=-

RegLock::
[HKEY_USERS\S-1-5-21-1599197451-2005375074-830068836-1000\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{CCD19F46-32B8-DDC2-E6EA-D9B9AF8014BB}*]
"maelobjgchpkocglgadaaaoohk"=hex:65,61,6d,68,6d,64,64,63,63,62,00,6e
"maelobjgchpkocdlbcokafobgc"=hex:6b,61,6f,65,69,6c,65,63,70,6f,63,6e,62,69,6a,
   70,63,65,6a,6f,6e,6e,00,00
[HKEY_USERS\S-1-5-21-1599197451-2005375074-830068836-1000\Software\SecuROM\License information*]
"datasecu"=hex:0a,04,bc,4b,0e,d1,97,72,56,f5,53,2f,35,f1,00,d7,05,41,5a,3b,63,
   c3,56,f0,ae,27,65,3c,97,42,fa,5e,10,5c,d1,ff,4c,02,97,79,6e,92,ea,dd,2f,cb,\
"rkeysecu"=hex:07,f1,74,19,cf,30,34,a0,1e,d0,e4,1c,4f,98,c5,12
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)

Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

 

[starkin]

http://webfile.ru/5407742 Сделал

 

[Severnyj]

Сделайте еще комплект логов AVZ + RSIT

 

[starkin]

вот http://webfile.ru/5407846

 

[Severnyj]

Чисто

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"

Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

Внимание, смените все пароли ICQ, почта и т.п.

Необходимо очистить ранее созданную точку восстановления и создать новую:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

Для предотвращения заражения рекомендуется:
- не работать за компьютером с правами администратора
- не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендуется использовать Firefox c плагином NoScript)
- регулярно устанавливать обновления windows (через Центр обновления) и антивируса (обновлять антивирусные базы и модули).

- обновите до последней версии Opera
- обновите до последней версии Adobe Flash Player

 

[starkin]

спасибо огромное за помошь все помогло

 

[Severnyj]

Чистого интернета Вам