Поймала вирус 2inf

@milina · Регистрация: 28.02.2015

Author24 — интернет-сервис помощи студентам

При запуске компьютера открывается Chrome со страницей 2inf.net.

@thyrex · 28.02.2015, 16:45

Выполните скрипт в AVZ

Код

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
SetServiceStart('Update Service for VK Downloader', 4);
 TerminateProcessByName('c:\program files (x86)\vk downloader\basement\extensionupdaterservice.exe');
 QuarantineFile('C:\Program Files (x86)\VK Downloader\Basement\ExtensionUpdaterService.exe','');
 QuarantineFile('C:\Program Files (x86)\advPlugin\Basement\ExtensionUpdaterService.exe','');
 QuarantineFile('C:\Program Files (x86)\VK Downloader\Toolbar32.dll','');
 QuarantineFile('C:\Program Files (x86)\VK Downloader\Interfaces32.dll','');
 QuarantineFile('c:\program files (x86)\vk downloader\basement\extensionupdaterservice.exe','');
 DeleteFile('c:\program files (x86)\vk downloader\basement\extensionupdaterservice.exe','32');
 DeleteFile('C:\Program Files (x86)\VK Downloader\Interfaces32.dll','32');
 DeleteFile('C:\Program Files (x86)\VK Downloader\Toolbar32.dll','32');
 DeleteFile('C:\Program Files (x86)\advPlugin\Basement\ExtensionUpdaterService.exe','32');
 DeleteFile('C:\Program Files (x86)\VK Downloader\Basement\ExtensionUpdaterService.exe','32');
DeleteService('Update Service for VK Downloader');
 DeleteService('Update Service for advPlugin');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','nwvcngegcb');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

Выполните скрипт в AVZ

Код

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

Отправьте c:\quarantine.zip при помощи этой формы

Сделайте новые логи по правилам

Скачайте Farbar Recovery Scan Tool [img]http://i.**********/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
[img]http://i.**********/B92LqRQ.png[/img]
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

@milina · 28.02.2015, 17:19 **[ТС]**

Файлы FRST.txt и Addition.txt не прикрепляются, т.к. их вес превышает доступные 20 кб

@milina · 28.02.2015, 17:27 **[ТС]**

Скину архивом

@thyrex · 28.02.2015, 22:55

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код

CreateRestorePoint:
BHO-x32: VK Downloader -> {3C6CF3C0-D800-4B4D-A3D8-8ADE406523B6} -> C:\Program Files (x86)\VK Downloader\Toolbar32.dll No File
FF Extension: Podsolnushki.com Community Toolbar - C:\Users\Lendrover\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\podsolnushki.com.xpi [2011-09-03]
FF Extension: Currency calc - C:\Users\Lendrover\AppData\Roaming\Mozilla\Firefox\Profiles\7nl5iv48.default\Extensions\{1FE48F08-A2AC-44AC-A21C-0556D91C50DA} [2015-02-27]
FF Extension: No Name - C:\Users\Lendrover\AppData\Roaming\Mozilla\Firefox\Profiles\7nl5iv48.default\extensions\vb@yandex.ru [Not Found]
FF Extension: No Name - C:\Users\Lendrover\AppData\Roaming\Mozilla\Firefox\Profiles\7nl5iv48.default\extensions\yasearch@yandex.ru [Not Found]
CHR HKLM\...\Chrome\Extension: [dbhjdbfgekjfcfkkfjjmlmojhbllhbho] - https://chrome.google.com/webstore/detail/dbhjdbfgekjfcfkkfjjmlmojhbllhbho [Not Found]
CHR HKLM-x32\...\Chrome\Extension: [dbhjdbfgekjfcfkkfjjmlmojhbllhbho] - https://chrome.google.com/webstore/detail/dbhjdbfgekjfcfkkfjjmlmojhbllhbho [Not Found]
CHR HKLM-x32\...\Chrome\Extension: [gdknicmnhbaajdglbinpahhapghpakch] - https://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [jedelkhanefmcnpappfhachbpnlhomai] - https://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pganlglbhgfjfgopijbhemcpbehjnpia] - https://clients2.google.com/service/update2/crx
OPR Extension: (No Name) - C:\Users\Lendrover\AppData\Roaming\Opera Software\Opera Stable\Extensions\dkgpajbdcbgaciibdeknligdaofmegma [2015-02-13]
OPR Extension: (No Name) - C:\Users\Lendrover\AppData\Roaming\Opera Software\Opera Stable\Extensions\fneleoohaagcejefkfmanhhdoboipapk [2015-02-13]
2015-02-28 16:07 - 2015-02-28 16:07 - 00000000 ____D () C:\Users\Lendrover\AppData\Roaming\VK Downloader
2015-02-13 20:17 - 2015-02-28 17:49 - 00000000 ____D () C:\Program Files (x86)\VK Downloader
Task: {B3520CAD-8129-42D8-8943-A58B6F49E58F} - \nethost task No Task File <==== ATTENTION
Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

@milina · 28.02.2015, 23:14 **[ТС]**

...

@thyrex · 28.02.2015, 23:36

Что с проблемой?

@milina · 28.02.2015, 23:50 **[ТС]**

Вроде бы все хорошо, большое спасибо)

@severnyj · 28.02.2015, 23:51

Выполните скрипт в AVZ при наличии доступа в интернет:

Код

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.

@milina · 01.03.2015, 00:06 **[ТС]**

Спасибо)

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	28.02.2015, 16:45	2
	Выполните скрипт в AVZ Код begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; SetServiceStart('Update Service for VK Downloader', 4); TerminateProcessByName('c:\program files (x86)\vk downloader\basement\extensionupdaterservice.exe'); QuarantineFile('C:\Program Files (x86)\VK Downloader\Basement\ExtensionUpdaterService.exe',''); QuarantineFile('C:\Program Files (x86)\advPlugin\Basement\ExtensionUpdaterService.exe',''); QuarantineFile('C:\Program Files (x86)\VK Downloader\Toolbar32.dll',''); QuarantineFile('C:\Program Files (x86)\VK Downloader\Interfaces32.dll',''); QuarantineFile('c:\program files (x86)\vk downloader\basement\extensionupdaterservice.exe',''); DeleteFile('c:\program files (x86)\vk downloader\basement\extensionupdaterservice.exe','32'); DeleteFile('C:\Program Files (x86)\VK Downloader\Interfaces32.dll','32'); DeleteFile('C:\Program Files (x86)\VK Downloader\Toolbar32.dll','32'); DeleteFile('C:\Program Files (x86)\advPlugin\Basement\ExtensionUpdaterService.exe','32'); DeleteFile('C:\Program Files (x86)\VK Downloader\Basement\ExtensionUpdaterService.exe','32'); DeleteService('Update Service for VK Downloader'); DeleteService('Update Service for advPlugin'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','nwvcngegcb'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end. Компьютер перезагрузится. Выполните скрипт в AVZ Код begin CreateQurantineArchive('c:\quarantine.zip'); end. Отправьте c:\quarantine.zip при помощи этой формы Сделайте новые логи по правилам Скачайте Farbar Recovery Scan Tool [img]http://i.********/NAAC5Ba.png[/img] и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan** отмечены "List BCD" и "Driver MD5". [img]http://i.********/B92LqRQ.png[/img] Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt**). Пожалуйста, прикрепите его в следующем сообщении. 0

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	28.02.2015, 23:36	7
	Что с проблемой? 0

@milina 0 / 0 / 0 Регистрация: 28.02.2015 Сообщений: 6
	28.02.2015, 23:50 [ТС]	8
	Вроде бы все хорошо, большое спасибо) 0

@severnyj 3877 / 2093 / 342 Регистрация: 04.04.2012 Сообщений: 7,681
	28.02.2015, 23:51	9
	Выполните скрипт в AVZ при наличии доступа в интернет: Код var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему. Выполните рекомендации после лечения. 0

@milina 0 / 0 / 0 Регистрация: 28.02.2015 Сообщений: 6
	01.03.2015, 00:06 [ТС]	10
	Спасибо) 0