Вирус заблокировал Google и Яндекс

[4akk]

Здравствуйте! Поймал вирус.

Мы зарегистрировали подозрительный трафик, исходящий из вашей сети. С помощью этой страницы мы сможем определить, что запросы отправляете именно вы, а не робот. И просят отправить смс.

Cureit ничего не нашел.

 

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\user\AppData\Local\Temp\pbgapfbolhfurblymao.bfg','');
 QuarantineFile('C:\Users\user\6940003.exe','');
 DeleteFile('C:\Users\user\6940003.exe','32');
 DeleteFile('C:\Users\user\AppData\Local\Temp\pbgapfbolhfurblymao.bfg','32');
 DeleteFile('C:\Users\user\AppData\Local\Temp\mhtjn','32');
 DeleteFile('C:\Windows\Tasks\At1.job','64');
 DeleteFile('C:\Windows\Tasks\At2.job','64');
 DeleteFile('C:\Users\user\AppData\Local\Temp\17691074FDoh','32');
 DeleteFile('C:\Users\user\AppData\Local\Temp\21004442FDoh','32');
 DeleteFile('C:\Windows\Tasks\At3.job','64');
 DeleteFile('C:\Users\user\AppData\Local\Temp\35211874FdOh','32');
 DeleteFile('C:\Windows\Tasks\At4.job','64');
 DeleteFile('C:\Users\user\AppData\Local\Temp\8200941','32');
 DeleteFile('C:\Windows\Tasks\At5.job','64');
 DeleteFile('C:\Users\user\AppData\Local\Temp\8201003','32');
 DeleteFile('C:\Windows\Tasks\At6.job','64');
 DeleteFile('C:\Windows\system32\Tasks\At1','64');
 DeleteFile('C:\Windows\system32\Tasks\At2','64');
 DeleteFile('C:\Windows\system32\Tasks\At3','64');
 DeleteFile('C:\Windows\system32\Tasks\At4','64');
 DeleteFile('C:\Windows\system32\Tasks\At5','64');
 DeleteFile('C:\Windows\system32\Tasks\At6','64');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пофиксите в HiJack

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&CUI=UN22810278843132241&UM=2&ctid=CT3288691
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
O2 - BHO: (no name) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - (no file)
O3 - Toolbar: (no name) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - (no file)

Сделайте новые логи