Решена - Не открываются сайты из-за вируса.

Тема в разделе "Раздел по борьбе с вирусами", создана пользователем Боромир, 6 мар 2012.

  1. Боромир

    Боромир Junior User

    Доброго времени суток.Снова приходится просить Вашей помощи!
    Суть проблемы такова:
    На компьютере появился вирус который не даёт открывать интернет сайты,начал тормозить компьютер.Предположительно вирус был пойман с сайта wap.tegos.ru. Сам на этот сайт не заходил и в это время компьютером не пользовался,но по рассказу человека,благодаря которому и началась эта беда,проблема как раз началась после посещения вышеуказанного сайта.
    Делал полную проверку антивирусом Касперского,утилитой Dr.Web,но к сожалению они не решили проблему.

    Логи:
    HiJackThis
    http://zalil.ru/32829171
    Uvs
    http://zalil.ru/32829188
    AVZ
    http://zalil.ru/32829192
     
    Последнее редактирование модератором: 9 мар 2012
  2. oleg

    oleg Expert Вирусоборец

    Доброе время суток!

    Боромир, вы дали ссылку на саму программу uVS! А нужно было дать ссылку на образ автозапуска. Исправьтесь!

    1. Отключите антивирус/файрволл.

    2. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
    - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли
    - если вы используете Opera, нажмите Opera - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли

    3. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)
    Код:
    begin
     DeleteFile('C:\WINDOWS\system32\hrjdycn.dll');
     DeleteFile('C:\DOCUME~1\ADMIN~1.BUR\LOCALS~1\Temp\NOSEventMessages.dll');
     DeleteFile('C:\Documents and Settings\Admin.BURNOUT\Local Settings\Temp\NEventMessages.dll');
     DeleteFile('C:\systemhost\24FC2AE3EA8.exe');
     RegKeyStrParamWrite('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', '');
    BC_ImportAll;
     ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    
    после выполнения скрипта компьютер перезагрузится.

    4. Пофиксите в HijackThis следующие строчки:

    Внимание: некоторые строки могут отсутствовать, это нормально, просто сообщите какие не нашли при фиксе.

    Код:
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxxi.biz
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxxi.biz
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxxi.biz
    O4 - HKCU\..\Run: [YI9B2F0FYEXG0G0HB] C:\systemhost\24FC2AE3EA8.exe
    O4 - Startup: EcuZ7Vcljw4.exe
    
    5. Cделайте лог MBAM (подробнее) и дайте ссылку на файл лога. *выполнять обязательно!
    Если лог не открылся, нажмите "Показать Результаты", сохраните отчет и дайте на него ссылку.

    После выполнения всех пунктов (1 по 5) проверьте, остался ли вирус?

    Если форум оказался полезен вам, пожалуйста, поддержите его работу -
     
  3. Боромир

    Боромир Junior User

  4. oleg

    oleg Expert Вирусоборец

    Доброе время суток!

    1. Отключите антивирус/файрволл.

    2. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
    - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли
    - если вы используете Opera, нажмите Opera - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли

    3. Выполните скрипт в uVS (как выполнить скрипт):
    После выполнения скрипта, компьютер будет перезагружен.

    4. Cделайте лог MBAM и дайте ссылку на файл лога.
     
  5. Боромир

    Боромир Junior User

  6. Боромир

    Боромир Junior User

  7. Angel-iz-Ada

    Angel-iz-Ada Вирусоборец

    Удалите все найденное. Перезагрузитесь и повторите лог
     
  8. Боромир

    Боромир Junior User

    Подскажите как обезопасить свой комп от пободной ерунды.Особенно в последнее время часто взламывают страничку вконтакте,сейчас вот что происходит:
    http://vk.com/?act=blocked
     
  9. Боромир

    Боромир Junior User

    Мужики...с компом совсем какая то фигня происходит...
    Запустил браузер гугл хром,в нём открылась страница какого то порно сайта maxxibiz.ru или что то типа этого,следом за ним в новой вкладке открылся сайт скайпа.Закрыл браузер.Сам по себе запустился скайп и начал какое то обновление.Процесс прервал.Гугл хром удалил.Сейчас делаю полную проверку МВАМ.
    Нашел сайт смс мошенников,которые предлагают мне ябкобы разблокировать страницу вконтакте:
    http://7hlp.com/
     
    Последнее редактирование: 7 мар 2012
  10. Боромир

    Боромир Junior User

    http://zalil.ru/32835437
     
  11. Angel-iz-Ada

    Angel-iz-Ada Вирусоборец

    Вот это удалить:
    Перестать переходить по ссылкам которые кидают отовсюду. Следить за обновлениями антивируса и не качать всякий шлак с подозрительных сайтов.

    Если проблема решена, то:
    При наличии на ПК доступа в интернет выполните следующий скрипт в AVZ:
    Код:
    begin
     if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt');
     If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt')
     Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
     if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false);
    ExitAVZ;
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player.

    Если форум оказался полезен вам, пожалуйста, поддержите его работу -
     
  12. Боромир

    Боромир Junior User

    Спасибо мужики!Всё сделал,всё работает,проблем больше нет!
    Как только будет возможность,поддержу Ваш ресурс!!
     

Поделиться этой страницей