Троян Spyvol.a и Kryptik не удаляются ни ДР.Веб ни НОДом

@pudenus · Регистрация: 27.02.2013

Author24 — интернет-сервис помощи студентам

Привет. Выкладываю файлы. Что делать дальше? Вирус остался.

@~~Katharsis~~ · 27.02.2013, 13:30

вы о чем вообще?

@pudenus · 27.02.2013, 13:32 **[ТС]**

)По инструкции выложил файло со скриптами и прочим.

@~~Katharsis~~ · 27.02.2013, 13:36

так а проблема то в чем у вас?

@pudenus · 27.02.2013, 13:38 **[ТС]**

Троян Spyvol.a и Kryptik не удаляются ни ДР.Веб ни НОДом. комп тупит , зависает, бледнее. Файрфокс работает некоректно...

Добавлено через 45 секунд
В файрфоксе высвечиваются картинки левые сбоку

@shestale · 27.02.2013, 14:37

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

1. Закройте все программы, отключите антивирус, файрволл и прочее защитное ПО.

AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.

Код

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\D899~1\AppData\Local\Temp\iMesh_setup.exe','');
 QuarantineFile('c:\users\d899~1\appdata\local\temp\yp24xqwi.exe','');
 DeleteFile('c:\users\d899~1\appdata\local\temp\yp24xqwi.exe');
 DeleteFile('C:\Users\D899~1\AppData\Local\Temp\iMesh_setup.exe');
 DeleteFile('C:\Windows\Tasks\5hqgg5t.job');
 DeleteFile('C:\Windows\Tasks\iMeshNAG.job');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

2. После перезагрузки, выполните такой скрипт:

Код

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

3. Полученный архив quarantine.zip из папки с AVZ, отправьте с помощью этой формы или на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @), укажите ссылку на тему и ник на форуме.

4. Пофиксите в HJT эти строки (некоторых строк может не быть):

Код

O17 - HKLM\System\CCS\Services\Tcpip\..\{432936E3-282F-4386-8AAC-A1D3FEA38526}: NameServer = 5.199.140.179
O17 - HKLM\System\CCS\Services\Tcpip\..\{846ee342-7039-11de-9d20-806e6f6e6963}: NameServer = 5.199.140.179
O17 - HKLM\System\CCS\Services\Tcpip\..\{C24F9043-3C43-4AC9-87DD-6CC94D6B37FC}: NameServer = 5.199.140.179

Если после этого пропадет интернет, тогда откройте ваше сетевое подключение в свойствах протокола TCP/IPv4 пропишите адреса DNS-серверов вашего провайдера или публичные

8.8.8.8 - основной
8.8.4.4 - альтернативный

Выполните в командной строке, запущенной от администратора
("Пуск"=>Введите cmd => По найденному объекту кликните правой кнопкой мыши и выберите пункт Запустить с правами администратора")

ipconfig /flushdns

5. Сделайте новые логи AVZ и Rsit и прикрепите к сообщению.

6. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Программу не закрывайте и самостоятельно ни чего не удаляйте!

@pudenus · 27.02.2013, 19:11 **[ТС]**

пишет Ошибка скрипта: 'BEGIN' expected, позиция [1:1]

@shestale · 27.02.2013, 19:17

Цифры не копируйте.

@pudenus · 27.02.2013, 23:05 **[ТС]**

выкладываю скрипты

@shestale · 28.02.2013, 07:47

А остальное?

@pudenus · 28.02.2013, 13:15 **[ТС]**

вирус остался

@~~Katharsis~~ · 28.02.2013, 13:37

Обнаруженные файлы: 1
C:\Users\Сергей\Favorites\Free Porn, Porn, Sex Shooshtime.com .URL (Rogue.Link) -> Действие не было предпринято.

если это не ваше, то удалите

к сети через роутер подключаетесь?

@pudenus · 28.02.2013, 13:43 **[ТС]**

Удалил, картинки все равно высвечиваются сбоку. Подключаюсь через роутер.

@~~Katharsis~~ · 28.02.2013, 13:49

в накстройках роутера проверьте свойства ipv4, если там прописаны эти же dns - 5.199.140.179, исправьте их на свои или гугловские. чтобы этого адреса нигде не оставалось.

потом почистите еще раз браузеры с помощью AVZ

меню файл - мастер поиска и устранения проблем - категория - чистка системы, степень опасности - все проблемы. отметьте:

очистка папки TEMP
очистка временных файлов adobe flash player
очистка кэш macromedia
очистка системной папки TEMP
очистка кэша всех браузеров, какие есть в списке

переподключитесь, проверьте

@pudenus · 28.02.2013, 15:26 **[ТС]**

Почистил. Пока картинок не выскакивает. А про IP-не знаю как это сделать. В свойствах роутера стоит IP 192.168..., но его поменять нельзя...
Спасибо за помощь.

Добавлено через 1 минуту
Ан нет, выскакивают всеравно)

@shestale · 28.02.2013, 15:27

Сообщение от pudenus

А про IP-не знаю как это сделать.

Зайти через админку роутера и проверить или сбросить настройки роутера кнопкой Reset и заново ввести провайдерские настройки.

@~~Katharsis~~ · 28.02.2013, 16:24

Сообщение от pudenus

В свойствах роутера стоит IP 192.168..

это внутренние адреса, вам нужно исправить внешний.

@pudenus · 28.02.2013, 20:02 **[ТС]**

Нашел в сведениях сетевого подключения днс сервер ipv4 : 5.199.140.178, но тут он не меняется...Чтобы зайти по админом, мне понадобится пароль, наверное, а я его давно потерял...

Добавлено через 36 секунд
Да и без админа, все-равно пароль нужен...

@shestale · 28.02.2013, 20:06

Сообщение от pudenus

Да и без админа, все-равно пароль нужен...

сбросить настройки роутера кнопкой Reset и заново ввести провайдерские настройки.

@~~Katharsis~~ · 28.02.2013, 20:07

Сообщение от pudenus

мне понадобится пароль

нужно менять в любом случае, иначе проблема не решится.

@~~Katharsis~~ Заблокирован
	28.02.2013, 13:37	12
	Обнаруженные файлы: 1 C:\Users\Сергей\Favorites\Free Porn, Porn, Sex Shooshtime.com .URL (Rogue.Link) -> Действие не было предпринято. если это не ваше, то удалите к сети через роутер подключаетесь? 0

@pudenus 0 / 0 / 0 Регистрация: 27.02.2013 Сообщений: 27
	28.02.2013, 20:02 [ТС]	18
	Нашел в сведениях сетевого подключения днс сервер ipv4 : 5.199.140.178, но тут он не меняется...Чтобы зайти по админом, мне понадобится пароль, наверное, а я его давно потерял... Добавлено через 36 секунд Да и без админа, все-равно пароль нужен... 0

@~~Katharsis~~ Заблокирован
	27.02.2013, 13:30	2
	вы о чем вообще? 0

@pudenus 0 / 0 / 0 Регистрация: 27.02.2013 Сообщений: 27
	27.02.2013, 13:32 [ТС]	3
	)По инструкции выложил файло со скриптами и прочим. 0

@~~Katharsis~~ Заблокирован
	27.02.2013, 13:36	4
	так а проблема то в чем у вас? 0

@pudenus 0 / 0 / 0 Регистрация: 27.02.2013 Сообщений: 27
	27.02.2013, 13:38 [ТС]	5
	Троян Spyvol.a и Kryptik не удаляются ни ДР.Веб ни НОДом. комп тупит , зависает, бледнее. Файрфокс работает некоректно... Добавлено через 45 секунд В файрфоксе высвечиваются картинки левые сбоку 0

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	27.02.2013, 14:37	6
	Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ______________________________________________________ 1. Закройте все программы, отключите антивирус, файрволл и прочее защитное ПО. AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить. Код begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\D899~1\AppData\Local\Temp\iMesh_setup.exe',''); QuarantineFile('c:\users\d899~1\appdata\local\temp\yp24xqwi.exe',''); DeleteFile('c:\users\d899~1\appdata\local\temp\yp24xqwi.exe'); DeleteFile('C:\Users\D899~1\AppData\Local\Temp\iMesh_setup.exe'); DeleteFile('C:\Windows\Tasks\5hqgg5t.job'); DeleteFile('C:\Windows\Tasks\iMeshNAG.job'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU',2,3,true); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится! 2. После перезагрузки, выполните такой скрипт: Код begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. 3. Полученный архив quarantine.zip из папки с AVZ, отправьте с помощью этой формы или на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @), укажите ссылку на тему и ник на форуме. 4. Пофиксите в HJT эти строки (некоторых строк может не быть): Код O17 - HKLM\System\CCS\Services\Tcpip\..\{432936E3-282F-4386-8AAC-A1D3FEA38526}: NameServer = 5.199.140.179 O17 - HKLM\System\CCS\Services\Tcpip\..\{846ee342-7039-11de-9d20-806e6f6e6963}: NameServer = 5.199.140.179 O17 - HKLM\System\CCS\Services\Tcpip\..\{C24F9043-3C43-4AC9-87DD-6CC94D6B37FC}: NameServer = 5.199.140.179 Если после этого пропадет интернет, тогда откройте ваше сетевое подключение в свойствах протокола TCP/IPv4 пропишите адреса DNS-серверов вашего провайдера или публичные 8.8.8.8 - основной 8.8.4.4 - альтернативный Выполните в командной строке, запущенной от администратора ("Пуск"=>Введите cmd => По найденному объекту кликните правой кнопкой мыши и выберите пункт Запустить с правами администратора") ipconfig /flushdns 5. Сделайте новые логи AVZ и Rsit и прикрепите к сообщению. 6. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Программу не закрывайте и самостоятельно ни чего не удаляйте! 0

@pudenus 0 / 0 / 0 Регистрация: 27.02.2013 Сообщений: 27
	27.02.2013, 19:11 [ТС]	7
	пишет Ошибка скрипта: 'BEGIN' expected, позиция [1:1] 0

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	27.02.2013, 19:17	8
	Цифры не копируйте. 0

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	28.02.2013, 07:47	10
	А остальное? 0

@pudenus 0 / 0 / 0 Регистрация: 27.02.2013 Сообщений: 27
	28.02.2013, 13:43 [ТС]	13
	Удалил, картинки все равно высвечиваются сбоку. Подключаюсь через роутер. 0

@~~Katharsis~~ Заблокирован
	28.02.2013, 13:49	14
	в накстройках роутера проверьте свойства ipv4, если там прописаны эти же dns - 5.199.140.179, исправьте их на свои или гугловские. чтобы этого адреса нигде не оставалось. потом почистите еще раз браузеры с помощью AVZ меню файл - мастер поиска и устранения проблем - категория - чистка системы, степень опасности - все проблемы. отметьте: очистка папки TEMP очистка временных файлов adobe flash player очистка кэш macromedia очистка системной папки TEMP очистка кэша всех браузеров, какие есть в списке переподключитесь, проверьте 0

	28.02.2013, 20:07

@pudenus 0 / 0 / 0 Регистрация: 27.02.2013 Сообщений: 27
	28.02.2013, 15:26 [ТС]	15
	Почистил. Пока картинок не выскакивает. А про IP-не знаю как это сделать. В свойствах роутера стоит IP 192.168..., но его поменять нельзя... Спасибо за помощь. Добавлено через 1 минуту Ан нет, выскакивают всеравно) 0

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	28.02.2013, 15:27	16
	Сообщение от pudenus А про IP-не знаю как это сделать. Зайти через админку роутера и проверить или сбросить настройки роутера кнопкой Reset и заново ввести провайдерские настройки. 0

@~~Katharsis~~ Заблокирован
	28.02.2013, 16:24	17
	Сообщение от pudenus В свойствах роутера стоит IP 192.168.. это внутренние адреса, вам нужно исправить внешний. 0

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	28.02.2013, 20:06	19
	Сообщение от pudenus Да и без админа, все-равно пароль нужен... сбросить настройки роутера кнопкой Reset и заново ввести провайдерские настройки. 0

@~~Katharsis~~ Заблокирован
	28.02.2013, 20:07	20
	Сообщение от pudenus мне понадобится пароль нужно менять в любом случае, иначе проблема не решится. 0