проблема c gangnamgame, не открывается regedit и пр.

[Санчо Сорокин]

Собственно в теме всё сказано. При загрузке виндоус, открывается cmd и запускается браузер с сайтом gangnamgame

обычная версия автологгера не запустилась, сделал специальной.
CollectionLog-2015.09.17-13.38.zip 

Изменено 17 сентября, 2015 пользователем Санчо Сорокин

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin

RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);

RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);

RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);

RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);

RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);

 QuarantineFile('C:\Users\Home\AppData\Local\Microsoft\Redist\vcredist_x86.cfg','');

 QuarantineFile('C:\Users\Home\AppData\Local\Microsoft\Redist\vcredist_x86.exe','');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','CMD');

 DeleteFile('C:\Users\Home\AppData\Local\Microsoft\Redist\vcredist_x86.exe','32');

 DeleteFile('C:\Users\Home\AppData\Local\Microsoft\Redist\vcredist_x86.cfg','32');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','vcredist_x86_del');

ExecuteSysClean;

Executerepair(9);

RebootWindows(true);

end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 

end.

 

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.

1. В заголовке письма напишите "Запрос на исследование вредоносного файла".

2. В письме напишите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина и нажмите "Отправить"

4. Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Сделайте новые логи обычной версией Автологгера. 

 

[Санчо Сорокин]

Re: Запрос на исследование вредоносного файла [KLAN-3145557263]

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. 

vcredist_x86.cfg,
vcredist_x86.exe

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"


Hello,

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed. 

vcredist_x86.cfg,
vcredist_x86.exe

A set of unknown files has been received. They will be sent to the Virus Lab.

Best Regards, Kaspersky Lab

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com"


--------------------------------------------------------------------------------
Sent: 9/17/2015 2:40:06 PM
To: newvirus@kaspersky.com
Subject: Запрос на исследование вредоносного файла

 Выполняется запрос хэлпера

 

 

новые логи обычной версией Автологгера: 

CollectionLog-2015.09.17-17.49.zip

[mike 1]

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1431955415&z=3c5fbe3265d693351dcad8egazfc1gdtdw4wfz8g8q&from=cor&uid=WDCXWD10EZEX-00BN5A0_WD-WCC3F020136601366&q={searchTerms}

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1431955415&z=3c5fbe3265d693351dcad8egazfc1gdtdw4wfz8g8q&from=cor&uid=WDCXWD10EZEX-00BN5A0_WD-WCC3F020136601366&q={searchTerms}

 

Что с проблемой?

[Санчо Сорокин]

Пофиксил, проблемы нет. Редактор реестра работает, программы запускаются, сайта нет.
Спасибо большое!

[mike 1]

• Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите отчет в вашей теме