Вирус с всплывающими окнами и блокировкой почты

@Гонтеля · Регистрация: 07.05.2013

Author24 — интернет-сервис помощи студентам

Помогите удалить вирус, касперский не обнаружил.

magirus · 07.05.2013, 21:28

Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему

@Гонтеля · 07.05.2013, 22:59 **[ТС]**

логи

@~~Katharsis~~ · 07.05.2013, 23:34

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - ЭТО МОЖЕТ ПОВРЕДИТЬ ВАШЕЙ СИСТЕМЕ! Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
_______________________________________________________

1. Перед выполнением скрипта выгрузите антивирусное и защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт (без номеров строк) - Нажать кнопку Запустить.

Код

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Users\836D~1\AppData\Local\Temp\1jfuweif.exe','');
 DeleteFile('C:\Users\836D~1\AppData\Local\Temp\1jfuweif.exe');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyStrParamWrite('HKEY_CURRENT_USER','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Shell','');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

На время выполнения скрипта все сетевые подключения будут закрыты. После окончания компьютер перезагрузится. После перезагрузки выполнить второй скрипт:

Код

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме.

2. Сделайте новые логи AVZ (ст скрипт 2) и UVS (ссылка в моей подписи)

3. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет найдено, НИЧЕГО НЕ УДАЛЯЙТЕ САМОСТОЯТЕЛЬНО !!!
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

4. как подключаетесь к сети?

@Гонтеля · 08.05.2013, 00:45 **[ТС]**

интернет подключается автоматически при загрузке винды. (интернет телекомовский, через модем)

@~~Katharsis~~ · 08.05.2013, 01:51

c:\windows\system32\drivers\etc\hоsts (Hijack.Trace) -> Действие не было предпринято.

удалите только это

модем в режиме роутера? доступ к админке есть? проблема в одном браузере или во всех?

@Гонтеля · 08.05.2013, 02:19 **[ТС]**

Удалил, да использую как роутер, доступ есть, пользуюсь только оперой.

Добавлено через 13 минут
попробовал через эксплорер, тоже всплывающие окна..

@~~Katharsis~~ · 08.05.2013, 05:44

в командной строке:

ipconfig /all > C:\ipconfig.txt

C:\ipconfig.txt выложите

@Гонтеля · 08.05.2013, 08:11 **[ТС]**

конфиг

@~~Katharsis~~ · 08.05.2013, 10:22

DNS-серверы. . . . . . . . . . . : 88.198.15.115

зайдите в настройки роутера, найдите опцию DNS (ipv4 -свойства) и пропишите dns своего провайдера или публичные - 8.8.8.8 alt 8.8.4.4

потом

Почистите браузеры с помощью AVZ

меню файл - мастер поиска и устранения проблем - категория - чистка системы, степень опасности - все проблемы. отметьте:

очистка папки TEMP
очистка временных файлов adobe flash player
очистка кэш macromedia
очистка системной папки TEMP
очистка кэша всех браузеров, какие есть в списке

переподключитесь, проверьте

@Гонтеля · 08.05.2013, 19:28 **[ТС]**

не могу зайти в настройки роутера... вроде пасс не менял, admin admin не подходит...

@shestale · 08.05.2013, 19:34

Сообщение от Гонтеля

не могу зайти в настройки роутера

1. Сбросьте настройки кнопкой Reset, а потом пропишите провайдерские настройки
2.

Сообщение от Katharsis

Почистите браузеры с помощью AVZ
меню файл - мастер поиска и устранения проблем - категория - чистка системы, степень опасности - все проблемы. отметьте:
очистка папки TEMP
очистка временных файлов adobe flash player
очистка кэш macromedia
очистка системной папки TEMP
очистка кэша всех браузеров, какие есть в списке
переподключитесь, проверьте

@Гонтеля · 08.05.2013, 21:16 **[ТС]**

Все сделал, в опере не перестали всплывать, снес её.. сижу через эксплорер, все нормально!

@~~Katharsis~~ · 08.05.2013, 21:24

можно не сносить, почистите кэш оперы отдельно, а также проверьте надстройки (расширения) - нет ли там чего лишнего.

@Гонтеля · 08.05.2013, 21:35 **[ТС]**

Спасибо большое за помощь и советы

@~~Katharsis~~ · 08.05.2013, 21:50

проблема решилась?

@Гонтеля · 09.05.2013, 09:29 **[ТС]**

Поставил оперу заново , пока ничего не вылезает! Все работает!

@shestale · 09.05.2013, 11:20

Для профилактики повторных заражений и закрытии уязвимостей вашей системы, сделайте лог SecurityCheck by glax24.
Лог, который откроется, скопируйте и вставьте в пост, сам файл выкладывать не нужно, затем скачайте и установите все обновления по ссылкам.

Рекомендации после удаления вредоносного ПО

@Гонтеля · 09.05.2013, 11:29 **[ТС]**

Security Check by glax24 version 0.1.6.54 rc1
WebSite: www.safezone.cc
DataLog 09.05.2013 11:28:00
Program directory: C:\temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True
XML File - VersionInet=4.0
Диск C:\ ФС: NTFS Емкость: (58.6 Гб) Занято: (51.2 Гб) Свободно: (7.4 Гб)
__________________________________________________

WIN_7(6.1) Build 7601 (x64) Ultimate Lang: Russian(0419)
Дата установки ОС: 17.06.2012 13:51:44
Статус лицензии: Windows(R) 7, Ultimate edition Постоянная активация прошла успешно.
Service Pack 1
Internet Explorer 9.0.8112.16421 Внимание! Скачать обновления
-------------Windows------------------------------
Контроль учётных записей пользователя отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Загружать автоматически обновления и устанавливать по заданному расписанию
Дата установки обновлений: 2013-05-08 04:04:25
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
-------------Antivirus_WMI------------------------
Kaspersky Internet Security
Антивирус обновлен
Сканирование отключено
-------------Firewall_WMI-------------------------
Kaspersky Internet Security
-------------AntiSpyware_WMI----------------------
Kaspersky Internet Security
Windows Defender
-------------AntiVirusFirewallInstall-------------
Kaspersky Internet Security 2013 v.13.0.1.4190
-------------OtherUtilities-----------------------
CCleaner v.3.28
Malwarebytes Anti-Malware, версия 1.75.0.1300 v.1.75.0.1300
-------------Java---------------------------------
Java(TM) 7 Update 4 (64-bit) v.7.0.40
Java(TM) 7 Update 4 v.7.0.40
-------------AppleProduction----------------------
Bonjour v.3.0.0.10
Служба Bonjour (Bonjour Service) - Служба работает
-------------AdobeProduction----------------------
Adobe Flash Player 11 ActiveX & Plugin 64-bit v.11.2.202.235 Внимание! Скачать обновления
Adobe Reader 9.3.1 Lite — Russian v.9.3.1 Внимание! Скачать обновления
-------------Browser------------------------------
Opera 12.15 v.12.15.1748
-------------RunningProcess-----------------------
C:\Program Files (x86)\Opera\opera.exe v.12.15.1748.0
-------------EndLog-------------------------------

@shestale · 09.05.2013, 11:37

В целях безопасности включите UAC.
Удачи!

@~~Katharsis~~ Заблокирован
	08.05.2013, 21:24	14
	можно не сносить, почистите кэш оперы отдельно, а также проверьте надстройки (расширения) - нет ли там чего лишнего. 1

@Гонтеля 0 / 0 / 0 Регистрация: 07.05.2013 Сообщений: 10
		1
	Вирус с всплывающими окнами и блокировкой почты 07.05.2013, 21:25. Показов 1731. Ответов 19 Метки нет (Все метки) Помогите удалить вирус, касперский не обнаружил. 0

magirus Почетный модератор 28045 / 15778 / 982 Регистрация: 15.09.2009 Сообщений: 67,752 Записей в блоге: 78
	07.05.2013, 21:28	2
	Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему 0

@~~Katharsis~~ Заблокирован
	07.05.2013, 23:34	4
	Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - ЭТО МОЖЕТ ПОВРЕДИТЬ ВАШЕЙ СИСТЕМЕ! Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. _______________________________________________________ 1. Перед выполнением скрипта выгрузите антивирусное и защитное ПО. AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт (без номеров строк) - Нажать кнопку Запустить. Код begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Users\836D~1\AppData\Local\Temp\1jfuweif.exe',''); DeleteFile('C:\Users\836D~1\AppData\Local\Temp\1jfuweif.exe'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyStrParamWrite('HKEY_CURRENT_USER','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Shell',''); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU',2,3,true); RebootWindows(true); end. На время выполнения скрипта все сетевые подключения будут закрыты. После окончания компьютер перезагрузится. После перезагрузки выполнить второй скрипт: Код begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме. 2. Сделайте новые логи AVZ (ст скрипт 2) и UVS (ссылка в моей подписи) 3. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет найдено, НИЧЕГО НЕ УДАЛЯЙТЕ САМОСТОЯТЕЛЬНО !!! Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. 4. как подключаетесь к сети? 1

@~~Katharsis~~ Заблокирован
	08.05.2013, 01:51	6
	c:\windows\system32\drivers\etc\hоsts (Hijack.Trace) -> Действие не было предпринято. удалите только это модем в режиме роутера? доступ к админке есть? проблема в одном браузере или во всех? 1

@Гонтеля 0 / 0 / 0 Регистрация: 07.05.2013 Сообщений: 10
	08.05.2013, 02:19 [ТС]	7
	Удалил, да использую как роутер, доступ есть, пользуюсь только оперой. Добавлено через 13 минут попробовал через эксплорер, тоже всплывающие окна.. 0

@~~Katharsis~~ Заблокирован
	08.05.2013, 05:44	8
	в командной строке: ipconfig /all > C:\ipconfig.txt C:\ipconfig.txt выложите 1

@~~Katharsis~~ Заблокирован
	08.05.2013, 10:22	10
	DNS-серверы. . . . . . . . . . . : 88.198.15.115 зайдите в настройки роутера, найдите опцию DNS (ipv4 -свойства) и пропишите dns своего провайдера или публичные - 8.8.8.8 alt 8.8.4.4 потом Почистите браузеры с помощью AVZ меню файл - мастер поиска и устранения проблем - категория - чистка системы, степень опасности - все проблемы. отметьте: очистка папки TEMP очистка временных файлов adobe flash player очистка кэш macromedia очистка системной папки TEMP очистка кэша всех браузеров, какие есть в списке переподключитесь, проверьте 1

@Гонтеля 0 / 0 / 0 Регистрация: 07.05.2013 Сообщений: 10
	08.05.2013, 19:28 [ТС]	11
	не могу зайти в настройки роутера... вроде пасс не менял, admin admin не подходит... 0

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	08.05.2013, 19:34	12
	Сообщение от Гонтеля не могу зайти в настройки роутера 1. Сбросьте настройки кнопкой Reset, а потом пропишите провайдерские настройки 2. Сообщение от Katharsis Почистите браузеры с помощью AVZ меню файл - мастер поиска и устранения проблем - категория - чистка системы, степень опасности - все проблемы. отметьте: очистка папки TEMP очистка временных файлов adobe flash player очистка кэш macromedia очистка системной папки TEMP очистка кэша всех браузеров, какие есть в списке переподключитесь, проверьте 1

@Гонтеля 0 / 0 / 0 Регистрация: 07.05.2013 Сообщений: 10
	08.05.2013, 21:16 [ТС]	13
	Все сделал, в опере не перестали всплывать, снес её.. сижу через эксплорер, все нормально! 0

	09.05.2013, 11:37

@Гонтеля 0 / 0 / 0 Регистрация: 07.05.2013 Сообщений: 10
	08.05.2013, 21:35 [ТС]	15
	Спасибо большое за помощь и советы 0

@~~Katharsis~~ Заблокирован
	08.05.2013, 21:50	16
	проблема решилась? 1

@Гонтеля 0 / 0 / 0 Регистрация: 07.05.2013 Сообщений: 10
	09.05.2013, 09:29 [ТС]	17
	Поставил оперу заново , пока ничего не вылезает! Все работает! 0

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	09.05.2013, 11:20	18
	Для профилактики повторных заражений и закрытии уязвимостей вашей системы, сделайте лог SecurityCheck by glax24. Лог, который откроется, скопируйте и вставьте в пост, сам файл выкладывать не нужно, затем скачайте и установите все обновления по ссылкам. Рекомендации после удаления вредоносного ПО 1

@Гонтеля 0 / 0 / 0 Регистрация: 07.05.2013 Сообщений: 10
	09.05.2013, 11:29 [ТС]	19
	Security Check by glax24 version 0.1.6.54 rc1 WebSite: www.safezone.cc DataLog 09.05.2013 11:28:00 Program directory: C:\temp\SecurityCheck\ Log directory: C:\SecurityCheck\ IsAdmin: True XML File - VersionInet=4.0 Диск C:\ ФС: NTFS Емкость: (58.6 Гб) Занято: (51.2 Гб) Свободно: (7.4 Гб) __________________________________________________ WIN_7(6.1) Build 7601 (x64) Ultimate Lang: Russian(0419) Дата установки ОС: 17.06.2012 13:51:44 Статус лицензии: Windows(R) 7, Ultimate edition Постоянная активация прошла успешно. Service Pack 1 Internet Explorer 9.0.8112.16421 Внимание! Скачать обновления -------------Windows------------------------------ Контроль учётных записей пользователя отключен ^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^ Загружать автоматически обновления и устанавливать по заданному расписанию Дата установки обновлений: 2013-05-08 04:04:25 Центр обновления Windows (wuauserv) - Служба работает Центр обеспечения безопасности (wscsvc) - Служба работает -------------Antivirus_WMI------------------------ Kaspersky Internet Security Антивирус обновлен Сканирование отключено -------------Firewall_WMI------------------------- Kaspersky Internet Security -------------AntiSpyware_WMI---------------------- Kaspersky Internet Security Windows Defender -------------AntiVirusFirewallInstall------------- Kaspersky Internet Security 2013 v.13.0.1.4190 -------------OtherUtilities----------------------- CCleaner v.3.28 Malwarebytes Anti-Malware, версия 1.75.0.1300 v.1.75.0.1300 -------------Java--------------------------------- Java(TM) 7 Update 4 (64-bit) v.7.0.40 Java(TM) 7 Update 4 v.7.0.40 -------------AppleProduction---------------------- Bonjour v.3.0.0.10 Служба Bonjour (Bonjour Service) - Служба работает -------------AdobeProduction---------------------- Adobe Flash Player 11 ActiveX & Plugin 64-bit v.11.2.202.235 Внимание! Скачать обновления Adobe Reader 9.3.1 Lite — Russian v.9.3.1 Внимание! Скачать обновления -------------Browser------------------------------ Opera 12.15 v.12.15.1748 -------------RunningProcess----------------------- C:\Program Files (x86)\Opera\opera.exe v.12.15.1748.0 -------------EndLog------------------------------- 0