gudim 0 Опубликовано 26 января, 2014 Share Опубликовано 26 января, 2014 Здравствуйте! CureIt обнаружил TrojanWPCracker.3, удалить не может. log.txt info.txt virusinfo_syscheck.zip virusinfo_syscure.zip Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 091 Опубликовано 26 января, 2014 Share Опубликовано 26 января, 2014 Здравствуйте! Закройте все программы Отключите - Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828) Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ: begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(true); end; ClearQuarantine; QuarantineFile('c:\progra~3\dxikamir.exe',''); QuarantineFile('C:\Users\Илья\AppData\Roaming\Tydedx.exe',''); DeleteFile('C:\Users\Илья\AppData\Roaming\Tydedx.exe','32'); DeleteFile('c:\progra~3\dxikamir.exe','32'); DeleteFile('C:\Windows\Tasks\UpdaterEX.job','64'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tydedx'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','39006'); DeleteService('lzsbvprg'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); BC_Activate; ExecuteRepair(8); RebootWindows(true); end. Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте через данную форму. 1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть. O4 - HKCU\..\Run: [Tydedx] C:\Users\Илья\AppData\Roaming\Tydedx.exe O4 - HKLM\..\Policies\Explorer\Run: [39006] c:\progra~3\dxikamir.exe Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму сохраните и прикрепите в ваше следующее сообщение. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту. Самостоятельно ничего не удаляйте! Если лог не открылся, то найти его можно в следующей папке: %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\LogsФайл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Подробнее читайте в руководстве Цитата Ссылка на сообщение Поделиться на другие сайты
gudim 0 Опубликовано 26 января, 2014 Автор Share Опубликовано 26 января, 2014 MD5 карантина: 3421F7BE9597C9A351B1205F4D920B2B Malwarebytes' Anti-Malware не устанавливается (отказано в доступе) Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 091 Опубликовано 26 января, 2014 Share Опубликовано 26 января, 2014 Скачайте Universal Virus Sniffer (uVS) Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную. Дождитесь окончания работы программы и прикрепите лог к посту в теме.! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да". Подробнее читайте в руководстве Как подготовить лог UVS Цитата Ссылка на сообщение Поделиться на другие сайты
gudim 0 Опубликовано 26 января, 2014 Автор Share Опубликовано 26 января, 2014 (изменено) я запустил Malwarebytes' Anti-Malware таким образом Включил UAC, Включил брандмауэр (был отключен) и снова выключил, Universal Virus Sniffer (uVS) запускать? Или дождаться лога от Malwarebytes' Anti-Malware? Изменено 26 января, 2014 пользователем gudim Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 462 Опубликовано 26 января, 2014 Share Опубликовано 26 января, 2014 Делайте лог МВАМ 1 Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 091 Опубликовано 26 января, 2014 Share Опубликовано 26 января, 2014 я запустил Malwarebytes' Anti-Malware таким образом Включил UAC, Включил брандмауэр (был отключен) и снова выключил, Universal Virus Sniffer (uVS) запускать? Или дождаться лога от Malwarebytes' Anti-Malware? Делайте тогда лог MBAM. UVS пока что не надо. Цитата Ссылка на сообщение Поделиться на другие сайты
gudim 0 Опубликовано 26 января, 2014 Автор Share Опубликовано 26 января, 2014 (изменено) MBAM-log-2014-01-26 (20-10-12) MBAM-log-2014-01-26 (20-10-12).txt Изменено 26 января, 2014 пользователем gudim Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 091 Опубликовано 26 января, 2014 Share Опубликовано 26 января, 2014 (изменено) Отключите - Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828) Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ: begin QuarantineFile('C:\ProgramData\dxdsvc.exe','MBAM:Trojan.ModifiedUPX'); QuarantineFile('C:\ProgramData\dxtrhac.exe','MBAM:Trojan.ModifiedUPX'); QuarantineFile('C:\Users\Илья\dxaapa.exe','MBAM:Trojan.ModifiedUPX'); QuarantineFile('C:\Users\Илья\dxaavycsu.exe','MBAM:Trojan.ModifiedUPX'); QuarantineFile('C:\Users\Илья\dxadie.exe','MBAM:Trojan.ModifiedUPX'); QuarantineFile('C:\Users\Илья\dxeafo.exe','MBAM:Trojan.ModifiedUPX'); QuarantineFile('C:\Users\Илья\dxeakzu.exe','MBAM:Trojan.ModifiedUPX'); QuarantineFile('C:\Users\Илья\dxfskhgwd.exe','MBAM:Trojan.ModifiedUPX'); QuarantineFile('C:\Users\Илья\dxftbhfu.exe','MBAM:Trojan.ModifiedUPX'); QuarantineFile('C:\Users\Илья\dxidwi.exe','MBAM:Trojan.ModifiedUPX'); QuarantineFile('C:\Users\Илья\dxihemkc.exe','MBAM:Trojan.ModifiedUPX'); QuarantineFile('C:\Users\Илья\dxjate.exe','MBAM:Trojan.ModifiedUPX'); QuarantineFile('C:\Users\Илья\dxlbukra.exe','MBAM:Trojan.ModifiedUPX'); QuarantineFile('C:\Users\Илья\dxmtokjae.exe','MBAM:Trojan.ModifiedUPX'); QuarantineFile('C:\Users\Илья\dxnurls.exe','MBAM:Trojan.ModifiedUPX'); QuarantineFile('C:\Users\Илья\dxodie.exe','MBAM:Trojan.ModifiedUPX'); QuarantineFile('C:\Users\Илья\dxqcuux.exe','MBAM:Trojan.ModifiedUPX'); QuarantineFile('C:\Users\Илья\dxqmkwlwn.exe','MBAM:Trojan.ModifiedUPX'); QuarantineFile('C:\Users\Илья\dxrlhs.exe','MBAM:Trojan.ModifiedUPX'); QuarantineFile('C:\Users\Илья\dxrtnito.exe','MBAM:Trojan.ModifiedUPX'); QuarantineFile('C:\Users\Илья\dxtbsisb.exe','MBAM:Trojan.ModifiedUPX'); QuarantineFile('C:\Users\Илья\dxuawke.exe','MBAM:Trojan.ModifiedUPX'); QuarantineFile('C:\Users\Илья\dxvbaoif.exe','MBAM:Trojan.ModifiedUPX'); QuarantineFile('C:\Users\Илья\dxvniedo.exe','MBAM:Trojan.ModifiedUPX'); QuarantineFile('C:\Users\Илья\dxvxdwa.exe','MBAM:Trojan.ModifiedUPX'); QuarantineFile('C:\Users\Илья\dxwhekfr.exe','MBAM:Trojan.ModifiedUPX'); QuarantineFile('C:\Users\Илья\dxwwfspd.exe','MBAM:Trojan.ModifiedUPX'); QuarantineFile('C:\Users\Илья\dxxsft.exe','MBAM:Trojan.ModifiedUPX'); QuarantineFile('C:\Users\Илья\dxzlbz.exe','MBAM:Trojan.ModifiedUPX'); CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip'); end. quarantine2.zip из папки AVZ отправьте через данную форму. 1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете). Подробнее читайте в руководстве Обнаруженные ключи в реестре: 2 HKCU\SOFTWARE\BonanzaDealsLive (PUP.Optional.BonanzaDeals.A) -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\BonanzaDealsLive.exe (PUP.Optional.BonanzaDeals.A) -> Действие не было предпринято. Обнаруженные файлы: C:\ProgramData\dxdsvc.exe (Trojan.ModifiedUPX) -> Действие не было предпринято. C:\ProgramData\dxtrhac.exe (Trojan.ModifiedUPX) -> Действие не было предпринято. C:\Users\Илья\dxaapa.exe (Trojan.ModifiedUPX) -> Действие не было предпринято. C:\Users\Илья\dxaavycsu.exe (Trojan.ModifiedUPX) -> Действие не было предпринято. C:\Users\Илья\dxadie.exe (Trojan.ModifiedUPX) -> Действие не было предпринято. C:\Users\Илья\dxeafo.exe (Trojan.ModifiedUPX) -> Действие не было предпринято. C:\Users\Илья\dxeakzu.exe (Trojan.ModifiedUPX) -> Действие не было предпринято. C:\Users\Илья\dxfskhgwd.exe (Trojan.ModifiedUPX) -> Действие не было предпринято. C:\Users\Илья\dxftbhfu.exe (Trojan.ModifiedUPX) -> Действие не было предпринято. C:\Users\Илья\dxidwi.exe (Trojan.ModifiedUPX) -> Действие не было предпринято. C:\Users\Илья\dxihemkc.exe (Trojan.ModifiedUPX) -> Действие не было предпринято. C:\Users\Илья\dxjate.exe (Trojan.ModifiedUPX) -> Действие не было предпринято. C:\Users\Илья\dxlbukra.exe (Trojan.ModifiedUPX) -> Действие не было предпринято. C:\Users\Илья\dxmtokjae.exe (Trojan.ModifiedUPX) -> Действие не было предпринято. C:\Users\Илья\dxnurls.exe (Trojan.ModifiedUPX) -> Действие не было предпринято. C:\Users\Илья\dxodie.exe (Trojan.ModifiedUPX) -> Действие не было предпринято. C:\Users\Илья\dxqcuux.exe (Trojan.ModifiedUPX) -> Действие не было предпринято. C:\Users\Илья\dxqmkwlwn.exe (Trojan.ModifiedUPX) -> Действие не было предпринято. C:\Users\Илья\dxrlhs.exe (Trojan.ModifiedUPX) -> Действие не было предпринято. C:\Users\Илья\dxrtnito.exe (Trojan.ModifiedUPX) -> Действие не было предпринято. C:\Users\Илья\dxtbsisb.exe (Trojan.ModifiedUPX) -> Действие не было предпринято. C:\Users\Илья\dxuawke.exe (Trojan.ModifiedUPX) -> Действие не было предпринято. C:\Users\Илья\dxvbaoif.exe (Trojan.ModifiedUPX) -> Действие не было предпринято. C:\Users\Илья\dxvniedo.exe (Trojan.ModifiedUPX) -> Действие не было предпринято. C:\Users\Илья\dxvxdwa.exe (Trojan.ModifiedUPX) -> Действие не было предпринято. C:\Users\Илья\dxwhekfr.exe (Trojan.ModifiedUPX) -> Действие не было предпринято. C:\Users\Илья\dxwwfspd.exe (Trojan.ModifiedUPX) -> Действие не было предпринято. C:\Users\Илья\dxxsft.exe (Trojan.ModifiedUPX) -> Действие не было предпринято. C:\Users\Илья\dxzlbz.exe (Trojan.ModifiedUPX) -> Действие не было предпринято. После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог. Изменено 26 января, 2014 пользователем mike 1 Цитата Ссылка на сообщение Поделиться на другие сайты
gudim 0 Опубликовано 26 января, 2014 Автор Share Опубликовано 26 января, 2014 (изменено) KLAN-1368166848 MBAM-log-2014-01-26 (23-02-45).txt Изменено 26 января, 2014 пользователем gudim Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 091 Опубликовано 26 января, 2014 Share Опубликовано 26 января, 2014 Чем из этого списка вы не пользуйтесь? C:\Users\Илья\Downloads\----populaire-2012-dvdrip-_id3584521ids2s.exe (PUP.Adware.MediaGet) -> Действие не было предпринято. C:\Users\Илья\Downloads\CS6 amtlib.dll.zip (PUP.RiskwareTool.CK) -> Действие не было предпринято. C:\Users\Илья\Downloads\kadryi-_torrentino.exe (PUP.Optional.LoadMoney) -> Действие не было предпринято. C:\Users\Илья\Downloads\lyubov-na-konchikah-palcev-2012-720h576-5.88-gb.exe (PUP.Optional.Installmonetizer) -> Действие не было предпринято. C:\Users\Илья\Downloads\MediaGet_id4038691ids1s.exe (PUP.Adware.MediaGet) -> Действие не было предпринято. C:\Users\Илья\Downloads\MediaGet_id4039390ids1s.exe (PUP.Adware.MediaGet) -> Действие не было предпринято. C:\Users\Илья\Downloads\oblachnyiy-atlas-_torrentino.exe (PUP.Optional.LoadMoney) -> Действие не было предпринято. C:\Users\Илья\Downloads\seksualnaya-tvar-[torrentino].exe (PUP.Optional.ZvuZona) -> Действие не было предпринято. C:\Users\Илья\Downloads\seksualnaya-tvar-_torrentino.exe (PUP.Optional.LoadMoney) -> Действие не было предпринято. C:\Users\Илья\Downloads\Skype_Rus_Full_Setup (1).exe (PUP.Optional.Freemium.A) -> Действие не было предпринято. C:\Users\Илья\Downloads\SoftonicDownloader_for_xampp.exe (PUP.Optional.Softonic.A) -> Действие не было предпринято. C:\Users\Илья\Downloads\sonnaya-loschina-_torrentino.exe (PUP.Optional.LoadMoney) -> Действие не было предпринято. C:\Users\Илья\Downloads\torrent.exe (PUP.Optional.LoadMoney) -> Действие не было предпринято. Сделайте новые логи AVZ, RSIT. Цитата Ссылка на сообщение Поделиться на другие сайты
gudim 0 Опубликовано 26 января, 2014 Автор Share Опубликовано 26 января, 2014 (изменено) Ничем не пользуюсь, log.txt info.txt virusinfo_syscheck.zip Изменено 26 января, 2014 пользователем gudim Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 091 Опубликовано 26 января, 2014 Share Опубликовано 26 января, 2014 Скачайте Universal Virus Sniffer (uVS) Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе. !Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную. Дождитесь окончания работы программы и прикрепите лог к посту в теме. ! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да". Подробнее читайте в руководстве Как подготовить лог UVS Цитата Ссылка на сообщение Поделиться на другие сайты
gudim 0 Опубликовано 27 января, 2014 Автор Share Опубликовано 27 января, 2014 лог uVS ИЛЬЯ-ПК_2014-01-27_19-31-11.7z Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 091 Опубликовано 27 января, 2014 Share Опубликовано 27 января, 2014 Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена: ;uVS v3.81.8 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE breg addsgn A7679BF0AA021CE34BD4C60D5C881261848AFCF689AA7BF1A0C3C5BC50559D14704194DE5BBD625C3710C49F75C4C32EF4CA2CC015DA3BE4AC965B2FC706AB7E 8 TYDEDX.EXE zoo %SystemDrive%\USERS\ИЛЬЯ\APPDATA\ROAMING\TYDEDX.EXE bl 71648065136A8FB675EC7930ECB8B0DA 163328 delall %SystemDrive%\USERS\ИЛЬЯ\APPDATA\ROAMING\TYDEDX.EXE delref HTTP://SEARCHFUNMOODS.COM/?F=1&A=IRON2&CHNL=IRON2&CD=2XZUYETN2Y1L1QZUTDTDZZTDYEZZTCYCTA0ETDTAZYZZYD0ETN0D0TZU0CTAYETDTN1L2XZUTBTFTBTFTDTFTAYEYE&CR=547188142 zoo %SystemDrive%\PROGRAM FILES (X86)\FVCHEAT 2\FVCHEAT.EXE chklst delvir deltmp czoo restart В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z) Если архив отсутствует, то заархивруйте папку ZOO с паролем virus. Полученный архив отправьте через данную форму.1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Подробнее читайте в этом руководстве. Сделайте новый лог UVS. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.