Код в браузере+всплывающее окно

[oberst]

Во всех браузерах (FireFox, Chrome, Explorer) периодически отображается код и появляется всплывающее неудаляемое окно (скриншот прилагается).

Предположительно появилось после попытки установить будильник с budilniknacomputer.com (отменил установку после предложения прислать смс)

Логи высылаю.

info.txt

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

Скрин_Всплывающее_окно.doc

[Roman_Five]

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Documents and Settings\123\Рабочий стол\VB\VB\Копия Вездеход\Вездеход.exe','');
QuarantineFile('C:\Documents and Settings\123\Рабочий стол\VB\VB\Вездеход_001\Вездеход_0000.exe','');
QuarantineFile('C:\Documents and Settings\123\Рабочий стол\VB\VB\Вездеход\Вездеход.exe','');
 QuarantineFile('C:\Documents and Settings\123\DoctorWeb\Quarantine\rserv30ru.msi','');
QuarantineFile('C:\Documents and Settings\123\DoctorWeb\Quarantine\rserv30r0.msi','');
DeleteFile('C:\Documents and Settings\123\DoctorWeb\Quarantine\rserv30r0.msi');
DeleteFile('C:\Documents and Settings\123\DoctorWeb\Quarantine\rserv30ru.msi');
  QuarantineFile('C:\WINDOWS\system32\1E18.tmp','');
DeleteFile('C:\WINDOWS\system32\1E18.tmp');
QuarantineFile('C:\WINDOWS\system32\ebfiqgm.dll','');
DeleteFile('C:\WINDOWS\system32\ebfiqgm.dll');
DelAutorunByFileName('C:\WINDOWS\system32\ebfiqgm.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Сделайте новые логи по правилам.

+

Скачайте Malwarebytes' Anti-Malware здесь или здесь.

Установите mbam-setup-<current number>.exe

Обновите базы.

После окончания обновления баз откажитесь от использования пробной версии Malwarebytes' Anti-Malware Full (нажмите "Отклонить").

Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".

Полученный лог прикрепите к сообщению.

+

Проверьте компьютер утилитой TDSSkiller из данной статьи.

http://support.kaspersky.ru/faq/?qid=208639606

Важно: перед началом проверки нажмите ссылку "изменить параметры проверки" и поставьте галочки в дополнительных опциях.

Полученный лог из корня диска С приложите к новому сообщению.

[oberst]

Код выполнил. Лог отправил на анализ, ответа пока нет.

Вроде помогло.Спасибо.

Логи после лечения высылаю. ОЙ, а как здесь прикрепить файлы?

Как на ПОСТОЯННО отключить автозагрузку с HDD и сети?

Изменено 5 апреля, 2012 пользователем oberst

[Roman_Five]

кнопка "ответить" - обзор - загрузить.

 

А как на ПОСТОЯННО отключить автозагрузку с HDD и сети?

 

avz - файл - мастер поиска и устанения проблем - поиск - отметить - исправить.

[oberst]

Нажимаю "ответить", но у меня в этом окне нет кнопки "Обзор", только "Ответить" и "Предворительный просмотр"

[SLASH_id]

[Roman_Five]

попробуйте в другом браузере...

[oberst]

Разобрался. Я не правильно входил на форум.

Высылаю логи.

info.txt

log.txt

mbam_log_2012_04_05__14_46_57_.txt

TDSSKiller.2.7.26.0_05.04.2012_15.14.53_log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

[Roman_Five]

пофиксите в Hijackthis:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
R3 - Default URLSearchHook is missing

 

деинсталлируйте MBAM

 

запустите TDSSKiller с теми же настройками.

выберите карантин для всего, что найдётся

папку карантина с диска С заархивируйте с паролем virus и отправьте через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

После проведённого лечения рекомендуется:

- обновить Internet Explorer до актуальной версии (даже если им не пользуетесь!)

- установить все обновления на Windows (может потребоваться активация Windows)

- проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее)