Вирус код страницы

@Rydonn · Регистрация: 19.03.2012

Author24 — интернет-сервис помощи студентам

Привет,
подцепил вирус который вместо страницы отображает ее код
до этого постоянно выскакивало окно flash_player_update.exe знал что это какойто вирус, но походу случайно нажал "разрешить"
помогите плз, заранее спасибо

@~~Katharsis~~ · 20.03.2012, 02:42

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
_______________________________________________________

1. Перед выполнением скрипта выгрузите антивирусное и защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.

Код

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Users\Kazakov\appdata\roaming\apache.exe','');
 QuarantineFile('C:\Users\Kazakov\AppData\Local\Temp\machineupdate32.exe','');
 QuarantineFile('c:\users\kazakov\appdata\roaming\netprotocol.exe','');
 QuarantineFile('C:\Users\Kazakov\AppData\Roaming\elro.exe','');
 QuarantineFile('C:\Users\Kazakov\AppData\Roaming\word.exe','');
 QuarantineFile('C:\Users\Kazakov\AppData\Roaming\readme.exe','');
 DeleteFile('C:\Users\Kazakov\AppData\Roaming\elro.exe');
 DeleteFile('C:\Users\Kazakov\AppData\Roaming\word.exe');
 DeleteFile('C:\Users\Kazakov\AppData\Roaming\readme.exe');
 DeleteFile('C:\Users\Kazakov\appdata\roaming\apache.exe');
 DeleteFile('c:\users\kazakov\appdata\roaming\netprotocol.exe');
 DeleteFile('C:\Windows\system32\jyfafia.dll');
 DeleteFile('C:\Users\Kazakov\AppData\Local\Temp\machineupdate32.exe');
 DeleteFileMask('%windir%\system32', '*.tmp', false);
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Debugger 32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Netprotocol');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

На время выполнения скрипта все сетевые подключения будут закрыты. После окончания компьютер перезагрузится. После перезагрузки выполнить второй скрипт:

Код

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме.

2. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет отмечено, удалять ничего не нужно.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

3. обновите:
adobe reader , Sun Java, Adobe Flash Player, QuickTime, браузеры (по мере выхода обновлений) и их надстройки.

4. сделайте повторные логи avz и rsit.

5. смените все пароли

@~~Katharsis~~ · 22.03.2012, 13:34

Rydonn, мы ждем вашего ответа

@Rydonn · 22.03.2012, 23:40 **[ТС]**

спасибо, проявлений вируса нет.
извиняюсь за долгий ответ

@~~Katharsis~~ · 22.03.2012, 23:55

Rydonn, вы можете не замечать его действия, т к то что предназначено для кражи данных - должно работать не заметно, поэтому выложите повторные логи так же

по MBAM, как и предполагал - зараза удалена не полностью. когда выложите все, скажу что делать дальше.

@Rydonn · 23.03.2012, 22:31 **[ТС]**

выкладываю повторные логи

@~~Katharsis~~ · 23.03.2012, 23:15

из найденного MBAM удалите:

Обнаруженные параметры в реестре: 1
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon|SysDebug32 (Trojan.Agent) -> Параметры: ЧT!яБx4<±Бдў+Г†д„a‰ѕлХI“ђnо7e(з`щ»‚{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4( вrVЧЯ.мЎњї58
ЦЫ!eA’Чцвѕ#Ґ}Lрђ{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4( вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4( вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4( вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4( вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4( вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4( вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4( вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4( вr{x@V4(вr{x@V4(вr{x@V4(вr*nџ•‘iх -> Действие не было предпринято.

Обнаруженные файлы: 6
C:\Users\Kazakov\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\3MI181HV\4[1].o (Trojan.Dropper) -> Действие не было предпринято.
C:\Users\Kazakov\Desktop\AVZ\avz4\Quarantine\2012-03-20\avz00001.dta (Trojan.BHO) -> Действие не было предпринято.
C:\Users\Kazakov\Desktop\AVZ\avz4\Quarantine\2012-03-20\avz00002.dta (Trojan.Agent) -> Действие не было предпринято.
C:\Users\Kazakov\Desktop\AVZ\avz4\Quarantine\2012-03-20\avz00003.dta (Trojan.Dropper) -> Действие не было предпринято.
C:\Users\Kazakov\Desktop\AVZ\avz4\Quarantine\2012-03-20\avz00005.dta (Trojan.Cidox) -> Действие не было предпринято.

Так же обязательно (обновления этого софта закрывают лазейки для вирей):

Сообщение от Katharsis

3. обновите:
adobe reader , Sun Java, Adobe Flash Player, QuickTime, браузеры (по мере выхода обновлений) и их надстройки.

Пока больше ничего плохого.

после всех действий выполните - Рекомендации после удаления вредоносного ПО

@Rydonn · 24.03.2012, 11:35 **[ТС]**

спасибо, все сделал

@~~Katharsis~~ Заблокирован
	20.03.2012, 02:42	2
	Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. _______________________________________________________ 1. Перед выполнением скрипта выгрузите антивирусное и защитное ПО. AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить. Код begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Users\Kazakov\appdata\roaming\apache.exe',''); QuarantineFile('C:\Users\Kazakov\AppData\Local\Temp\machineupdate32.exe',''); QuarantineFile('c:\users\kazakov\appdata\roaming\netprotocol.exe',''); QuarantineFile('C:\Users\Kazakov\AppData\Roaming\elro.exe',''); QuarantineFile('C:\Users\Kazakov\AppData\Roaming\word.exe',''); QuarantineFile('C:\Users\Kazakov\AppData\Roaming\readme.exe',''); DeleteFile('C:\Users\Kazakov\AppData\Roaming\elro.exe'); DeleteFile('C:\Users\Kazakov\AppData\Roaming\word.exe'); DeleteFile('C:\Users\Kazakov\AppData\Roaming\readme.exe'); DeleteFile('C:\Users\Kazakov\appdata\roaming\apache.exe'); DeleteFile('c:\users\kazakov\appdata\roaming\netprotocol.exe'); DeleteFile('C:\Windows\system32\jyfafia.dll'); DeleteFile('C:\Users\Kazakov\AppData\Local\Temp\machineupdate32.exe'); DeleteFileMask('%windir%\system32', '.tmp', false); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Debugger 32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Netprotocol'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. На время выполнения скрипта все сетевые подключения будут закрыты. После окончания компьютер перезагрузится. После перезагрузки выполнить второй скрипт: Код begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме. 2. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Show Results* ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет отмечено, удалять ничего не нужно. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. 3. обновите: adobe reader , Sun Java, Adobe Flash Player, QuickTime, браузеры (по мере выхода обновлений) и их надстройки. 4. сделайте повторные логи avz и rsit. 5. смените все пароли 1

@~~Katharsis~~ Заблокирован
	22.03.2012, 13:34	3
	Rydonn, мы ждем вашего ответа 0

@~~Katharsis~~ Заблокирован
	22.03.2012, 23:55	5
	Rydonn, вы можете не замечать его действия, т к то что предназначено для кражи данных - должно работать не заметно, поэтому выложите повторные логи так же по MBAM, как и предполагал - зараза удалена не полностью. когда выложите все, скажу что делать дальше. 0

@~~Katharsis~~ Заблокирован
	23.03.2012, 23:15	7
	из найденного MBAM удалите: Обнаруженные параметры в реестре: 1 HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\|SysDebug32 (Trojan.Agent) -> Параметры: ЧT!яБx4<±Бдў+Г†д„a‰ѕлХI“ђnо7e(з`щ»‚{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4( вrVЧЯ.мЎњї58 ЦЫ!eA’Чцвѕ#Ґ}Lрђ{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4( вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4( вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4( вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4( вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4( вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4( вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4( вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4( вr{x@V4(вr{x@V4(вr{x@V4(вrnџ•‘iх -> Действие не было предпринято. Обнаруженные файлы: 6 C:\Users\Kazakov\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\3MI181HV\4[1].o (Trojan.Dropper) -> Действие не было предпринято. C:\Users\Kazakov\Desktop\AVZ\avz4\Quarantine\2012-03-20\avz00001.dta (Trojan.BHO) -> Действие не было предпринято. C:\Users\Kazakov\Desktop\AVZ\avz4\Quarantine\2012-03-20\avz00002.dta (Trojan.Agent) -> Действие не было предпринято. C:\Users\Kazakov\Desktop\AVZ\avz4\Quarantine\2012-03-20\avz00003.dta (Trojan.Dropper) -> Действие не было предпринято. C:\Users\Kazakov\Desktop\AVZ\avz4\Quarantine\2012-03-20\avz00005.dta (Trojan.Cidox) -> Действие не было предпринято. Так же обязательно (обновления этого софта закрывают лазейки для вирей): Сообщение от Katharsis* 3. обновите: adobe reader , Sun Java, Adobe Flash Player, QuickTime, браузеры (по мере выхода обновлений) и их надстройки. Пока больше ничего плохого. после всех действий выполните - Рекомендации после удаления вредоносного ПО 0

@Rydonn 0 / 0 / 0 Регистрация: 19.03.2012 Сообщений: 7
	24.03.2012, 11:35 [ТС]	8
	спасибо, все сделал 0