Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Помогите, пожалуйста!!! Вирус Vundo.Gen.AW (http://forum.oszone.net/showthread.php?t=257279)

Oljchichek 27-03-2013 21:08 2120284
Помогите, пожалуйста!!! Вирус Vundo.Gen.AW
 
Вложений: 1
Поймала где-то эту гадость, антивирус (НОД32) не удаляет, стандартная программа Windows тоже. Лог прикрепляю (сделан при помощи AVZ). Заранее спасибо за помощь!

iskander-k 27-03-2013 21:16 2120288
1. Логи не те. смотрите инструкцию.
Выложите логи в соответствии с этими инструкциями.

Oljchichek 27-03-2013 23:56 2120376
Вложений: 4
Добавляю все файлы в соответствии с инструкциями

Oljchichek 27-03-2013 23:59 2120378
iskander-k, добавила логи.

thyrex 28-03-2013 00:05 2120381
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\D395~1\AppData\Local\Temp\6sdeybon.exe','');
 DeleteFile('C:\Users\D395~1\AppData\Local\Temp\6sdeybon.exe');
 DeleteFile('C:\Windows\Tasks\7wyncldu2.job');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
Отправьте c:\quarantine.zip при помощи этой формы


Сделайте новые логи

Oljchichek 28-03-2013 22:16 2121051
Вложений: 1
thyrex, карантин при помощи формы отправила, логи прикрепляю.

Oljchichek 28-03-2013 22:24 2121057
Вложений: 4
Логи, сделанные AVZ

thyrex 28-03-2013 23:21 2121103
Пофиксите в HiJack
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt

Oljchichek 29-03-2013 20:37 2121756
Вложений: 1
thyrex, прикрепляю новый лог.

Oljchichek 29-03-2013 20:38 2121758
Вложений: 1
Лог

thyrex 30-03-2013 00:09 2121912
Запустите еще раз сканирование в МВАМ и после его завершения удалите только эти строки
Код:
HKCR\CLSID\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
Проблема решена?

Oljchichek 01-04-2013 21:07 2123895
thyrex, к сожалению, нет =((( все так же вылезает реклама, и яндекс блокирует сайты с антивирусной помощью, типа virusinfo. Я уже замучилась с ним вконец!!! Это началось после того, как подруга скачала без моего ведома программу VkontakteDj, папка с ней в корне диска С. Деинсталлятора нет. Переустановка виндовс поможет??

thyrex 01-04-2013 23:42 2123971
Скачайте ComboFix здесь и сохраните на Рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, файл C:\ComboFix.txt прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo@fix.exe

Oljchichek 02-04-2013 20:05 2124475
Вложений: 1
thyrex, прикрепляю еще один лог...

Oljchichek 02-04-2013 20:10 2124481
thyrex, Баннер никуда не делся, я так понимаю, вирус все еще со мной... Возможно ли, что проблема в этой программе VkontakteDj? Подскажите, пожалуйста, как ее удалить. С автозагрузки я ее убрала.

iskander-k 02-04-2013 21:40 2124538
Цитата:
Цитата Oljchichek
Баннер никуда не делся »
Повторите логи АВЗ и РСИТ


Цитата:
Цитата Oljchichek
VkontakteDj? Подскажите, пожалуйста, как ее удалить. »
кнопка пуск - панель управления - удаление программ - найдите это приложение, выделите и выберите удалить. Или поищите в меню Все программы приложение Vkontakte и кликните по Удалить

Oljchichek 02-04-2013 22:05 2124553
iskander-k, в том то и дело, что нет его ни в панели управления, ни в меню программ... а тупо удалять папку, как-то не совсем корректно

iskander-k 02-04-2013 22:21 2124565
Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:

begin
 QuarantineFile('C:\VkontakteDJ\VKontakteDJ.exe','');
 DeleteFile('C:\VkontakteDJ\VKontakteDJ.exe');
RebootWindows(true);
end.
Ломалку для нод удалите хотя бы временно.

Oljchichek 02-04-2013 23:01 2124580
Вложений: 4
iskander-k, ломалку удалила, она уже давно не работает все равно. Новые логи высылаю. За совет об удалении странной программы отдельное спасибо! =)

thyrex 02-04-2013 23:06 2124584
Пофиксите в HiJack (запустив утилиту от имени Администратора по правой кнопке мыши)
Код:
O17 - HKLM\System\CCS\Services\Tcpip\..\{846ee342-7039-11de-9d20-806e6f6e6963}: NameServer = 193.111.137.199
O17 - HKLM\System\CCS\Services\Tcpip\..\{A577D5D8-D579-4FD2-81C0-EC9167E12C33}: NameServer = 193.111.137.199
Сделайте новые логи RSIT

Oljchichek 02-04-2013 23:15 2124592
Вложений: 2
thyrex, есть =)

Oljchichek 02-04-2013 23:16 2124594
thyrex, Перезагрузка не нужна?

thyrex 02-04-2013 23:26 2124602
Нужна

+ зайдите в папку C:\Users\Игорь\AppData\Roaming\Mozilla\Firefox\Profiles\z5r95icp.default
Откройте в Блокноте файл prefs.js и удалите из него строку "browser.startup.homepage" - "http://stratostart.ru"

Что с проблемой?

Oljchichek 02-04-2013 23:30 2124608
thyrex, все те же баннеры =( никуда от них!!! я пользуюсь Оперой в данный момент. Но и в Мозилле то же самое, и во всех браузерах...

thyrex 02-04-2013 23:49 2124624
Куки и кэш браузеров, кэш DNS почистите

Oljchichek 03-04-2013 07:00 2124721
thyrex, все!!! его больше нет!!!!!!!!! Огромное человеческое спасибо!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! =) =) =)


Время: 04:58.

Время: 04:58.
© OSzone.net 2001-