[решено] Вирус подмены соц сетей

Sandor · Отправлено: **11:36, 08-08-2013** | #2

Здравствуйте!

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
  if not IsWOW64
   then
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
    end;
 QuarantineFile('C:\Users\oem\AppData\Local\Temp\1086100130aq','');
 DeleteFile('C:\Users\oem\AppData\Local\Temp\1086100130aq');
 DeleteFile('C:\Windows\system32\Tasks\At1.job','32');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 ExecuteRepair(1);
 ExecuteRepair(13);
 ExecuteWizard('SCU',2,3,true);
 RebootWindows(true);
end.

Компьютер перезагрузится.

2. После перезагрузки, выполните такой скрипт:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

3. Через Установку/Удаление программ удалите Babylon toolbar как потенциально нежелательное ПО.

4. Пофиксите в HijackThis (если останутся) следующие строчки:

Код:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.babylon.com/?affID=120297&babsrc=HP_ss&mntrId=18F9B4749FC68AB2
O1 - Hosts: 37.10.117.103 m.odnoklassniki.ru wap.odnoklassniki.ru vk.com my.mail.ru odnoklassniki.ru m.vk.com www.odnoklassniki.ru
O2 - BHO: Babylon toolbar helper - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.8.11.10\bh\BabylonToolbar.dll
O2 - BHO: (no name) - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - (no file)
O18 - Protocol: dssrequest - {5513F07E-936B-4E52-9B00-067394E91CC5} - (no file)
O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - (no file)

5.

Цитата:

Внимание !!! База поcледний раз обновлялась 12.07.2013 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

После обновления баз повторите логи AVZ (стандартный скрипт 2) и RSIT.

OlegJ · Отправлено: **12:35, 08-08-2013** | #3

Спасибо, всё сделал как вы сказали... Остаётся дождаться 11:00...

Sandor · Отправлено: **12:52, 08-08-2013** | #4

Цитата Sandor:

После обновления баз повторите логи AVZ (стандартный скрипт 2) и RSIT. »

Это можете сделать, не дожидаясь 11:00 ))

OlegJ · Отправлено: **14:01, 08-08-2013** | #5

Упс запустил а логи не скинул.... щас вот...

OlegJ · Отправлено: **14:03, 08-08-2013** | #6

Файл 102660

Файл 102661

Файл 102662

Цитата Sandor:

Цитата Sandor:
Это можете сделать, не дожидаясь 11:00 )) »

А как проверить ? перевести часы.....?

Sandor · Отправлено: **14:56, 08-08-2013** | #7

Вы запускали AVZ от имени администратора?
Запустите еще раз (правой кнопкой - от имени администратора) и повторите только первый скрипт из этого сообщения.
Компьютер перезагрузится.
После повторите лог AVZ (стандартный скрипт 2).

Цитата:

Сканирование запущено в 08.08.2013 12:36:39

У вас разве еще не наступило 11:00?

thyrex · Конфигурация компьютера

Просто удалите файл C:\Windows\Tasks\At1.job

OlegJ · Отправлено: **17:22, 08-08-2013** | #9

Ок всё сделал.
У меня вирус обычно активировался в районе 11 каждый день, т.к. сегодня его убрали то только завтра в 11 будет понятно выжил ли он или нет.

OlegJ · Отправлено: **16:16, 09-08-2013** | #10

Здравствуйте, в 11:00 вирус не вышел на контакт, значит его нет в живых!!!! Большое, большое Вам спасибо!!!