Speed2

@Кирилл Тарасов · Регистрация: 11.11.2012

Author24 — интернет-сервис помощи студентам

Здравстсвуйте

@~~Katharsis~~ · 11.11.2012, 21:58

здравствуйте

Добавлено через 27 минут
Кирилл Тарасов, здесь никто насильно информацию тянуть не будет. не хотите - не надо

@Кирилл Тарасов · 11.11.2012, 22:02 **[ТС]**

Изменена стартовая страница, а так же некоректно отоброжаются сайты VK.com. и mail.ru. Постоянно перенаправляет на подозрительные сайты.

Выложил файлы, по инструкции, прошу помочь избавиться от данного вируса

@~~Katharsis~~ · 11.11.2012, 22:22

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
_______________________________________________________

1. обновите:
adobe reader , Sun Java, Adobe Flash Player, QuickTime, браузеры (по мере выхода обновлений) и их надстройки.

2. В логе сканирования Hijackthis отметьте:

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxxi.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxxi.biz

нажмите "Fix checked"

домашние страницы исправьте в настройках браузеров вручную

3. Перед выполнением скрипта выгрузите антивирусное и защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт (без номеров строк) - Нажать кнопку Запустить.

Код

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\пробный\Application Data\Microsoft\lsass.exe','');
 QuarantineFile('C:\WINDOWS\system32\kelfned.dll','');
 QuarantineFile('C:\DOCUME~1\9923~1\LOCALS~1\Temp\8577015FdOh','');
 QuarantineFile('C:\Documents and Settings\пробный\Главное меню\Программы\Автозагрузка\I53vlNw7dY4.exe','');
 DeleteFile('C:\Documents and Settings\пробный\Главное меню\Программы\Автозагрузка\I53vlNw7dY4.exe');
 DeleteFile('C:\DOCUME~1\9923~1\LOCALS~1\Temp\8577015FdOh');
 DeleteFile('C:\WINDOWS\system32\kelfned.dll');
 DeleteFile('C:\Documents and Settings\пробный\Application Data\Microsoft\lsass.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','8577125');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Taskhost');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
 ExecuteRepair(13);
RebootWindows(true);
end.

На время выполнения скрипта все сетевые подключения будут закрыты. После окончания компьютер перезагрузится. После перезагрузки выполнить второй скрипт:

Код

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме.

4. Сделайте новые логи AVZ и RSIT

5. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет отмечено, удалять ничего не нужно.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

6. Скачайте TDSSKiller, распакуйте в корень системного диска. Нажмите Пуск - выполнить. В поле открыть впишите команду: C:\tdsskiller.exe -qmbr -qboot Папку с карантином C:\TDSSKiller_Quarantine запакуйте с паролем virus и отправьте на адрес quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему и ника на форуме. Лог после сканирования (файл TDSSKiller.2.7.15.0_дата_время_log.txt) выложите сюда.

7. смените все пароли

@Кирилл Тарасов · 12.11.2012, 00:10 **[ТС]**

Не смог отправить архив на quarantine <at> safezone.cc (замените <at> на @). Где именно на сайте найти то, что мне нужно?
Все остальное сделал.

@~~Katharsis~~ · 12.11.2012, 00:16

Сообщение от Кирилл Тарасов

Не смог отправить архив

почему? со своего ящика отправьте

@Кирилл Тарасов · 12.11.2012, 00:23 **[ТС]**

отправил

@~~Katharsis~~ · 12.11.2012, 00:35

C:\Program Files\2 - что в папке?

1. AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт (без номеров строк) - Нажать кнопку Запустить.

Код

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\mzfythik.dll','');
 QuarantineFile('C:\WINDOWS\system32\drivers\etc\hоsts','');
 QuarantineFile('C:\WINDOWS\system32\ieunitdrf.inf','');
 QuarantineFile('C:\Documents and Settings\Кирилл\0.1500707039726582.exe','');
 QuarantineFile('C:\WINDOWS\logfile32.txt','');
 QuarantineFile('C:\WINDOWS\system32\A66E73\internet.fne','');
 QuarantineFile('C:\WINDOWS\system32\eompghk.dll','');
 QuarantineFile('C:\Documents and Settings\пробный\Application Data\Sun\Java\Deployment\cache\6.0\40\68312528-45a10a7e','');
 QuarantineFile('C:\Documents and Settings\пробный\Application Data\Microsoft\198.exe','');
 DeleteFile('C:\WINDOWS\system32\drivers\etc\hоsts');
 DeleteFile('C:\WINDOWS\system32\ieunitdrf.inf');
 DeleteFile('C:\Documents and Settings\Кирилл\0.1500707039726582.exe');
 DeleteFile('C:\WINDOWS\logfile32.txt');
 DeleteFile('C:\WINDOWS\system32\A66E73\internet.fne');
 DeleteFile('C:\WINDOWS\system32\eompghk.dll');
 DeleteFile('C:\Documents and Settings\пробный\Application Data\Sun\Java\Deployment\cache\6.0\40\68312528-45a10a7e');
 DeleteFile('C:\Documents and Settings\пробный\Application Data\Microsoft\198.exe');
 DeleteFile('C:\WINDOWS\system32\mzfythik.dll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\umant\Parameters','ServiceDll');
 DeleteFileMask('C:\Documents and Settings\пробный\Application Data\winxrar', '*', true);
 DeleteFileMask('C:\Documents and Settings\Кирилл\Application Data\winxrar', '*', true);
 DeleteDirectory('C:\Documents and Settings\пробный\Application Data\winxrar');
 DeleteDirectory('C:\Documents and Settings\Кирилл\Application Data\winxrar');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

На время выполнения скрипта все сетевые подключения будут закрыты. После окончания компьютер перезагрузится. После перезагрузки выполнить второй скрипт:

Код

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме.

2. повторите AVZ - стандартный скрипт 2

3. сделайте повторное сканирование MBAM - только диск С, лог выложите

4. загрузитесь под учеткой "Кирилл", сделайте логи RSIT и AVZ (стандартный скрипт 2)
__________

В целях безопасности скачайте и установите Internet Explorer 8 + все вышенаписанное обновить нужно обязательно!

@Кирилл Тарасов · 12.11.2012, 00:39 **[ТС]**

содержимое папки C:\Program Files\2

@~~Katharsis~~ · 12.11.2012, 00:45

прибейте эту папку со всем содержимым

@Кирилл Тарасов · 12.11.2012, 01:15 **[ТС]**

MBAM - только диск С

@~~Katharsis~~ · 12.11.2012, 15:32

Сообщение от Katharsis

2. повторите AVZ - стандартный скрипт 2

Сообщение от Katharsis

4. загрузитесь под учеткой "Кирилл", сделайте логи RSIT и AVZ (стандартный скрипт 2)

?????

@Кирилл Тарасов · 12.11.2012, 17:38 **[ТС]**

Скрипт 2 делал. Пользователь Кирилл был удален вручную, ввиду предыдущий обстаятельств. Зайти за него в принципе невозможно. (либо можно не стандартным путем, который я не знаю)

@~~Katharsis~~ · 12.11.2012, 17:42

Сообщение от Кирилл Тарасов

Пользователь Кирилл был удален вручную,

ок, тогда лог после

Сообщение от Кирилл Тарасов

Скрипт 2

выложите

@Кирилл Тарасов · 12.11.2012, 19:09 **[ТС]**

AVZ - стандартный скрипт 2

@~~Katharsis~~ · 12.11.2012, 19:11

чисто

проблема решена?

@Кирилл Тарасов · 12.11.2012, 19:13 **[ТС]**

проблемма, возникавшая у меня решилась давно
благодарю за чистку и помощ, все в порядке

@~~Katharsis~~ · 12.11.2012, 19:16

Рекомендации после удаления вредоносного ПО

@~~Katharsis~~ Заблокирован
	12.11.2012, 17:42	14
	Сообщение от Кирилл Тарасов Пользователь Кирилл был удален вручную, ок, тогда лог после Сообщение от Кирилл Тарасов Скрипт 2 выложите 0

@~~Katharsis~~ Заблокирован
	12.11.2012, 19:16	18
	Рекомендации после удаления вредоносного ПО 0

@~~Katharsis~~ Заблокирован
	11.11.2012, 21:58	2
	здравствуйте Добавлено через 27 минут Кирилл Тарасов, здесь никто насильно информацию тянуть не будет. не хотите - не надо 0

@Кирилл Тарасов 0 / 0 / 0 Регистрация: 11.11.2012 Сообщений: 9
	11.11.2012, 22:02 [ТС]	3
	Изменена стартовая страница, а так же некоректно отоброжаются сайты VK.com. и mail.ru. Постоянно перенаправляет на подозрительные сайты. Выложил файлы, по инструкции, прошу помочь избавиться от данного вируса 0

@~~Katharsis~~ Заблокирован
	11.11.2012, 22:22	4
	Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. _______________________________________________________ 1. обновите: adobe reader , Sun Java, Adobe Flash Player, QuickTime, браузеры (по мере выхода обновлений) и их надстройки. 2. В логе сканирования Hijackthis отметьте: R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxxi.biz R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxxi.biz нажмите "Fix checked" домашние страницы исправьте в настройках браузеров вручную 3. Перед выполнением скрипта выгрузите антивирусное и защитное ПО. AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт (без номеров строк) - Нажать кнопку Запустить. Код begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\пробный\Application Data\Microsoft\lsass.exe',''); QuarantineFile('C:\WINDOWS\system32\kelfned.dll',''); QuarantineFile('C:\DOCUME~1\9923~1\LOCALS~1\Temp\8577015FdOh',''); QuarantineFile('C:\Documents and Settings\пробный\Главное меню\Программы\Автозагрузка\I53vlNw7dY4.exe',''); DeleteFile('C:\Documents and Settings\пробный\Главное меню\Программы\Автозагрузка\I53vlNw7dY4.exe'); DeleteFile('C:\DOCUME~1\9923~1\LOCALS~1\Temp\8577015FdOh'); DeleteFile('C:\WINDOWS\system32\kelfned.dll'); DeleteFile('C:\Documents and Settings\пробный\Application Data\Microsoft\lsass.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','8577125'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Taskhost'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU',2,3,true); ExecuteRepair(13); RebootWindows(true); end. На время выполнения скрипта все сетевые подключения будут закрыты. После окончания компьютер перезагрузится. После перезагрузки выполнить второй скрипт: Код begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме. 4. Сделайте новые логи AVZ и RSIT 5. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет отмечено, удалять ничего не нужно. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. 6. Скачайте TDSSKiller, распакуйте в корень системного диска. Нажмите Пуск - выполнить. В поле открыть впишите команду: C:\tdsskiller.exe -qmbr -qboot Папку с карантином C:\TDSSKiller_Quarantine запакуйте с паролем virus и отправьте на адрес quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему и ника на форуме. Лог после сканирования (файл TDSSKiller.2.7.15.0_дата_время_log.txt) выложите сюда. 7. смените все пароли 0

@~~Katharsis~~ Заблокирован
	12.11.2012, 00:16	6
	Сообщение от Кирилл Тарасов Не смог отправить архив почему? со своего ящика отправьте 0

@Кирилл Тарасов 0 / 0 / 0 Регистрация: 11.11.2012 Сообщений: 9
	12.11.2012, 00:23 [ТС]	7
	отправил 0

@Кирилл Тарасов 0 / 0 / 0 Регистрация: 11.11.2012 Сообщений: 9
	12.11.2012, 00:39 [ТС]	9
	содержимое папки C:\Program Files\2 0

@~~Katharsis~~ Заблокирован
	12.11.2012, 00:45	10
	прибейте эту папку со всем содержимым 0

@~~Katharsis~~ Заблокирован
	12.11.2012, 15:32	12
	Сообщение от Katharsis 2. повторите AVZ - стандартный скрипт 2 Сообщение от Katharsis 4. загрузитесь под учеткой "Кирилл", сделайте логи RSIT и AVZ (стандартный скрипт 2) ????? 0

@Кирилл Тарасов 0 / 0 / 0 Регистрация: 11.11.2012 Сообщений: 9
	12.11.2012, 17:38 [ТС]	13
	Скрипт 2 делал. Пользователь Кирилл был удален вручную, ввиду предыдущий обстаятельств. Зайти за него в принципе невозможно. (либо можно не стандартным путем, который я не знаю) 0

@~~Katharsis~~ Заблокирован
	12.11.2012, 19:11	16
	чисто проблема решена? 1

Опции темы

@Кирилл Тарасов 0 / 0 / 0 Регистрация: 11.11.2012 Сообщений: 9
	12.11.2012, 19:13 [ТС]	17
	проблемма, возникавшая у меня решилась давно благодарю за чистку и помощ, все в порядке 0