страницы в браузерах (всех) открываются кодами, вирус просит установить новую версию браузера - стоит самая последняя, в соц. сети не зайти

Здравствуйте,

Сейчас посмотрю логи.

спасибо, жду
мучаюсь уже с этим не первый день!(

Ваш провайдер - "Ростелеком-Северо-Запад" (north-west telecom)?

1. Скачайте ATF Cleaner (http://www.atribune.org/public-beta/ATF-Cleaner.exe) на рабочий стол.
Запустите ATF Cleaner, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected;
- нажмите No, если вы хотите оставить ваши сохраненные пароли;
- если вы используете Opera, нажмите Opera - Select All - Empty Selected;
- нажмите No, если вы хотите оставить ваши сохраненные пароли.

2. Отключите:
Антивирус/Файерволл

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".


begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\apppatch\ceymqvs.dat','');
QuarantineFile('C:\Users\User\AppData\Local\Temp\Rfj9601O.sys','');
QuarantineFile('C:\Windows\system32\koruilh.dll','');
QuarantineFile('C:\Windows\system32\9EBF.tmp','');
QuarantineFile('C:\Windows\system32\7348.tmp','');
DeleteFile('C:\Windows\system32\9EBF.tmp');
DeleteFile('C:\Windows\system32\7348.tmp');
DeleteFile('C:\Windows\system32\koruilh.dll');
DeleteFile('C:\Windows\apppatch\ceymqvs.dat');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', '');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\system32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteFile('C:\Users\User\AppData\Local\Temp\Rfj9601O.sys');
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.


После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".


begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой (http://support.kaspersky.ru/virlab/helpdesk.html) формы
В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

3. Запустите HiJackThis -> Do a system scan only и проверьте наличие в логе этих строк (если есть, пофиксите их в HJT (http://forum.oszone.net/post-1430293-2.html)


F2 - REG:system.ini: UserInit=C:\Windows\system32\userinit.exe,C:\Windows\apppatch\ceymqvs.dat,
O20 - AppInit_DLLs: C:\Windows\system32\koruilh.dll


4. Скачайте Malwarebytes' Anti-Malware (http://www.techspot.com/downloads/4716-malwarebytes-anti-malware.html) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно (http://data.mbamupdates.com/tools/mbam-rules.exe).

5. Загрузите SecurityCheck by screen317 отсюда (http://screen317.spywareinfoforum.org/SecurityCheck.exe) или отсюда (http://screen317.changelog.fr/SecurityCheck.exe)
Сохраните на Рабочий стол.
Запустите от имени администратора
Когда увидите консоль, нажмите любую клавишу для продолжения сканирования
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования и вы увидите лог в блокноте с именем checkup.txt;
Прикрепите его тоже в ваше следующее сообщение.

6. Повторите логи AVZ+RSIT

Да) Верно!

1. Сделано
2. Из лаборатории ещё не ответили
3. Таких строк не обнаружено
4. mbam прикрепила
5. checkup.txt тоже)
6. в комплекте) но info.txt не обновилось почему то - так надо?

жду указаний)

Здравствуйте,

1. Что с проблемами?

2. Запустите еще раз полное сканирование в MBAM, дождитесь результатов сканирования и отметьте эту строку:

Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\StimulProfit (Adware.Agent) -> No action taken.

нажмите "Remove selected"

3. Что в папках C:\Users\User\AppData\Roaming\7f5b9780 и C:\Users\User\AppData\Roaming\80b567e8a?

Доброе утро, Farger)

1. Вроде бы всё нормализовалось! спасибо большое)

2. 6 инфицированных объектов

3.Папки не нашла - может они скрытые
через поиск нашла - первая папки пуста, а во второй находится файл pass.log, где прописан мой пароль на сайт жёлтых страниц, то есть ничего страшного

4. В пятницу я нашла у себя 7 троянов
после чего скачала фильм с рутрекера - и уже в понедельник нашла 18 троянов, не считая всего что обнаружила с вашей помощью

МВАМ постоянно говорит что рутрекер - вредоносный сайт, но я часто им пользуюсь , а мой родной AVG молчит по поводу вирусов, что делать?

5. У меня работают одновременно AVG и МВАМ - так вообще можно?

МВАМ постоянно говорит что рутрекер - вредоносный сайт »
мвам вообще много чего говорит, поэтому пользуйтесь утилью только под руководством хелпера
rutracker - нормальный сайт, иногда мой веб ругается на постеры/скрины, заливаемые аплоадерами на сомнительные хостинги... но от этого количество зловредов не прибавляется
по окончании лечения Даниил вам даст рекомендации по зачистке временных файлов, зараженных контрольных точек и настройке браузеров, чтобы не хватали эксплоиты

Здравствуйте,

1) Мы еще не закончили.

2) Это во время последней полной проверки MBAM? Лог приложите, посмотрим.

3) Ок.

4) Сейчас ситуация получше...

5) Да.

1. Хорошо)
2. Да, во время полной проверки, лог загрузила

В логе тоже самое кроме одного, плюс вы не выполнили мою предыдущую рекомендацию.

Пуск -> Выполнить, наберите regedit, нажмите Enter. Перейдите в HKEY_LOCAL_MACHINE -> SYSTEM -> CurrentControlSet -> Services -> LanmanServer -> Parameters, справа в списке найдите имя ServiceDll и скажите мне его значение.

я всё делала..странно

там стоит значение
%CommmonProgramFiles%/msdao23.tlc
только слэш др сторону)если это важно

уехала до пн!

Здравствуйте,

Запустите полное сканирование в MBAM, дождитесь результатов сканирования и отметьте эти строки:


Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\StimulProfit (Adware.Agent) -> No action taken.

Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\ServiceDll (Hijack.LanmanServer) -> Bad: (%CommonProgramFiles%\msdao23.tlc) Good: (%SystemRoot%\System32\srvsvc.dll) -> No action taken

нажмите "Remove selected" ("Удалить выбранное")

удалила ещё в четверг, правда там строки одной не было

Здравствуйте,

Что с проблемами?

Здравствуйте)
больше не появляется сообщение о вирусе, правда из того же контакта иногда выбрасывает - может глюк самого сайта, не знаю)

Здравствуйте,

Пожалуйста, сделайте новые логи AVZ и новый лог RSIT.

Выбрасывает с vkontakte в любом браузере? Только с vkontakte выбрасывает?

Доброе утро)
Прикрепила, я в основном вконтакте -так что только там замечаю

Здравствуйте,

В логах чисто. Возможно причина из-за VKSaver, попробуйте временно удалить его, а также запустите ATF Cleaner, поставьте галочку напротив Select All и нажмите Empty Selected.
После этого:
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected;
- нажмите No, если вы хотите оставить ваши сохраненные пароли;
- если вы используете Opera, нажмите Opera - Select All - Empty Selected;
- нажмите No, если вы хотите оставить ваши сохраненные пароли.