Решена Вирус блокирует поисковики

Статус
В этой теме нельзя размещать новые ответы.

grF

Новый пользователь
Сообщения
5
Реакции
0
Искал crack, нашёл вирус. Google.com выдаёт следующее:
"Мы зарегистрировали подозрительный трафик, исходящий из вашей сети. С помощью этой страницы мы сможем определить, что запросы отправляете именно вы, а не робот.
Чтобы продолжить поиск, пожалуйста, введите свой номер телефона в поле ввода и нажмите «Отправить»."


По глупости, отправил смс для получения доступа vk.com - 170 рублей сняли.
 

Вложения

  • info.rar
    9.6 KB · Просмотры: 0
  • log.rar
    11.2 KB · Просмотры: 2
  • virusinfo_syscheck.zip
    32.2 KB · Просмотры: 1
  • virusinfo_syscure.zip
    30.8 KB · Просмотры: 2
Приветствую grF, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



***​

Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


***​

Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
__________________________________________________
С уважением, администрация SafeZone.
 
Сделал полную проверку Malwarebytes, никаких действий не предпринимал
 

Вложения

  • MBAM-log-2013-05-13 (01-42-16).txt
    12.2 KB · Просмотры: 3
Здравствуйте!

запустите файлы
Код:
C:\Users\grF\Local Settings\Application Data\Webalta Toolbar\uninstall.exe 
C:\Users\grF\AppData\Local\Webalta Toolbar\uninstall.exe

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true); 
 QuarantineFile('C:\PROGRA~3\Mozilla\ahzvoqb.dll','');
 QuarantineFile('C:\ProgramData\Mozilla\ahzvoqb.dll', 'MBAM: Trojan.Agent');
 QuarantineFile('C:\ProgramData\Mozilla\cnkaflk.exe', 'MBAM: Trojan.Agent.RRE');
 QuarantineFile('C:\System Volume Information\SystemRestore\FRStaging\Users\grF\Documents\Iterra\denlnte.dll', 'MBAM: Trojan.Agent');
 QuarantineFile('D:\temp\Borderlands 2_5983019_270_rar.exe', 'MBAM: PUP.WebAlta');
 QuarantineFile('D:\temp\Dark Souls_5618160_270_rar.exe', 'MBAM: PUP.WebAlta');
 QuarantineFile('D:\temp\runme.exe', 'MBAM: Trojan.Agent.RRE');
 QuarantineFile('C:\Users\grF\Local Settings\Application Data\Webalta Toolbar\uninstall.exe', 'MBAM: PUP.ToolBar.WA');
 QuarantineFile('C:\Users\grF\AppData\Local\Webalta Toolbar\uninstall.exe', 'MBAM: PUP.ToolBar.WA');
 DeleteFile('C:\PROGRA~3\Mozilla\ahzvoqb.dll');
 DeleteFile('C:\ProgramData\Mozilla\ahzvoqb.dll');
 DeleteFile('C:\ProgramData\Mozilla\cnkaflk.exe');
 DeleteFile('C:\Users\grF\AppData\Local\Opera\opera\temporary_downloads\microsoft-office-2013-vl-15-0-4420-1017-x86-x64-mnogoyazyichnaya.exe');
 DeleteFile('C:\Users\grF\AppData\Local\Opera\opera\temporary_downloads\winrar_4.exe');
 DeleteFile('D:\temp\Borderlands 2_5983019_270_rar.exe');
 DeleteFile('D:\temp\Dark Souls_5618160_270_rar.exe');
 DeleteFile('C:\Users\grF\Local Settings\Application Data\Webalta Toolbar\uninstall.exe');
 DeleteFile('C:\Users\grF\AppData\Local\Webalta Toolbar\uninstall.exe');
 DelBHO('{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(3);
 ExecuteRepair(4);
RebootWindows(true); 
RebootWindows(true);
end.

после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

------------------------

  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  5. Подробнее читайте в руководстве Как подготовить лог UVS

-------------------
зы. по окончанию лечения не забудьте сменить пароли.
 
google.com работает нормально
 

Вложения

  • GRF-ПК_2013-05-13_17-10-52.rar
    576.3 KB · Просмотры: 2
В карантине
denlnte.dll - Trojan.Win32.Cidox.pbr
 
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите правой кнопкой мыши и скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v3.77.10 script [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    
    zoo %SystemDrive%\PROGRA~3\MOZILLA\CNKAFLK.EXE
    delall %SystemDrive%\PROGRA~3\MOZILLA\CNKAFLK.EXE
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2011-06-30_22-04-27.7z)
    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.​
  7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
  8. Подробнее читайте в этом руководстве.


сделайте новый образ uVS

+ создайте новую точку восстановления и удалите предыдущие.
 
образ автозапуска:
 

Вложения

  • GRF-ПК_2013-05-14_13-06-36.rar
    574.7 KB · Просмотры: 1
Выполните скрипт uVS

Код:
;uVS v3.77.10 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

zoo %SystemDrive%\USERS\GRF\APPDATA\LOCAL\TEMP\RAR$EXA0.524\SETUP.EXE
delall %SystemDrive%\USERS\GRF\APPDATA\LOCAL\TEMP\RAR$EXA0.524\SETUP.EXE
restart

  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Скопируйте содержимое файла в свое следующее сообщение.
Подробнее читайте в этом разделе форума поддержки утилиты.
 
Security Check by glax24 version 0.1.6.54 rc1
WebSite: www.safezone.cc
DataLog 15.05.2013 14:18:03
Program directory: D:\temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True
XML File - VersionInet=4.0
Диск C:\ ФС: NTFS Емкость: (55.8 Гб) Занято: (49.4 Гб) Свободно: (6.4 Гб)
__________________________________________________

WIN_7(6.1) Build 7601 (x64) Ultimate Lang: Russian(0419)
Дата установки ОС: 24.08.2012 15:25:08
Статус лицензии: Windows(R) 7, Ultimate edition Постоянная активация прошла успешно.
Service Pack 1
Internet Explorer 9.10.9200.16540
-------------Windows------------------------------
Контроль учётных записей пользователя отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Запрос на повышение прав для администраторов отключен
Загружать автоматически обновления и устанавливать по заданному расписанию
Дата установки обновлений: 2013-05-14 08:58:43
Центр обновления Windows (wuauserv) - Служба остановлена
Центр обеспечения безопасности (wscsvc) - Служба остановлена
-------------Antivirus_WMI------------------------
-------------Firewall_WMI-------------------------
-------------AntiSpyware_WMI----------------------
Windows Defender
-------------OtherUtilities-----------------------
Malwarebytes Anti-Malware, версия 1.75.0.1300 v.1.75.0.1300
-------------AdobeProduction----------------------
Adobe Flash Player 11 ActiveX v.11.6.602.180 Внимание! Скачать обновления
Adobe Flash Player 11 Plugin v.11.7.700.202 [+]
Adobe Reader XI (11.0.02) v.11.0.02
-------------Browser------------------------------
Opera 12.02 v.12.02.1578 Внимание! Скачать обновления
Opera 12.15 v.12.15.1748
-------------RunningProcess-----------------------
G:\progs\opera\opera.exe v.12.15.1748.0
-------------EndLog-------------------------------
 
Исправляйте найденные уязвимости. Что с проблемами?
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу