Вирус speed2, как это лечить?

@Alanel · Регистрация: 18.09.2012

Приветсвтую хелперов которые будут вытаскивать мою систему, файлы прикрепил.
Симптомы: в браузере открывается всегда сайт speed2 и закрываются старые ссылочки.
Других проблем пока не замечал.
Прошу при создании логов для меня указать путь куда, что прописывать. Типо C: /windows /...
Ибо я плохо ориентируюсь в этом без подробностей.

@~~Katharsis~~ · 18.09.2012, 23:42

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
_______________________________________________________

1. обновите:
adobe reader , Sun Java, Adobe Flash Player, QuickTime, браузеры (по мере выхода обновлений) и их надстройки.

2. В логе сканирования Hijackthis отметьте:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://browserhelp2.ru

нажмите "Fix checked"

3. Перед выполнением скрипта выгрузите антивирусное и защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт (без номеров строк) - Нажать кнопку Запустить.

Код

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFileF('C:\ProgramData\bhjlOx1nLzI', '*', false, '', 0, 0);
 QuarantineFile('C:\Users\Alanel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\nE4jyWGhVYw.exe','');
 QuarantineFile('c:\users\alanel\appdata\roaming\taskhost.exe','');
 DeleteFile('c:\users\alanel\appdata\roaming\taskhost.exe');
 DeleteFile('C:\Users\Alanel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\nE4jyWGhVYw.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Taskhost');
 DeleteFileMask('C:\ProgramData\bhjlOx1nLzI', '*', true);
 DeleteDirectory('C:\ProgramData\bhjlOx1nLzI');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

На время выполнения скрипта все сетевые подключения будут закрыты. После окончания компьютер перезагрузится. После перезагрузки выполнить второй скрипт:

Код

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме.

4. Сделайте новые логи AVZ и RSIT

5. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет отмечено, удалять ничего не нужно.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

6. Скачайте TDSSKiller, распакуйте в корень системного диска. Нажмите Пуск - выполнить. В поле открыть впишите команду: C:\tdsskiller.exe -qmbr -qboot Папку с карантином C:\TDSSKiller_Quarantine запакуйте с паролем virus и отправьте на адрес quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему и ника на форуме. Лог после сканирования (файл TDSSKiller.2.7.15.0_дата_время_log.txt) выложите сюда.

7. смените все пароли

@Alanel · 19.09.2012, 15:58 **[ТС]**

Все пункты выполнил, проблема не пропала, файлы прикрепил.

@Alanel · 19.09.2012, 18:58 **[ТС]**

проверил в virustotal несколько файлов но не разобрался как понять вирус они или нет ...
C:\Windows\write.exe (Trojan.FakeMS) -> Действие не было предпринято.
C:\Windows\System32\CPLDAPU\ProduKey.exe (PUP.PSWTool.ProductKey) -> Действие не было предпринято.
C:\Windows\System32\CPLDAPU\WebBrowserPassView.exe (PUP.PassView) -> Действие не было предпринято.

Другие файлы вобще не нашёл:
C:\System Volume Information\_restore{2E6734A4-7590-4807-8ACF-B2BB433331A1}\RP20\A0084545.dll (Malware.Packer.T) -> Действие не было предпринято.
C:\System Volume Information\_restore{C30E5588-3422-48FB-8319-002F4381E129}\RP21\A0098635.dll (Malware.Packer.T) -> Действие не было предпринято.
C:\System Volume Information\_restore{D487F46A-8856-4336-919E-24EC970B5078}\RP30\A0028725.exe (PUP.BundleInstaller.MB) -> Действие не было предпринято.

@~~Katharsis~~ · 19.09.2012, 19:47

из того что найдено mbam трогать ничего не нужно, если какой то файл под подозрением - просим проверить отдельно, все подряд - тоже не надо.

Сообщение от Katharsis

4. Сделайте новые логи AVZ и RSIT

не забудьте

@Alanel · 20.09.2012, 14:17 **[ТС]**

Извеняюсь , просмотрел ) Сделал и прикрепил.

@~~Katharsis~~ · 20.09.2012, 14:57

чисто

если где то в опциях браузеров прописан speed2 - замените на нужную домашнюю страницу вручную

проблема решена?

@Alanel · 20.09.2012, 16:09 **[ТС]**

Да , всё получилось , спасибо.

@~~Katharsis~~ · 20.09.2012, 16:13

Рекомендации после удаления вредоносного ПО

@~~Katharsis~~ Заблокирован
	18.09.2012, 23:42	2
	Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. _______________________________________________________ 1. обновите: adobe reader , Sun Java, Adobe Flash Player, QuickTime, браузеры (по мере выхода обновлений) и их надстройки. 2. В логе сканирования Hijackthis отметьте: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://browserhelp2.ru нажмите "Fix checked" 3. Перед выполнением скрипта выгрузите антивирусное и защитное ПО. AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт (без номеров строк) - Нажать кнопку Запустить. Код begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFileF('C:\ProgramData\bhjlOx1nLzI', '', false, '', 0, 0); QuarantineFile('C:\Users\Alanel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\nE4jyWGhVYw.exe',''); QuarantineFile('c:\users\alanel\appdata\roaming\taskhost.exe',''); DeleteFile('c:\users\alanel\appdata\roaming\taskhost.exe'); DeleteFile('C:\Users\Alanel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\nE4jyWGhVYw.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Taskhost'); DeleteFileMask('C:\ProgramData\bhjlOx1nLzI', '', true); DeleteDirectory('C:\ProgramData\bhjlOx1nLzI'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU',2,3,true); RebootWindows(true); end. На время выполнения скрипта все сетевые подключения будут закрыты. После окончания компьютер перезагрузится. После перезагрузки выполнить второй скрипт: Код begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме. 4. Сделайте новые логи AVZ и RSIT 5. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет отмечено, удалять ничего не нужно. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. 6. Скачайте TDSSKiller, распакуйте в корень системного диска. Нажмите Пуск - выполнить. В поле открыть впишите команду: C:\tdsskiller.exe -qmbr -qboot Папку с карантином C:\TDSSKiller_Quarantine запакуйте с паролем virus и отправьте на адрес quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему и ника на форуме. Лог после сканирования (файл TDSSKiller.2.7.15.0_дата_время_log.txt) выложите сюда. 7. смените все пароли 1

@Alanel 0 / 0 / 0 Регистрация: 18.09.2012 Сообщений: 9
	19.09.2012, 18:58 [ТС]	4
	проверил в virustotal несколько файлов но не разобрался как понять вирус они или нет ... C:\Windows\write.exe (Trojan.FakeMS) -> Действие не было предпринято. C:\Windows\System32\CPLDAPU\ProduKey.exe (PUP.PSWTool.ProductKey) -> Действие не было предпринято. C:\Windows\System32\CPLDAPU\WebBrowserPassView.exe (PUP.PassView) -> Действие не было предпринято. Другие файлы вобще не нашёл: C:\System Volume Information\_restore{2E6734A4-7590-4807-8ACF-B2BB433331A1}\RP20\A0084545.dll (Malware.Packer.T) -> Действие не было предпринято. C:\System Volume Information\_restore{C30E5588-3422-48FB-8319-002F4381E129}\RP21\A0098635.dll (Malware.Packer.T) -> Действие не было предпринято. C:\System Volume Information\_restore{D487F46A-8856-4336-919E-24EC970B5078}\RP30\A0028725.exe (PUP.BundleInstaller.MB) -> Действие не было предпринято. 0

@~~Katharsis~~ Заблокирован
	19.09.2012, 19:47	5
	из того что найдено mbam трогать ничего не нужно, если какой то файл под подозрением - просим проверить отдельно, все подряд - тоже не надо. Сообщение от Katharsis 4. Сделайте новые логи AVZ и RSIT не забудьте 1

@~~Katharsis~~ Заблокирован
	20.09.2012, 14:57	7
	чисто если где то в опциях браузеров прописан speed2 - замените на нужную домашнюю страницу вручную проблема решена? 1

@Alanel 0 / 0 / 0 Регистрация: 18.09.2012 Сообщений: 9
	20.09.2012, 16:09 [ТС]	8
	Да , всё получилось , спасибо. 0

@~~Katharsis~~ Заблокирован
	20.09.2012, 16:13	9
	Рекомендации после удаления вредоносного ПО 1

Опции темы