Вирус. Во всех браузерах слева выводится баннер

@AlexanderI · Регистрация: 26.02.2013

Здравствуйте.
Уже третий день не могу избавиться.
Во всех браузерах, слева, выводится вертикальный баннер.

Помогите избавиться от вируса.

@~~Katharsis~~ · 26.02.2013, 12:02

combofix кто надоумил использовать?

лог выложите, а так же лог полного сканирования MBAM со списком того, что успели грохнуть

@AlexanderI · 26.02.2013, 12:11 **[ТС]**

combofix есть один человек

Логи из MBAM которые есть прикрепляю

@~~Katharsis~~ · 26.02.2013, 12:14

нужны mbam-log-2013-02-25.txt и combofix.txt - вы не то выложили

Сообщение от AlexanderI

есть один человек

хоть будете знать, кого бить, когда из-за комбофикса лишитесь важных данных. тем более в вашем случае он совершенно бесполезен

@AlexanderI · 26.02.2013, 14:16 **[ТС]**

Извините за ошибочный файл.
А combofix.txt я не нашёл.

@~~Katharsis~~ · 26.02.2013, 14:17

у вас единственный раздел - С ?

@AlexanderI · 26.02.2013, 14:17 **[ТС]**

нет, ещё D есть

@~~Katharsis~~ · 26.02.2013, 14:23

C:\Windows\tasks\At1.job - откройте блокнотом и скопируйте текст сюда

Hosts сами заполнили?

Кликните здесь для просмотра всего текста

127.0.0.1 www.penzaonline.specoffer.inst21vek.rus
127.0.0.1 penzaonline.specoffer.inst21vek.rus
127.0.0.1 www.specoffer.inst21vek.rus
127.0.0.1 specoffer.inst21vek.rus
127.0.0.1 www.subdomain.localhost
127.0.0.1 www.subdomain.test1.ru
127.0.0.1 subdomain.localhost
127.0.0.1 www.tmp.autofan.rus
127.0.0.1 subdomain.test1.ru
127.0.0.1 www.parallax1.rus
127.0.0.1 www.inst21vek.rus
127.0.0.1 www.autofan3.rus
127.0.0.1 tmp.autofan.rus
127.0.0.1 www.autofan.rus
127.0.0.1 www.inst21.rus
127.0.0.1 www.blesk.rus_
127.0.0.1 parallax1.rus
127.0.0.1 www.kino2.rus
127.0.0.1 www.blesk.rus
127.0.0.1 inst21vek.rus
127.0.0.1 www.localhost
127.0.0.1 www.rab1.rus
127.0.0.1 www.kino.rus
127.0.0.1 autofan3.rus
127.0.0.1 www.test1.ru
127.0.0.1 www.oep2.rus
127.0.0.1 www.oep.rus
127.0.0.1 autofan.rus
127.0.0.2 custom-host
127.0.0.1 www.rab.rus
127.0.0.1 www.bt.rus
127.0.0.1 blesk.rus_
127.0.0.1 inst21.rus
127.0.0.2 www.custom
127.0.0.1 blesk.rus
127.0.0.1 kino2.rus
127.0.0.1 test1.ru
127.0.0.1 kino.rus
127.0.0.1 rab1.rus
127.0.0.1 oep2.rus
127.0.0.1 rab.rus
127.0.0.1 oep.rus
127.0.0.1 bt.rus
127.0.0.2 custom

@AlexanderI · 26.02.2013, 14:28 **[ТС]**

Hosts сам заполнял (denwer).

At1.job - бинарный файл. Удалось только зазиповать и прикрепить.

@~~Katharsis~~ · 26.02.2013, 14:36

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
_______________________________________________________

1. В логе сканирования Hijackthis отметьте:

O17 - HKLM\System\CCS\Services\Tcpip\..\{686FC326-E8F7-4FB0-A8C8-CBC4DFC341EB}: NameServer = 80.82.209.180
O17 - HKLM\System\CCS\Services\Tcpip\..\{e29ac6c2-7037-11de-816d-806e6f6e6963}: NameServer = 80.82.209.180
O17 - HKLM\System\CS1\Services\Tcpip\..\{686FC326-E8F7-4FB0-A8C8-CBC4DFC341EB}: NameServer = 80.82.209.180
O17 - HKLM\System\CS2\Services\Tcpip\..\{686FC326-E8F7-4FB0-A8C8-CBC4DFC341EB}: NameServer = 80.82.209.180

нажмите "Fix checked"

если после этого пропадет подключение к интернету - в свойствах подключения - ipv4 - dns пропишите вручную dns своего провайдера или одни из публичных - 8.8.8.8 alt 8.8.4.4

2. Перед выполнением скрипта выгрузите антивирусное и защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт (без номеров строк) - Нажать кнопку Запустить.

Код

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\Users\Sasha\AppData\Local\Temp\101600752aq');
 DeleteFile('C:\Windows\tasks\At1.job');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

компьютер перезагрузится.

3. Почистите браузеры с помощью AVZ

меню файл - мастер поиска и устранения проблем - категория - чистка системы, степень опасности - все проблемы. отметьте:

очистка папки TEMP
очистка временных файлов adobe flash player
очистка кэш macromedia
очистка системной папки TEMP
очистка кэша всех браузеров, какие есть в списке

переподключитесь, проверьте результат

4. Сделайте новые логи AVZ (ст скрипт 2) и RSIT

5. сделайте полное сканирование MBAM всех дисков. Ничего из найденного не удаляйте

@AlexanderI · 26.02.2013, 14:56 **[ТС]**

Спасибо баннер пока не появляется.
Пока идёт проверка MBAM выкладываю логи.

@AlexanderI · 27.02.2013, 10:50 **[ТС]**

Сегодня опять появился этот баннер.
ДНС опять поменялись на вирусные 80.85.209.180
MBAM попрежнему ничего не нашел.

Что можно ещё предпринять ?

@~~Katharsis~~ · 27.02.2013, 11:37

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"

Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

________________

Сообщение от AlexanderI

ДНС опять поменялись

а что вы перед этим делали?

поменяйте снова, почистите браузеры и кэш dns и установите сложный пароль на роутер.

потом -
Рекомендации после удаления вредоносного ПО

для профилактики повторных заражений скачайте и запустите SecurityCheck by glax24 , когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности. Скачайте и установите обновления по ссылкам.

@~~Katharsis~~ Заблокирован
	26.02.2013, 12:02	2
	combofix кто надоумил использовать? лог выложите, а так же лог полного сканирования MBAM со списком того, что успели грохнуть 0

@~~Katharsis~~ Заблокирован
	26.02.2013, 12:14	4
	нужны mbam-log-2013-02-25.txt и combofix.txt - вы не то выложили Сообщение от AlexanderI есть один человек хоть будете знать, кого бить, когда из-за комбофикса лишитесь важных данных. тем более в вашем случае он совершенно бесполезен 0

@~~Katharsis~~ Заблокирован
	26.02.2013, 14:17	6
	у вас единственный раздел - С ? 0

@AlexanderI 0 / 0 / 0 Регистрация: 26.02.2013 Сообщений: 7
	26.02.2013, 14:17 [ТС]	7
	нет, ещё D есть 0

@~~Katharsis~~ Заблокирован
	26.02.2013, 14:23	8
	C:\Windows\tasks\At1.job - откройте блокнотом и скопируйте текст сюда Hosts сами заполнили? Кликните здесь для просмотра всего текста 127.0.0.1 www.penzaonline.specoffer.inst21vek.rus 127.0.0.1 penzaonline.specoffer.inst21vek.rus 127.0.0.1 www.specoffer.inst21vek.rus 127.0.0.1 specoffer.inst21vek.rus 127.0.0.1 www.subdomain.localhost 127.0.0.1 www.subdomain.test1.ru 127.0.0.1 subdomain.localhost 127.0.0.1 www.tmp.autofan.rus 127.0.0.1 subdomain.test1.ru 127.0.0.1 www.parallax1.rus 127.0.0.1 www.inst21vek.rus 127.0.0.1 www.autofan3.rus 127.0.0.1 tmp.autofan.rus 127.0.0.1 www.autofan.rus 127.0.0.1 www.inst21.rus 127.0.0.1 www.blesk.rus_ 127.0.0.1 parallax1.rus 127.0.0.1 www.kino2.rus 127.0.0.1 www.blesk.rus 127.0.0.1 inst21vek.rus 127.0.0.1 www.localhost 127.0.0.1 www.rab1.rus 127.0.0.1 www.kino.rus 127.0.0.1 autofan3.rus 127.0.0.1 www.test1.ru 127.0.0.1 www.oep2.rus 127.0.0.1 www.oep.rus 127.0.0.1 autofan.rus 127.0.0.2 custom-host 127.0.0.1 www.rab.rus 127.0.0.1 www.bt.rus 127.0.0.1 blesk.rus_ 127.0.0.1 inst21.rus 127.0.0.2 www.custom 127.0.0.1 blesk.rus 127.0.0.1 kino2.rus 127.0.0.1 test1.ru 127.0.0.1 kino.rus 127.0.0.1 rab1.rus 127.0.0.1 oep2.rus 127.0.0.1 rab.rus 127.0.0.1 oep.rus 127.0.0.1 bt.rus 127.0.0.2 custom 0

@~~Katharsis~~ Заблокирован
	26.02.2013, 14:36	10
	Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. _______________________________________________________ 1. В логе сканирования Hijackthis отметьте: O17 - HKLM\System\CCS\Services\Tcpip\..\{686FC326-E8F7-4FB0-A8C8-CBC4DFC341EB}: NameServer = 80.82.209.180 O17 - HKLM\System\CCS\Services\Tcpip\..\{e29ac6c2-7037-11de-816d-806e6f6e6963}: NameServer = 80.82.209.180 O17 - HKLM\System\CS1\Services\Tcpip\..\{686FC326-E8F7-4FB0-A8C8-CBC4DFC341EB}: NameServer = 80.82.209.180 O17 - HKLM\System\CS2\Services\Tcpip\..\{686FC326-E8F7-4FB0-A8C8-CBC4DFC341EB}: NameServer = 80.82.209.180 нажмите "Fix checked" если после этого пропадет подключение к интернету - в свойствах подключения - ipv4 - dns пропишите вручную dns своего провайдера или одни из публичных - 8.8.8.8 alt 8.8.4.4 2. Перед выполнением скрипта выгрузите антивирусное и защитное ПО. AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт (без номеров строк) - Нажать кнопку Запустить. Код begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\Users\Sasha\AppData\Local\Temp\101600752aq'); DeleteFile('C:\Windows\tasks\At1.job'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU',2,3,true); RebootWindows(true); end. компьютер перезагрузится. 3. Почистите браузеры с помощью AVZ меню файл - мастер поиска и устранения проблем - категория - чистка системы, степень опасности - все проблемы. отметьте: очистка папки TEMP очистка временных файлов adobe flash player очистка кэш macromedia очистка системной папки TEMP очистка кэша всех браузеров, какие есть в списке переподключитесь, проверьте результат 4. Сделайте новые логи AVZ (ст скрипт 2) и RSIT 5. сделайте полное сканирование MBAM всех дисков. Ничего из найденного не удаляйте 0

@AlexanderI 0 / 0 / 0 Регистрация: 26.02.2013 Сообщений: 7
	27.02.2013, 10:50 [ТС]	12
	Сегодня опять появился этот баннер. ДНС опять поменялись на вирусные 80.85.209.180 MBAM попрежнему ничего не нашел. Что можно ещё предпринять ? 0

@~~Katharsis~~ Заблокирован
	27.02.2013, 11:37	13
	Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК" Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up ________________ Сообщение от AlexanderI ДНС опять поменялись а что вы перед этим делали? поменяйте снова, почистите браузеры и кэш dns и установите сложный пароль на роутер. потом - Рекомендации после удаления вредоносного ПО для профилактики повторных заражений скачайте и запустите SecurityCheck by glax24 , когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности. Скачайте и установите обновления по ссылкам. 0

Опции темы