gudim 0 Опубликовано 8 октября, 2013 Share Опубликовано 8 октября, 2013 Добрый день. При работе через Мозиллу на компьютер проник вирус с баннером, который полностью блокирует выход в интернет. После перезагрузки браузер Мозилла вообще пропал с рабочего стола и из "удаления программ". Баннер с вирусом просит перечислить деньги на номер 9851731197. Пробовала найти код активации для этого номера через Деблокер Касперского и Анлокер др. Веб, такого номера в базе нет. При попытке проверить компьютер Касперским Virus Removal Tool выскакивает синий экран. При выполнении скрипта в AVZ для удаления мусора программа зависает на этапе "Mozilla Firefox - очистка папки Crash Reports". Логи создать получилось, прикрепляю. info.txt log.txt virusinfo_syscheck.zip virusinfo_syscure.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 8 октября, 2013 Share Опубликовано 8 октября, 2013 Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantine; ClearHostsFile; TerminateProcessByName('c:\windows\system32\rdpssw32.exe'); TerminateProcessByName('C:\Windows\System32\betwinservicevs.exe'); SetServiceStart('BeTwinSystem', 4); SetServiceStart('BeTwinService', 4); StopService('BeTwinSystem'); StopService('BeTwinService'); QuarantineFile('C:\Users\75BD~1\AppData\Roaming\Funmoods\*',''); QuarantineFile('C:\Program Files (x86)\BonanzaDeals\*',''); QuarantineFile('C:\Users\75BD~1\AppData\Local\Temp\1485578aq',''); QuarantineFile('C:\Users\75BD~1\AppData\Local\Temp\1879906aq',''); QuarantineFile('C:\Users\75BD~1\AppData\Local\Temp\17914578aq',''); QuarantineFile('C:\Users\75BD~1\AppData\Local\Temp\17911765aq',''); QuarantineFile('C:\Users\75BD~1\AppData\Roaming\UPDATE~1\*',''); QuarantineFile('c:\users\75bd~1\dxwhekfr.exe',''); QuarantineFile('c:\progra~3\dxjgsxfoo.exe',''); QuarantineFile('C:\Windows\System32\BeTwinProxyVS.dll',''); QuarantineFile('c:\windows\system32\rdpssw32.exe',''); QuarantineFile('C:\Windows\system32\BeTwinServiceVS.exe',''); QuarantineFile('C:\Windows\system32\Drivers\BeTwinSystemVS.sys',''); QuarantineFile('C:\Users\Илья\AppData\Roaming\Microsoft\Windows\Templates\winsecyr.exe',''); QuarantineFile('C:\Users\Илья\AppData\Roaming\Microsoft Corporation\QSVhost.npa',''); DeleteFile('C:\Users\Илья\AppData\Roaming\Microsoft\Windows\Templates\winsecyr.exe','32'); DeleteFile('C:\Windows\System32\Drivers\BeTwinSystemVS.sys','32'); DeleteFile('C:\Windows\System32\BeTwinProxyVS.dll','32'); DeleteFile('C:\Windows\System32\BeTwinServiceVS.exe','32'); DeleteFile('c:\progra~3\dxjgsxfoo.exe','32'); DeleteFile('c:\users\75bd~1\dxwhekfr.exe','32'); DeleteFileMask('C:\Users\75BD~1\AppData\Roaming\UPDATE~1\','*', true,' '); DeleteDirectory('C:\Users\75BD~1\AppData\Roaming\UPDATE~1\',' '); DeleteFile('C:\Windows\system32\Tasks\UpdaterEX.job','64'); DeleteFile('C:\Windows\system32\Tasks\At1','64'); DeleteFile('C:\Users\75BD~1\AppData\Local\Temp\17911765aq','32'); DeleteFile('C:\Windows\system32\Tasks\At2','64'); DeleteFile('C:\Users\75BD~1\AppData\Local\Temp\17914578aq','32'); DeleteFile('C:\Windows\system32\Tasks\At3','64'); DeleteFile('C:\Users\75BD~1\AppData\Local\Temp\1879906aq','32'); DeleteFile('C:\Users\75BD~1\AppData\Local\Temp\1485578aq','32'); DeleteFile('C:\Windows\system32\Tasks\At4','64'); DeleteFile('C:\Windows\system32\Tasks\Funmoods','64'); DeleteFile('C:\Windows\system32\Tasks\BonanzaDealsUpdate','64'); DeleteFileMask('C:\Program Files (x86)\BonanzaDeals\','*',true,' '); DeleteDirectory('C:\Program Files (x86)\BonanzaDeals\',' '); DeleteFileMask('C:\Users\75BD~1\AppData\Roaming\Funmoods\','*',true,' '); DeleteDirectory('C:\Users\75BD~1\AppData\Roaming\Funmoods\',' '); DeleteFile('C:\Windows\system32\Tasks\UpdaterEX','64'); DeleteFile('C:\Users\Илья\AppData\Roaming\microsoft corporation\qsvhost.npa','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NvCplWow64'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','DisplaySwitch'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\BeTwinProxy\Parameters','ServiceDll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','39006'); RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\SafeBoot','AlternateShell'); DeleteService('BeTwinSystem'); DeleteService('BeTwinService'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(16); BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится.Для создания архива с карантином выполните скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).В строке "Электронный адрес:" укажите адрес своей электронной почты.Полученный ответ сообщите в этой теме.Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть): F2 - REG:system.ini: Shell=C:\Users\Илья\AppData\Roaming\Microsoft\Windows\Templates\winsecyr.exeF3 - REG:win.ini: load=c:\users\75bd~1\dxisvpocc.exe O4 - HKLM\..\Policies\Explorer\Run: [39006] c:\progra~3\dxjgsxfoo.exe Загрузившись в безопасном режиме, удалите остатки Kaspersky Virus Removal Tool с помощью утилиты из данной статьи.http://support.kaspersky.ru/faq/?qid=208635705Важно: выбирать AVP Tool Driver.Удалите остатки DrWeb CureIT!http://download.geo.drweb.com/pub/drweb/tools/drw_remover.exe После проведённого лечения рекомендуется:- установить текущий пакет обновлений (SP) для Windows (может потребоваться активация Windows)* выберите SP для своей версии Windows: Windows XP - SP3, Windows Vista x86 - SP2x86, Windows Vista x64 - SP2x64, Windows 7 x86 - SP1x86, Windows 7 x64 - SP1x64- обновить Internet Explorer до актуальной версии (даже если им не пользуетесь!)- установить все обновления на Windows (может потребоваться активация Windows)- проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее)Сделайте новые логи по правилам. + Сделайте лог AdwCleanerhttp://safezone.cc/forum/showthread.php?t=19726 + проверьте на virustotal.com файл c:\windows\system32\rdpssw32.exe ссылку на результат проверки приложите. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
gudim 0 Опубликовано 8 октября, 2013 Автор Share Опубликовано 8 октября, 2013 Спасибо! В АВЗ скрипт выполнила, а что пофиксить в HijackThis? (Просто строчка пустая стоит). Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 8 октября, 2013 Share Опубликовано 8 октября, 2013 (Просто строчка пустая стоит). уже не пустая. технический сбой какой-то. то, что выше, и ещё вот эти 2 строки, подсвеченные синим. на форум вставить не могу - пропадают... как пофиксите, сразу после перезагрузки делайте новые логи, лог AdwCleaner и ссылку с вирустотал. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
gudim 0 Опубликовано 8 октября, 2013 Автор Share Опубликовано 8 октября, 2013 Новые логи прикладываю. На вирустотал ничего проверить не получилось, т.к. такого файла c:\windows\system32\rdpssw32.exe нет. (Ссылка для лога AdwCleaner http://safezone.cc/f...ead.php?t=19726 нерабочая, форум требует регистрации, пришлось через Яндекс искать )) AdwCleanerR0.txt info.txt log.txt virusinfo_syscure.zip virusinfo_syscheck.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 8 октября, 2013 Share Опубликовано 8 октября, 2013 Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin ClearQuarantine; TerminateProcessByName('c:\windows\system32\rdpssw32.exe'); QuarantineFile('C:\Users\75BD~1\AppData\Roaming\UPDATE~1\UPDATE~1\UPDATE~1.EXE',''); QuarantineFile('c:\windows\system32\rdpssw32.exe',''); QuarantineFile('c:\users\75bd~1\dxisvpocc.exe',''); DeleteFile('c:\users\75bd~1\dxisvpocc.exe','32'); DeleteFile('c:\windows\system32\rdpssw32.exe','32'); DeleteFile('C:\Windows\system32\Tasks\UpdaterEX.job','64'); DeleteFile('C:\Users\75BD~1\AppData\Roaming\UPDATE~1\UPDATE~1\UPDATE~1.EXE','32'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows NT\CurrentVersion\Windows','Load'); DelAutorunByFileName('c:\users\75bd~1\dxisvpocc.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится.Для создания архива с карантином выполните скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).В строке "Электронный адрес:" укажите адрес своей электронной почты.Полученный ответ сообщите в этой теме.Пофиксите в HijackThis (запустив по правой кнопке от имени администратора!) (некоторых строк после выполнения первого скрипта AVZ может уже не быть): F3 - REG:win.ini: load=c:\users\75bd~1\dxisvpocc.exe Обновляйте ОС! Рекомендации выше. Запустите ещё раз AdwCleaner и после поиска нажмите на Clean (если элементы Mail.ru нужны - снимете с них "галочки"). Новый лог будет после перезагрузки. Приложите. Сделайте новые логи по правилам. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
gudim 0 Опубликовано 8 октября, 2013 Автор Share Опубликовано 8 октября, 2013 Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): На скрипт AVZ ругался на строки с 11 по 15. Сделала без них. ОС пока обновить не могу. Новые логи прилагаю. virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log.txt AdwCleanerS1.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 8 октября, 2013 Share Опубликовано 8 октября, 2013 откройте в блокноте файл win.ini в папке Windows найдите там строку, в которой будет упоминаться файл dxisvpocc.exe (из папки пользователя), и удалите её. в безопасном режиме выполните скрипт begin ClearQuarantine; TerminateProcessByName('c:\windows\system32\rdpssw32.exe'); QuarantineFile('c:\windows\system32\rdpssw32.exe',''); DeleteFile('c:\windows\system32\rdpssw32.exe','32'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(10); BC_DeleteFile('c:\windows\system32\rdpssw32.exe'); BC_Activate; RebootWindows(true); end. сделайте новые логи. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
gudim 0 Опубликовано 9 октября, 2013 Автор Share Опубликовано 9 октября, 2013 откройте в блокноте файл win.ini в папке Windows найдите там строку, в которой будет упоминаться файл dxisvpocc.exe (из папки пользователя), и удалите её. такой строчки не нашла, искала очень хорошо ) Скрипт выполнила, логи прикрепляю. log.txt virusinfo_syscure.zip virusinfo_syscheck.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 9 октября, 2013 Share Опубликовано 9 октября, 2013 Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin DeleteFile('C:\Windows\system32\Tasks\UpdaterEX.job','64'); DeleteFile('C:\Users\75BD~1\AppData\Roaming\UPDATE~1\UPDATE~1\UPDATE~1.EXE','32'); DeleteFile('c:\users\75bd~1\dxisvpocc.exe','32'); RegKeyResetSecurity('HKEY_CURRENT_USER','Software\Microsoft\Windows NT\CurrentVersion\Windows'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows NT\CurrentVersion\Windows','Load'); RegKeyStrParamWrite('HKEY_CURRENT_USER','Software\Microsoft\Windows NT\CurrentVersion\Windows','Load',''); DelAutorunByFileName('c:\users\75bd~1\dxisvpocc.exe'); ExecuteSysClean; BC_DeleteFile('C:\Users\75BD~1\AppData\Roaming\UPDATE~1\UPDATE~1\UPDATE~1.EXE'); BC_DeleteFile('c:\users\75bd~1\dxisvpocc.exe'); BC_DeleteFile('C:\Windows\system32\Tasks\UpdaterEX.job'); BC_Activate; RebootWindows(true); end.После выполнения скрипта компьютер перезагрузится.Для создания архива с карантином выполните скрипт:begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end.Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).В строке "Электронный адрес:" укажите адрес своей электронной почты.Полученный ответ сообщите в этой теме.!!! Загрузившись в безопасном режиме, удалите остатки Kaspersky Virus Removal Tool с помощью утилиты из данной статьи.http://support.kaspe.../?qid=208635705Важно: выбирать AVP Tool Driver.Удалите остатки DrWeb CureIT!http://download.geo....drw_remover.exe Сделайте новые логи по правилам. Цитата Ссылка на сообщение Поделиться на другие сайты
gudim 0 Опубликовано 9 октября, 2013 Автор Share Опубликовано 9 октября, 2013 Остатки Dr WEb и Касперского вчера еще удалила, как написано в инструкции. Скрипт выполнить не получается, AVZ выдает ошибку : Too many actual parametrs в позиции 2:11. Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 9 октября, 2013 Share Опубликовано 9 октября, 2013 странно Вы выполняете скрипты... логи с версии 4.41 скрипты пытаетесь в старой - 4.39 (?)... всё необходимо делать в 4.41! Остатки Dr WEb и Касперского вчера еще удалила они остались. удалим скриптом после выполнения ранее предложенного и новых логов. Цитата Ссылка на сообщение Поделиться на другие сайты
gudim 0 Опубликовано 9 октября, 2013 Автор Share Опубликовано 9 октября, 2013 Действительно, странно , т.к. я все в одной программе делала ... Скрипт выполнила, еще раз зашла в безопасный режим и удалила программами остатки антивирусов. Логи прикрепляю. P.S. спасибо за помощь, не подумайте, что я специально над Вами издеваюсь. virusinfo_syscure.zip virusinfo_syscheck.zip log.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 9 октября, 2013 Share Опубликовано 9 октября, 2013 в безопасном режиме: begin SetServiceStart('4644633drv', 4); DeleteFile('C:\Program Files (x86)\DrWeb\dwnetfilter.exe','32'); DeleteFile('c:\users\Илья\appdata\local\temp\F7F50A52-33AEB7F2-C095F086-C73DDE04\bwen91dz.exe','32'); DeleteFile('c:\users\Илья\appdata\local\temp\F7F50A52-33AEB7F2-C095F086-C73DDE04\zo36l9dj.exe','32'); DeleteFile('C:\Windows\system32\drivers\4644633drv.sys','32'); DeleteService('4644633drv'); ExecuteSysClean; BC_Activate; RebootWindows(true); end. новые логи. P.S. спасибо за помощь, не подумайте, что я специально над Вами издеваюсь. и не думал. Цитата Ссылка на сообщение Поделиться на другие сайты
gudim 0 Опубликовано 9 октября, 2013 Автор Share Опубликовано 9 октября, 2013 Сделала log.txt virusinfo_syscure.zip virusinfo_syscheck.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.