13 ответов в этой теме

[Happy__End]

Всем привет, подцепил какую то новую для меня гадость, чем ее лечить?
Когда делаю поиск в яндексе, на странице с первой десяткой результатов вылазит вот эта хрень. Следующие страницы чистые. Вылазит как в файерфоксе так и в хроме, так и в IE. CurelIT что то нашел, вылечил, но не помомг.
Спасибо!

Сообщение было изменено VVS: 14 Январь 2013 - 09:22

[Dr.Robot]

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и RkU. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Что не нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://vms.drweb.com/sendvirus/ несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
- собрать и выложить в своей теме логи утилит, указанных в Правилах этого раздела форума;

[dimko397]

у меня такой же баннер висел. Но я, правда, рекомендаций выше не читал, и все сделал сперва через задницу: сперва проверил куреитом, что-то он там нашел, вирус удалил, а баннер остался. Скачал AVG, проверил - еще что-то нашел (может и не вирус даже, известны же слухи о паталогической паранои других антивирусов), баннер опять остался. Проверил avir'ой - то же самое, всё чисто, баннер висит.

 

Тогда я собственно нашел эту тему, скачал hijack и, внимательно проанализировав выданный список, нашел подозрительную строчку (блин, опять не сохранил, пишу по памяти), начинающуюся с O17, содержащей длинный буквенный ключ и ip-шник в конце вида 37.*.*.*. Удалил эту строчку - баннер исчез, победа. 

 

В принципе, если это важно, могу получить эту же строчку в точном виде - на другом винчестере сохранен образ винды с баннером (но уже без вируса).

[makc-777]

у меня те же самые баннеры вылазят на всех бразуерах прошу помочь.

Прикрепленные файлы:

•  hijackthis.rar   4,45К   24 Скачано раз

[lazarevee]

Прежде всего скопируйте и поместите в архив с паролем C:\Users\Maxim\AppData\Roaming\80675A.exe

makc-777, Запустите  hijackthis - Scan (отметить строки нижи) - Fix checked

O4 - HKCU\..\Policies\Explorer\Run: [Samsung] C:\Users\Maxim\AppData\Roaming\80675A.exe - это в https://vms.drweb.com/sendvirus/?lng=ru

O4 - Startup: 3005.cmd

O17 - HKLM\System\CCS\Services\Tcpip\..\{0A0FF53F-4C5E-4DFB-A204-106532473CCE}: NameServer = 37.157.255.228

O17 - HKLM\System\CCS\Services\Tcpip\..\{DE3E42EF-D3D4-4A77-A9A8-C48A143A43B3}: NameServer = 37.157.255.228

O17 - HKLM\System\CCS\Services\Tcpip\..\{e29ac6c2-7037-11de-816d-806e6f6e6963}: NameServer = 37.157.255.228

O17 - HKLM\System\CCS\Services\Tcpip\..\{EE20F387-75F3-4F06-868D-FB559A896988}: NameServer = 37.157.255.228

 

http://www.ip-address-lookup-v4.com/ip/37.157.255.228

 

Это тоже, если не вы делали.

 

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = BM.local

O17 - HKLM\Software\..\Telephony: DomainName = BM.local

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = BM.local

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = BM.local

O20 - AppInit_DLLs:   

Сообщение было изменено lazarev.ee: 14 Январь 2013 - 08:09

[makc-777]

не нашел файл 80675A.exe

 

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = BM.local

O17 - HKLM\Software\..\Telephony: DomainName = BM.local

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = BM.local

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = BM.local

 

BM.local это рабочий сервер

Сообщение было изменено makc-777: 14 Январь 2013 - 08:12

[lazarevee]

https://www.freedrweb.com/download+cureit+free/?lng=ru этим поверьте, файл скорее всего скрытый, может изменять имя. Попробуйте поиском. O4 - Startup: 3005.cmd - а этот ?

Пофиксить и перезагрузиться. Для гарантии можно сбросить настройки модема и поставить пароль (не admin).

Сообщение было изменено lazarev.ee: 14 Январь 2013 - 08:24

[makc-777]

файл 80675A.exe так и не нашел

 

профиксил

O4 - HKCU\..\Policies\Explorer\Run: [Samsung]

O17 - HKLM\System\CCS\Services\Tcpip\..\{0A0FF53F-4C5E-4DFB-A204-106532473CCE}: NameServer = 37.157.255.228

O17 - HKLM\System\CCS\Services\Tcpip\..\{DE3E42EF-D3D4-4A77-A9A8-C48A143A43B3}: NameServer = 37.157.255.228

O17 - HKLM\System\CCS\Services\Tcpip\..\{e29ac6c2-7037-11de-816d-806e6f6e6963}: NameServer = 37.157.255.228

O17 - HKLM\System\CCS\Services\Tcpip\..\{EE20F387-75F3-4F06-868D-FB559A896988}: NameServer = 37.157.255.228

перегрузился,

баннер больше не выходил

большое спасибо за помощь.

 

что-то делать дальше надо?

[lw12]

Баннер с немецкого сервера по Javascript цеплялся, если в браузере его выключить то ничего не прицепилось бы.

А 80675A.exe скорее всего или самоудалился или скрылся. Они еще паралельно ФТП пароли воруют для размножения.

[Happy__End]

Всем спасибо! Вылечился вот этим хайджеком.

[lazarevee]

что-то делать дальше надо?

 

Нужен антивирус с веб защитой как DrWeb SS https://download.drweb.com/?lng=ru

Блокируя один вредоносный или не рекомендуемый сайт, SpIDer Gate (модуль проверки http) уберегает от множества подобных заражений...

Сообщение было изменено lazarev.ee: 14 Январь 2013 - 17:07

[lw12]

что-то делать дальше надо?

 

Нужен антивирус с веб защитой как DrWeb SS https://download.drweb.com/?lng=ru

Блокируя один вредоносный или не рекомендуемый сайт, SpIDer Gate (модуль проверки http) уберегает от множества подобных заражений...

Это если эти сайты будут в базе Доктора. В последнее время я сайты вирусные нашел которых нету у Гате и вирусных записей не было у Доктора.

 

Отрубить вот это как рекомендует Mozilla.

Прикрепленные файлы:

•  1.PNG   62,86К   4 Скачано раз

Сообщение было изменено lw12: 14 Январь 2013 - 21:27

[lazarevee]

lw12 said: Это если эти сайты будут в базе Доктора. В последнее время я сайты вирусные нашел которых нету у Гате и вирусных записей не было у Доктора.

 

Отрубить вот это как рекомендует Mozilla.

И долго вы будете этим наслаждаться ? Добавление в базу подозрительных сайтов и файлов - это почти привелегия. Другие вендоры отвечают так, что больше ничего спрашивать не захочется..

Я рекомендую вообще отрубить Mozilla

[Sybiryak]

Все смело переходите на chrome =))