Перебрасывает на сайт mybackdoor.net или Google + Выскакивает постоянно банер PC Doctor. Прошу вашей помощи. http://zalil.ru/34103535 http://zalil.ru/34103552 http://zalil.ru/34103558 [mod="Nod"] Внимание посетителям форума! Скрипт для лечения СТРОГО индивидуален (для каждого заражения он свой). Если вы обнаружили следующие признаки: (Перебрасывает на сайт MyBackdoor.net) 1. Сделайте Логи как показано в - 2. Создайте тему в разделе по борьбе с вирусами, с полным описанием проблемы и ссылками на Образ автозапуска в uVS и на логи утилит AVZ, HiJackThis. (virusinfo_syscure.zip, hijackthis.log). После чего, логи будут проанализированы и Вам будет предложен скрипт лечения. [/mod]
Доброго времени суток! 1. В папке с программой UVS будет файл script.cmd Запустить файл, запустится окно программы для ввода скрипта, скопировать скрипт написанный ниже и вставить в окно программы. ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ ВСЕ БРАУЗЕРЫ! Код: ;uVS v3.76 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 zoo %Sys32%\HBBYNSD.DLL bl 2EBF56E888EA0F27637AAC9EB5371F33 44544 delref %Sys32%\HBBYNSD.DLL delref HTTP://WEBALTA.RU/SEARCH exec MSIEXEC.EXE /I{11EA1C75-DB0D-410B-B63B-20916EECD568} regt 3 regt 12 regt 18 deltmp delnfr restart И жмем кнопку Выполнить. На запросы программы по удалению жмите ДА ПК перезагрузится. В папке с программой UVS будет папка zoo, ее поместить в архив, установить пароль virus и прислать сюда sendvirus2011@gmail.com 2. Cделайте лог MBAM (подробнее) и дайте ссылку на файл лога.*выполнять обязательно! Если лог не открылся, нажмите "Показать Результаты", сохраните отчет и дайте на него ссылку. Если форум оказался полезен вам и вашему компьютеру, пожалуйста, поддержите его работу -
mbam log: Malwarebytes Anti-Malware (Пробная версия) 1.65.1.1000 www.malwarebytes.org Версия базы данных: v2012.12.24.02 Windows XP Service Pack 3 x86 NTFS Internet Explorer 7.0.5730.13 Администратор :: MICROSOF-B29C9F [администратор] Защитный модуль : Включен 24.12.2012 12:24:26 mbam-log-2012-12-24 (14-01-37).txt Тип сканирования: Полное сканирование (C:\|D:\|E:\|) Опции сканирования включены: Память | Запуск | Реестр | Файловая система | Эвристика/Дополнительно | Эвристика/Шурикен | PUP | PUM Опции сканирования отключены: P2P Просканированные объекты: 483118 Времени прошло: 1 часов , 36 минут , 32 секунд Обнаруженные процессы в памяти: 0 (Вредоносных программ не обнаружено) Обнаруженные модули в памяти: 0 (Вредоносных программ не обнаружено) Обнаруженные ключи в реестре: 3 HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.ToolBar.WA) -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято. HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Webalta Toolbar (PUP.ToolBar.WA) -> Действие не было предпринято. Обнаруженные параметры в реестре: 0 (Вредоносных программ не обнаружено) Объекты реестра обнаружены: 6 HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Search Bar (Hijack.Search) -> Плохо: (http://webalta.ru/search) Хорошо: (http://www.google.com/) -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Internet Explorer\Search|SearchAssistant (Hijack.SearchPage) -> Плохо: (http://webalta.ru/search) Хорошо: (http://www.Google.com/) -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|NoSMHelp (PUM.Hijack.Help) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято. Обнаруженные папки: 2 C:\Documents and Settings\Администратор\Local Settings\Application Data\Webalta Toolbar (PUP.ToolBar.WA) -> Действие не было предпринято. C:\Documents and Settings\Администратор.MICROSOF-B29C9F\Local Settings\Application Data\Webalta Toolbar (PUP.ToolBar.WA) -> Действие не было предпринято. Обнаруженные файлы: 24 C:\Documents and Settings\Администратор\Local Settings\Application Data\Webalta Toolbar\WebAltaSearch.dll (PUP.WebAlta) -> Действие не было предпринято. C:\Documents and Settings\Администратор.MICROSOF-B29C9F\Local Settings\Application Data\Webalta Toolbar\WebAltaSearch.dll (PUP.WebAlta) -> Действие не было предпринято. C:\Documents and Settings\Администратор.MICROSOF-B29C9F\Мои документы\Загрузки\dragon_age_2_[v_104___16_dlc___28_items___high_res_texture_pack]_2011_repack_ot_fenixx_id3858455id.exe (PUP.Adware.MediaGet) -> Действие не было предпринято. C:\Documents and Settings\Администратор.MICROSOF-B29C9F\Рабочий стол\avz\avz4\Quarantine\2012-12-23\avz00001.dta (Spyware.Zeus) -> Действие не было предпринято. C:\Documents and Settings\Администратор.MICROSOF-B29C9F\Рабочий стол\uvs\ZOO\HBBYNSD.DLL._FAA4DDBE434291CAB25FB9F70CDB9AF752186CD1 (Spyware.Zeus) -> Действие не было предпринято. C:\System Volume Information\_restore{3CC7492A-E5CF-435D-9254-B2B930D40CA7}\RP2\A0000101.dll (Spyware.Zeus) -> Действие не было предпринято. C:\WINDOWS\assembly\GAC_MSIL\WebAltaSearch\1.1.0.0__cae29f257fecba88\WebAltaSearch.dll (PUP.WebAlta) -> Действие не было предпринято. C:\WINDOWS\system32\PKey.exe (PUP.PSWTool.ProductKey) -> Действие не было предпринято. C:\WINDOWS.0\system32\PKey.exe (PUP.PSWTool.ProductKey) -> Действие не было предпринято. D:\Program Files\Total Commander\Plugins\arc\Default.sfx (Malware.Packer.Gen) -> Действие не было предпринято. D:\Program Files\Total Commander\Utilites\SFX Tool\Upack.exe (Malware.Packer.Gen) -> Действие не было предпринято. D:\WINDOWS.1\system32\dllcache\iissync.exe (Virus.Expiro) -> Действие не было предпринято. D:\Мои документы\ПользОвАтельские файлы\Eset NOD32 Antivirus System v2.70.16 Final\Crack\NOD32.FiX.v2.1-nsane.exe (PUP.RiskWareTool.CK) -> Действие не было предпринято. D:\Мои документы\ПользОвАтельские файлы\Eset NOD32 Antivirus System v2.70.16 Final\Кряк\NOD32.FiX.v2.1-nsane.exe (PUP.RiskWareTool.CK) -> Действие не было предпринято. D:\Мои документы\Учеба ёп\АВТОКАД\AutoCAD 2009 Установочный Файл\KeyGens\xf-acad9-32-BITS.exe (RiskWare.Tool.HCK) -> Действие не было предпринято. D:\Мои документы\Учеба ёп\АВТОКАД\AutoCAD 2009 Установочный Файл\KeyGens\xf-acad9-64-BITS.exe (RiskWare.Tool.CK) -> Действие не было предпринято. C:\Documents and Settings\Администратор\Local Settings\Application Data\Webalta Toolbar\BandObjectLib.dll (PUP.ToolBar.WA) -> Действие не было предпринято. C:\Documents and Settings\Администратор\Local Settings\Application Data\Webalta Toolbar\gacutil.exe (PUP.ToolBar.WA) -> Действие не было предпринято. C:\Documents and Settings\Администратор\Local Settings\Application Data\Webalta Toolbar\Interop.SHDocVw.dll (PUP.ToolBar.WA) -> Действие не было предпринято. C:\Documents and Settings\Администратор\Local Settings\Application Data\Webalta Toolbar\uninstall.exe (PUP.ToolBar.WA) -> Действие не было предпринято. C:\Documents and Settings\Администратор.MICROSOF-B29C9F\Local Settings\Application Data\Webalta Toolbar\BandObjectLib.dll (PUP.ToolBar.WA) -> Действие не было предпринято. C:\Documents and Settings\Администратор.MICROSOF-B29C9F\Local Settings\Application Data\Webalta Toolbar\gacutil.exe (PUP.ToolBar.WA) -> Действие не было предпринято. C:\Documents and Settings\Администратор.MICROSOF-B29C9F\Local Settings\Application Data\Webalta Toolbar\Interop.SHDocVw.dll (PUP.ToolBar.WA) -> Действие не было предпринято. C:\Documents and Settings\Администратор.MICROSOF-B29C9F\Local Settings\Application Data\Webalta Toolbar\uninstall.exe (PUP.ToolBar.WA) -> Действие не было предпринято. (конец) из проблем осталась только webalta, которая вылазит при загрузке браузера
Оставить только это HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Pol icies\Explorer|NoSMHelp (PUM.Hijack.Help) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято. D:\Program Files\Total Commander\Plugins\arc\Default.sfx (Malware.Packer.Gen) -> Действие не было предпринято. D:\Program Files\Total Commander\Utilites\SFX Tool\Upack.exe (Malware.Packer.Gen) -> Действие не было предпринято. предпринято. D:\Мои документы\Учеба ёп\АВТОКАД\AutoCAD 2009 Установочный Файл\KeyGens\xf-acad9-32-BITS.exe (RiskWare.Tool.HCK) -> Действие не было предпринято. D:\Мои документы\Учеба ёп\АВТОКАД\AutoCAD 2009 Установочный Файл\KeyGens\xf-acad9-64-BITS.exe (RiskWare.Tool.CK) -> Действие не было предпринято. Все остальное удалить! ПК перезагрузить. Для закрытия уязвимостей, выполнить скрипт в AVZ: Код: begin if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt'); If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt') Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false) else MessageDlg('Часто используемые уязвимости не обнаружены.', mtInformation, mbOk, 0); ExitAVZ; end. После того как скрипт отработает, если будут найдены уязвимости, то в блокноте откроется файл avz_log.txt со ссылками на обновления, которые нужно загрузить и установить. Если ничего обновлять не надо, AVZ просто закроется. Сообщите о результате.
огромное спасибо за помощь!!!)))) все работает))) единственное что осталось - webalta при запуске firefox она открывается в отдельной вкладке....так должно быть или нет? скрипт выполнил, уязвимости удалил. кэш и куки через ATF-Cleaner почистил.
