Перейти к содержанию

Вирус с баннером


Рекомендуемые сообщения

Добрый день.

При работе через Мозиллу на компьютер проник вирус с баннером, который полностью блокирует выход в интернет. После перезагрузки браузер Мозилла вообще пропал с рабочего стола и из "удаления программ". Баннер с вирусом просит перечислить деньги на номер 9851731197. Пробовала найти код активации для этого номера через Деблокер Касперского и Анлокер др. Веб, такого номера в базе нет. 

 

При попытке проверить компьютер Касперским Virus Removal Tool выскакивает синий экран. При выполнении скрипта в AVZ для удаления мусора программа зависает на этапе "Mozilla Firefox - очистка папки Crash Reports". 

 

Логи создать получилось, прикрепляю. 

info.txt

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):







begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantine;
ClearHostsFile;
TerminateProcessByName('c:\windows\system32\rdpssw32.exe');
TerminateProcessByName('C:\Windows\System32\betwinservicevs.exe');
SetServiceStart('BeTwinSystem', 4);
SetServiceStart('BeTwinService', 4);
StopService('BeTwinSystem');
StopService('BeTwinService');
QuarantineFile('C:\Users\75BD~1\AppData\Roaming\Funmoods\*','');
QuarantineFile('C:\Program Files (x86)\BonanzaDeals\*','');
QuarantineFile('C:\Users\75BD~1\AppData\Local\Temp\1485578aq','');
QuarantineFile('C:\Users\75BD~1\AppData\Local\Temp\1879906aq','');
QuarantineFile('C:\Users\75BD~1\AppData\Local\Temp\17914578aq','');
QuarantineFile('C:\Users\75BD~1\AppData\Local\Temp\17911765aq','');
QuarantineFile('C:\Users\75BD~1\AppData\Roaming\UPDATE~1\*','');
QuarantineFile('c:\users\75bd~1\dxwhekfr.exe','');
QuarantineFile('c:\progra~3\dxjgsxfoo.exe','');
QuarantineFile('C:\Windows\System32\BeTwinProxyVS.dll','');
QuarantineFile('c:\windows\system32\rdpssw32.exe','');
QuarantineFile('C:\Windows\system32\BeTwinServiceVS.exe','');
QuarantineFile('C:\Windows\system32\Drivers\BeTwinSystemVS.sys','');
QuarantineFile('C:\Users\Илья\AppData\Roaming\Microsoft\Windows\Templates\winsecyr.exe','');
QuarantineFile('C:\Users\Илья\AppData\Roaming\Microsoft Corporation\QSVhost.npa','');
DeleteFile('C:\Users\Илья\AppData\Roaming\Microsoft\Windows\Templates\winsecyr.exe','32');
DeleteFile('C:\Windows\System32\Drivers\BeTwinSystemVS.sys','32');
DeleteFile('C:\Windows\System32\BeTwinProxyVS.dll','32');
DeleteFile('C:\Windows\System32\BeTwinServiceVS.exe','32');
DeleteFile('c:\progra~3\dxjgsxfoo.exe','32');
DeleteFile('c:\users\75bd~1\dxwhekfr.exe','32');
DeleteFileMask('C:\Users\75BD~1\AppData\Roaming\UPDATE~1\','*', true,' ');
DeleteDirectory('C:\Users\75BD~1\AppData\Roaming\UPDATE~1\',' ');
DeleteFile('C:\Windows\system32\Tasks\UpdaterEX.job','64');
DeleteFile('C:\Windows\system32\Tasks\At1','64');
DeleteFile('C:\Users\75BD~1\AppData\Local\Temp\17911765aq','32');
DeleteFile('C:\Windows\system32\Tasks\At2','64');
DeleteFile('C:\Users\75BD~1\AppData\Local\Temp\17914578aq','32');
DeleteFile('C:\Windows\system32\Tasks\At3','64');
DeleteFile('C:\Users\75BD~1\AppData\Local\Temp\1879906aq','32');
DeleteFile('C:\Users\75BD~1\AppData\Local\Temp\1485578aq','32');
DeleteFile('C:\Windows\system32\Tasks\At4','64');
DeleteFile('C:\Windows\system32\Tasks\Funmoods','64');
DeleteFile('C:\Windows\system32\Tasks\BonanzaDealsUpdate','64');
DeleteFileMask('C:\Program Files (x86)\BonanzaDeals\','*',true,' ');
DeleteDirectory('C:\Program Files (x86)\BonanzaDeals\',' ');
DeleteFileMask('C:\Users\75BD~1\AppData\Roaming\Funmoods\','*',true,' ');
DeleteDirectory('C:\Users\75BD~1\AppData\Roaming\Funmoods\',' ');
DeleteFile('C:\Windows\system32\Tasks\UpdaterEX','64');
DeleteFile('C:\Users\Илья\AppData\Roaming\microsoft corporation\qsvhost.npa','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NvCplWow64');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','DisplaySwitch');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\BeTwinProxy\Parameters','ServiceDll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','39006');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\SafeBoot','AlternateShell');
DeleteService('BeTwinSystem');
DeleteService('BeTwinService');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(16);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Для создания архива с карантином выполните скрипт:







begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).
Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.
В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).
В строке "Электронный адрес:" укажите адрес своей электронной почты.
Полученный ответ сообщите в этой теме.

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

 

F2 - REG:system.ini: Shell=C:\Users\Илья\AppData\Roaming\Microsoft\Windows\Templates\winsecyr.exe
F3 - REG:win.ini: load=c:\users\75bd~1\dxisvpocc.exe

O4 - HKLM\..\Policies\Explorer\Run: [39006] c:\progra~3\dxjgsxfoo.exe

 

 

 

 

 

Загрузившись в безопасном режиме, удалите остатки Kaspersky Virus Removal Tool с помощью утилиты из данной статьи.
http://support.kaspersky.ru/faq/?qid=208635705
Важно: выбирать AVP Tool Driver.

Удалите остатки DrWeb CureIT!
http://download.geo.drweb.com/pub/drweb/tools/drw_remover.exe

 

После проведённого лечения рекомендуется:
- установить текущий пакет обновлений (SP) для Windows (может потребоваться активация Windows)
* выберите SP для своей версии Windows: Windows XP - SP3, Windows Vista x86 - SP2x86, Windows Vista x64 - SP2x64, Windows 7 x86 - SP1x86, Windows 7 x64 - SP1x64
- обновить Internet Explorer до актуальной версии (даже если им не пользуетесь!)
- установить все обновления на Windows (может потребоваться активация Windows)
- проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее)

Сделайте новые логи по правилам.

+

 

Сделайте лог AdwCleaner
http://safezone.cc/forum/showthread.php?t=19726

+

проверьте на virustotal.com файл









c:\windows\system32\rdpssw32.exe

ссылку на результат проверки приложите.

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

(Просто строчка пустая стоит). 

 

 

уже не пустая.

технический сбой какой-то.

то, что выше, и ещё вот эти 2 строки, подсвеченные синим.

на форум вставить не могу - пропадают...  :plach:

post-9410-0-06027500-1381218051_thumb.jpg

 

как пофиксите, сразу после перезагрузки делайте новые логи, лог AdwCleaner и ссылку с вирустотал.

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Новые логи прикладываю. На вирустотал ничего проверить не получилось, т.к. такого файла c:\windows\system32\rdpssw32.exe нет. 

 

(Ссылка для лога AdwCleanehttp://safezone.cc/f...ead.php?t=19726 нерабочая, форум требует регистрации, пришлось через Яндекс искать ))

AdwCleanerR0.txt

info.txt

log.txt

virusinfo_syscure.zip

virusinfo_syscheck.zip

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ClearQuarantine;
TerminateProcessByName('c:\windows\system32\rdpssw32.exe');
QuarantineFile('C:\Users\75BD~1\AppData\Roaming\UPDATE~1\UPDATE~1\UPDATE~1.EXE','');
QuarantineFile('c:\windows\system32\rdpssw32.exe','');
QuarantineFile('c:\users\75bd~1\dxisvpocc.exe','');
DeleteFile('c:\users\75bd~1\dxisvpocc.exe','32');
DeleteFile('c:\windows\system32\rdpssw32.exe','32');
DeleteFile('C:\Windows\system32\Tasks\UpdaterEX.job','64');
DeleteFile('C:\Users\75BD~1\AppData\Roaming\UPDATE~1\UPDATE~1\UPDATE~1.EXE','32');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows NT\CurrentVersion\Windows','Load');
DelAutorunByFileName('c:\users\75bd~1\dxisvpocc.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).
Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.
В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).
В строке "Электронный адрес:" укажите адрес своей электронной почты.
Полученный ответ сообщите в этой теме.

Пофиксите в HijackThis (запустив по правой кнопке от имени администратора!) (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

F3 - REG:win.ini: load=c:\users\75bd~1\dxisvpocc.exe

Обновляйте ОС! Рекомендации выше.

 

Запустите ещё раз AdwCleaner и после поиска нажмите на Clean (если элементы Mail.ru нужны - снимете с них "галочки").

Новый лог будет после перезагрузки. Приложите.

Сделайте новые логи по правилам.

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

 

 

На скрипт AVZ ругался на строки с 11 по 15. Сделала без них. 

ОС пока обновить не могу. 

Новые логи прилагаю. 

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log.txt

AdwCleanerS1.txt

Ссылка на комментарий
Поделиться на другие сайты

откройте в блокноте файл win.ini в папке Windows

найдите там строку, в которой будет упоминаться файл dxisvpocc.exe (из папки пользователя), и удалите её.

 

в безопасном режиме выполните скрипт





begin
ClearQuarantine;
TerminateProcessByName('c:\windows\system32\rdpssw32.exe');
QuarantineFile('c:\windows\system32\rdpssw32.exe','');
DeleteFile('c:\windows\system32\rdpssw32.exe','32');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(10);
BC_DeleteFile('c:\windows\system32\rdpssw32.exe');
BC_Activate;
RebootWindows(true);
end.

сделайте новые логи.

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

 

 


откройте в блокноте файл win.ini в папке Windows найдите там строку, в которой будет упоминаться файл dxisvpocc.exe (из папки пользователя), и удалите её.

 

такой строчки не нашла, искала очень хорошо )

 

Скрипт выполнила, логи прикрепляю. 

 

 

log.txt

virusinfo_syscure.zip

virusinfo_syscheck.zip

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
DeleteFile('C:\Windows\system32\Tasks\UpdaterEX.job','64');
DeleteFile('C:\Users\75BD~1\AppData\Roaming\UPDATE~1\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('c:\users\75bd~1\dxisvpocc.exe','32');
RegKeyResetSecurity('HKEY_CURRENT_USER','Software\Microsoft\Windows NT\CurrentVersion\Windows');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows NT\CurrentVersion\Windows','Load');
RegKeyStrParamWrite('HKEY_CURRENT_USER','Software\Microsoft\Windows NT\CurrentVersion\Windows','Load','');
DelAutorunByFileName('c:\users\75bd~1\dxisvpocc.exe');
ExecuteSysClean;
BC_DeleteFile('C:\Users\75BD~1\AppData\Roaming\UPDATE~1\UPDATE~1\UPDATE~1.EXE');
BC_DeleteFile('c:\users\75bd~1\dxisvpocc.exe');
BC_DeleteFile('C:\Windows\system32\Tasks\UpdaterEX.job');
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Для создания архива с карантином выполните скрипт:
begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.
Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).
Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.
В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).
В строке "Электронный адрес:" укажите адрес своей электронной почты.
Полученный ответ сообщите в этой теме.

!!!

 

 


Загрузившись в безопасном режиме, удалите остатки Kaspersky Virus Removal Tool с помощью утилиты из данной статьи.http://support.kaspe.../?qid=208635705Важно: выбирать AVP Tool Driver.Удалите остатки DrWeb CureIT!http://download.geo....drw_remover.exe

 

 

Сделайте новые логи по правилам.

Ссылка на комментарий
Поделиться на другие сайты

Остатки Dr WEb и Касперского вчера еще удалила, как написано в инструкции. Скрипт выполнить не получается, AVZ выдает ошибку : Too many actual parametrs в позиции 2:11. 

Ссылка на комментарий
Поделиться на другие сайты

странно Вы выполняете скрипты...

 

логи с версии 4.41

скрипты пытаетесь в старой - 4.39 (?)...

 

всё необходимо делать в 4.41!


 

 


Остатки Dr WEb и Касперского вчера еще удалила

 

они остались.

удалим скриптом после выполнения ранее предложенного и новых логов.

Ссылка на комментарий
Поделиться на другие сайты

Действительно, странно , т.к. я все в одной программе делала ... 

Скрипт выполнила, еще раз зашла в безопасный режим и удалила программами остатки антивирусов.

Логи прикрепляю. 

 

P.S. спасибо за помощь, не подумайте, что я специально над Вами издеваюсь.

virusinfo_syscure.zip

virusinfo_syscheck.zip

log.txt

Ссылка на комментарий
Поделиться на другие сайты

в безопасном режиме:

begin
SetServiceStart('4644633drv', 4);
DeleteFile('C:\Program Files (x86)\DrWeb\dwnetfilter.exe','32');
DeleteFile('c:\users\Илья\appdata\local\temp\F7F50A52-33AEB7F2-C095F086-C73DDE04\bwen91dz.exe','32');
DeleteFile('c:\users\Илья\appdata\local\temp\F7F50A52-33AEB7F2-C095F086-C73DDE04\zo36l9dj.exe','32');
DeleteFile('C:\Windows\system32\drivers\4644633drv.sys','32');
DeleteService('4644633drv');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

новые логи.


 

 


P.S. спасибо за помощь, не подумайте, что я специально над Вами издеваюсь.

:hihi:

и не думал.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • composer1995
      Автор composer1995
      Добрый день!

      Столкнулся с вирусом CAAServices.exe. Изложу последовательно события и свои действия:

      1. Центр обновления Windows установил обновления (не знаю, связано ли это с дальнейшей проблемой)
      - Накопительное обновление для Windows 11 Version 24H2 для систем на базе процессоров x64, 2025 07 (KB5062553)
      - 2025-07 Накопительное обновление .NET Framework 3.5 и 4.8.1 для Windows 11, version 24H2 для x64-разрядных систем (KB5056579)

      2. После обновления комп перезагрузился и в простое на рабочем столе начал сильно шуметь. Я решил проверить диспетчер задач и заглянуть в автозагрузки. В этот момент комп уже остыл и вернулся к нормальному уровню шума. В списке автозагрузок обнаружил файл CAAServices.exe, расположение файла C:\ProgramData\CAAService

      3. Нагуглил, что это майнер, провёл проверку защитником Windows, обнаружил вирус:
      - Trojan:Win64/DisguisedXMRigMiner!rfn, затронутые элементы C:\ProgramData\CAAService\Microsoft Network Realtime lnspection Service.exe

      Далее, в исключениях обнаружил CAAServices.exe, убрал его из списка исключений. Вручную указал папку CAAService, и в ней он нашёл:
      - Trojan:Win32/Wacatac.H!ml, затронутые элементы C:\ProgramData\CAAService\CAAServices.exe

      Защитник удалил оба вируса. После рестарта компа в автозагрузках снова обнаружил этот CAAServices.exe. Повторил процедуру по поиску и удалению вируса, комп не перезагружал.

      4. Пришёл сюда на сайт, провёл проверку Kaspersky Virus Removal Tool, обнаружил два вируса (прикладываю скрин). После проверки данной утилитой и рестарта компа в автозагрузке майнер не появляется. В папке C:\ProgramData\CAAService исчез файл CAAServices.exe. Остались только файлы CAAServices.vdr и OpenCL.dll.

      5. Собрал логи с помощью AutoLogger, прикладываю архив.

      Скажите, пожалуйста, избавился ли я от майнера, или нужно предпринять ещё какие-то меры?

      CollectionLog-2025.07.10-12.42.zip
    • sekvoya
      Автор sekvoya
      В браузере появляется расширение AdBlock, которое ломает разметку. При удалении расширения все становится нормально. Однако, после перезапуска ПК, расширение появляется в браузере вновь. Также в папке Temp появляется папка, которую нельзя удалить "2xzjmmugjeoboytjoc0goumkkhc"
      CollectionLog-2025.07.05-18.18.zip
    • sasaks11
      Автор sasaks11
      Добрый день! Аналогичная ситуация с человеком в теме... Ещё было замечено что скачиваемые файлы на следующий день также повреждаются. Могу ли я решить проблему действуя по представленным здесь шагам или требуется индивидуальное решение?
      Сканирование проводилось с помощью встроенного в майкрософт 11 антивируса. Он ничего не обнаружил ни при полной проверке, ни при быстрой, ни при автономной проверке (Microsoft Defender).

       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Aleks yakov
      Автор Aleks yakov
      Здравствуйте  шифровальщик заразил 2 пк в локальной сети (kozanostra)
      Новая папка.zip
    • Nickopol
      Автор Nickopol
      HEUR:Trojan.Win64.Miner.gen (так определил касперский). Как избавиться без переустановки винды? Создаёт папку в ProgramData типа paperprotector-1c42cf80-e801-4c6e-8375-3b7be1b4649c. paperprotector.exe - запускаемый файл 
×
×
  • Создать...