• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Вирус не дает загружать сайты.

Статус
В этой теме нельзя размещать новые ответы.

Степан

Активный пользователь
Сообщения
6
Реакции
0
Баллы
301
Вирус не дает открывать большинство сайтов.
Возможно это вирус: "Вы пытаетесь войти из необычного места".
Логи:
 

Вложения

  • info.txt
    25.5 KB · Просмотры: 2
  • log.txt
    48.8 KB · Просмотры: 3
  • virusinfo_syscheck.zip
    26.8 KB · Просмотры: 0
  • virusinfo_syscure.zip
    35.7 KB · Просмотры: 1

Ботан

Злостный спам-бот
Сообщения
1,032
Реакции
129
Баллы
453
Приветствую Степан, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



***​

Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


***​

Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
__________________________________________________
С уважением, администрация SafeZone.
 

akok

Команда форума
Администратор
Сообщения
19,412
Реакции
13,385
Баллы
2,203
Ваш провайдер?
Код:
217.9.148.4
address: 43/3 Drelevskogo st., Kirov, Russia, 610000
address: JSC "VolgaTelecom", Kirov branch, CAIT

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 StopService('newdriver');
 QuarantineFile('C:\Documents and Settings\Степа\Local Settings\Application Data\Skillbrains\lightshot\LightShot.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\dgderdrv.sys','');
 QuarantineFile('C:\WINDOWS\gigalan.txt','');
 QuarantineFile('C:\WINDOWS\system32\yqbdkbk.dll',' ');
 DeleteFile('C:\WINDOWS\system32\yqbdkbk.dll');
 DeleteFile('C:\WINDOWS\gigalan.txt');
 DeleteService('newdriver');
 BC_ImportALL;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.


Полученный архив отправьте при помощи этой формы

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Подготовьте лог SecurityCheck by glax24
 

Степан

Активный пользователь
Сообщения
6
Реакции
0
Баллы
301
Провайдер вроде мой).
 

Вложения

  • SecurityCheck.txt
    3.3 KB · Просмотры: 2
  • MBAM-log-2013-02-19 (22-16-29).txt
    11 KB · Просмотры: 1

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,702
Реакции
5,982
Баллы
1,008
JetSwap - устанавливали ?

Добавлено через 7 минут 10 секунд
Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).

Подробнее читайте в руководстве

Код:
HKCR\CLSID\{82184935-B894-4AB2-8590-603BA7D74B71} (Trojan.WebMoner) -> Действие не было предпринято.
HKCR\english_10_11_kuzovlev.eProtocol (Trojan.WebMoner) -> Действие не было предпринято.
Обнаруженные параметры в реестре:  5
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Параметры: 0 -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft|option_1 (Rootkit.Agent) -> Параметры: ”–Ќ””ђђС‘љ‹ -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft|option_2 (Rootkit.Agent) -> Параметры: ќћњ”’ћ‘НС‘љ‹ -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft|option_3 (Rootkit.Agent) -> Параметры: ’Љ…—–ћС‘љ‹Р‰‡ЊМђ™“Џ€Иљ‡›СЏ—Џ -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Параметры: 0 -> Действие не было предпринято.
Обнаруженные папки:  2
C:\Program Files\Common Files\wm\keys (Trojan.KeyLog) -> Действие не было предпринято.
C:\Documents and Settings\Степа\Application Data\winxrar (Trojan.Agent) -> Действие не было предпринято.
C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> Действие не было предпринято.
C:\WINDOWS\system32\IEUNITDRF.INF (Malware.Trace) -> Действие не было предпринято.
C:\Documents and Settings\Степа\Application Data\winxrar\dot.gif (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Степа\Application Data\winxrar\htmlayout.dll (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Степа\Application Data\winxrar\key (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Степа\Application Data\winxrar\left.png (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Степа\Application Data\winxrar\rules.css (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Степа\Application Data\winxrar\s.htm (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Степа\Application Data\winxrar\sview (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Степа\Application Data\winxrar\winxrarview.exe (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Степа\Application Data\winxrar\xsendexe.tmp (Trojan.Agent) -> Действие не было предпринято.
После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.
______________________________________________________

Обновите программы

JavaFX 2.1.1 v.2.1.1 Внимание! Скачать обновления
^Скачайте javafx-2_2_5-windows-i586.exe^
Java(TM) 6 Update 33 v.6.0.330 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jdk-6u39-windows-i586.exe)^
Java(TM) 7 Update 5 v.7.0.50 Внимание! Скачать обновления
^Скачайте jre-7u13-windows-i586.exe^
-------------AdobeProduction----------------------
Adobe Flash Player 10 ActiveX v.10.0.12.36 Внимание! Скачать обновления
Adobe Flash Player 11 Plugin v.11.5.502.149 Внимание! Скачать обновления
Adobe Reader 9.5.1 - Russian v.9.5.1 Внимание! Скачать обновления
Mozilla Firefox 15.0.1 (x86 ru) v.15.0.1 Внимание! Скачать обновления
Opera 12.13 v.12.13.1734 Внимание! Скачать обновления
___________________________________________

Скачайте, распакуйте и запустите TDSSKiller:
http://support.kaspersky.ru/faq/?qid=208636926
Если программа обругается на файл WINDOWS\system32\Drivers\sptd.sys, то не удаляйте его.
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)

Добавлено через 2 минуты 0 секунд
+ не забудьте сменить пароли !
 

Степан

Активный пользователь
Сообщения
6
Реакции
0
Баллы
301
Да, давно как-то)

Добавлено через 16 минут 32 секунды
А если не javafx-2_2_5-windows-i586.exe^ ,
а javafx-2_2_7-windows-i586.exe

И не jre-7u13-windows-i586.exe^ ,
а jre-7u15-windows-i586.exe
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,702
Реакции
5,982
Баллы
1,008
А если не javafx-2_2_5-windows-i586.exe^ ,
а javafx-2_2_7-windows-i586.exe
И не jre-7u13-windows-i586.exe^ ,
а jre-7u15-windows-i586.exe
там указана версия, которая стоит у вас и ссылка откуда можно скачать актуальную.
 

Степан

Активный пользователь
Сообщения
6
Реакции
0
Баллы
301
Вот :)
 

Вложения

  • TDSSKiller.2.8.16.0_20.02.2013_14.39.28_log.txt
    186.2 KB · Просмотры: 2
  • MBAM-log-2013-02-20 (14-21-23).txt
    3.1 KB · Просмотры: 1

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,702
Реакции
5,982
Баллы
1,008
Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(true);
  end;
QuarantineFile('C:\Documents and Settings\Степа\Application Data\igfxtray.dat', 'MBAM: Malware.Trace');
DeleteFile('C:\Documents and Settings\Степа\Application Data\igfxtray.dat');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

-----------

  1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
  2. Скопируйте следующий текст в Блокнот и сохраните в папку с распакованным TDSSKiller.exe, как fix.bat:
    Код:
    tdsskiller.exe -silent -qmbr -qboot -qsus
  3. Запустите файл fix.bat;
  4. Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine;
  5. Заархивруйте эту папку с паролем virus. И отправьте полученный архив на адрес quarantine<at>safezone.cc ([email protected]), в заголовке (теме) письма укажите ссылку на тему, где Вам оказывается помощь.
  6. Прикрепите лог утилиты к своему следующему сообщению
По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt

Добавлено через 2 минуты 37 секунд
+ сделайте новый лог сканирования MBAM
 
Последнее редактирование:

Степан

Активный пользователь
Сообщения
6
Реакции
0
Баллы
301
Вот :training1:
 

Вложения

  • MBAM-log-2013-02-20 (16-40-45).txt
    2.9 KB · Просмотры: 2
  • TDSSKiller.2.8.16.0_20.02.2013_15.23.31_log.txt
    96.4 KB · Просмотры: 5

akok

Команда форума
Администратор
Сообщения
19,412
Реакции
13,385
Баллы
2,203
При помощи MBAM удалите только:
Код:
Обнаруженные ключи в реестре:  1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Fci (Rootkit.Agent) -> Действие не было предпринято.
Обнаруженные файлы:  
C:\My documents\VVVVVV\TDU.exe (Packer.ModifiedUPX) -> Действие не было предпринято.

Что сейчас с проблемами?
 

Степан

Активный пользователь
Сообщения
6
Реакции
0
Баллы
301
Все прекрасно. Спасибо большое.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу