terra Опубликовано 26 декабря, 2012 Опубликовано 26 декабря, 2012 Сначала переадресовывало постоянно на сайт эротического содержания.Потом стала выскакивать таблица блокировка сайта. Кеш и куки почистила, в IE пока не выскакивает, а в Chrome продолжает переадресовывать. Комп рабочий, интернет по WiFi KL_syscure.zip лог сделала,надеюсь что правильно ...
Tiare Опубликовано 26 декабря, 2012 Опубликовано 26 декабря, 2012 terra, Закройте все программы, включая антивирусное программное обеспечение и firewall AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить" begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; ClearHostsFile; QuarantineFile('C:\Users\Lenovo1\AppData\Local\Temp\5168032FdOh',''); QuarantineFile('C:\Windows\Test.bat',''); QuarantineFile('C:\Users\Lenovo1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Vvfi1RpwRyE.exe',''); QuarantineFile('C:\Users\Lenovo1\awt43abr.exe',''); QuarantineFile('C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Vvfi1RpwRyE.exe',''); DeleteFile('C:\Users\Lenovo1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Vvfi1RpwRyE.exe'); DeleteFile('C:\Users\Lenovo1\AppData\Local\Temp\5168032FdOh'); DeleteFile('C:\Users\Lenovo1\awt43abr.exe'); DeleteFile('C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Vvfi1RpwRyE.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','5168188'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. После перезагрузки выполнить второй скрипт. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. + 1) Выполните новые логи по правилам, отчеты прикрепите к следующему сообщению 2) Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту. Самостоятельно ничего не удаляйте! Если лог не открылся, то найти его можно в следующей папке: %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Подробнее читайте в руководстве 3) Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку; Скопируйте слудующий текст в блокнот и сохраните в папку с распакованным TDSSKiller.exe, как fix.bat:tdsskiller.exe -silent -qmbr -qboot Запустите файл fix.bat; Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine; Заархивруйте эту папку с паролем virus. И отправьте полученный архив на адрес quarantine<at>safezone.cc (at=@), в заголовке (теме) письма укажите ссылку на тему, где Вам оказывается помощь. Запустите файл TDSSKiller.exe; Нажмите кнопку "Начать проверку"; В процессе проверки могут быть обнаружены объекты двух типов: вредоносные (точно было установлено, какой вредоносной программой поражен объект); подозрительные (тип вредоносного воздействия точно установить невозможно). [*]По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием. [*]Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить. [*]Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить). [*]После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат. [*]Прикрепите лог утилиты к своему следующему сообщению По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\). Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt 4) C:\Windows\Test.bat - находится в автозапуске, вам знакомо? 5) Меняйте все важные пароли, особенно от платежных систем
terra Опубликовано 26 декабря, 2012 Автор Опубликовано 26 декабря, 2012 новые логи mbam_log_2012_12_26__19_51_46__111.txt virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis111.txt TDSSKiller.2.8.15.0_26.12.2012_19.58.38_log.txt test.bat не знаю что это ....повторюсь комп рабочий и что это означает и запускает не знаю, на компе ключ 1С стоит, главное не затронуть то что помешает работе. файлы отправлю попозже Спасибо
thyrex Опубликовано 26 декабря, 2012 Опубликовано 26 декабря, 2012 Удалите в МВАМ только указанные ниже записи C:\Users\Lenovo1\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\37\5f96d6a5-1eb6bd5e (Trojan.Carberp) -> Действие не было предпринято. C:\Users\Lenovo1\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\37\5f96d6a5-227f66ed (Trojan.Carberp) -> Действие не было предпринято. C:\Users\Lenovo1\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\37\5f96d6a5-5508dd4b (Trojan.Carberp) -> Действие не было предпринято. C:\Users\Lenovo1\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\48\369ae2b0-227e191a (Trojan.Carberp) -> Действие не было предпринято. В правилах говорится о логах RSIT, а не HiJack
terra Опубликовано 26 декабря, 2012 Автор Опубликовано 26 декабря, 2012 (изменено) Удалите в МВАМ только указанные ниже записи C:\Users\Lenovo1\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\37\5f96d6a5-1eb6bd5e (Trojan.Carberp) -> Действие не было предпринято. C:\Users\Lenovo1\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\37\5f96d6a5-227f66ed (Trojan.Carberp) -> Действие не было предпринято. C:\Users\Lenovo1\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\37\5f96d6a5-5508dd4b (Trojan.Carberp) -> Действие не было предпринято. C:\Users\Lenovo1\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\48\369ae2b0-227e191a (Trojan.Carberp) -> Действие не было предпринято. В правилах говорится о логах RSIT, а не HiJack ок удалю, сначала не поняла как это сделать, потом нашла у вас по ссылке Изменено 26 декабря, 2012 пользователем terra
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти