Вирус блокирующий браузера

@Владислав115 · Регистрация: 11.09.2012

Author24 — интернет-сервис помощи студентам

и так, столкнулся с такой проблемой в интернете сидел без антивирусника и подцепил вирус
и не заходит в соц сети, проверка не нашла вирусов
но пишет всегда
На вашу страницу в течение 24 часов было сделано более 10 неудачных попыток авторизации (вы или кто-то другой ввели неверный пароль 12 раз). Аккаунт временно заблокирован для предотвращения взлома. Чтобы подтвердить, что Вы действительно являетесь владельцем страницы, пожалуйста, укажите номер вашего мобильного телефона, к которому привязана страница. Если ранее страница не была привязана к номеру Вашего мобильного телефона, то она будет привязана к номеру, который вы введете ниже.
Блокирует поисковики, сайты и прочее, пишу с другой windows так как на ваш сайт даже файлы не дает залить.
Логи все сделал по инструкции!
Заранее спасибо)

@~~Katharsis~~ · 11.09.2012, 15:30

C:\Users\Владислав\AppData\Local\Apps\2.0\LDW1JOWJ.EW9\ODYRJYXT.BPR\domr..tion_2 edef5e10e1944ec_0000.0000_f3288ee97165d9ed\Domru.exe - это известно что такое?

@Владислав115 · 11.09.2012, 15:33 **[ТС]**

Нет, его удалить? А хотя я проверил это программа поддержки провайдера дом.ру

@~~Katharsis~~ · 11.09.2012, 15:47

не нужно удалять, если пользуетесь

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
_______________________________________________________

1. обновите:
adobe reader , Sun Java, Adobe Flash Player, QuickTime, браузеры (по мере выхода обновлений) и их надстройки.

2. В логе сканирования Hijackthis отметьте:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.apeha.ru

O9 - Extra button: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - (no file)
O9 - Extra 'Tools' menuitem: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - (no file)

нажмите "Fix checked"

если хотите оставить у себя стартовые страницы и поисковые модули webalta и apeha - не трогайте эти строки, так же удалите из скрипта ниже команды:
DelCLSID('{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a}');
DeleteFile('C:\Users\Владислав\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2 .default\searchplugins\webalta-search.xml');

3. Перед выполнением скрипта выгрузите антивирусное и защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт (без номеров строк) - Нажать кнопку Запустить.

Код

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('','');
 QuarantineFile('C:\Windows\system32\ijerfgm.dll','');
 DeleteFile('C:\Windows\system32\ijerfgm.dll');
 DeleteFile('C:\Users\Владислав\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\webalta-search.xml');
 DelCLSID('{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a}');
 DeleteFileMask('C:\Users\4918~1\AppData\Local\Temp\3342259FdOh', '*.*', true);
 DeleteDirectory('C:\Users\4918~1\AppData\Local\Temp\3342259FdOh');
 RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\3342493');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

На время выполнения скрипта все сетевые подключения будут закрыты. После окончания компьютер перезагрузится. После перезагрузки выполнить второй скрипт:

Код

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме.

4. Сделайте новые логи AVZ и RSIT

5. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет отмечено, удалять ничего не нужно.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

Сделайте новые логи AVZ и RSIT

@Владислав115 · 11.09.2012, 19:18 **[ТС]**

Вот все сделал, кроме обновления программ, все работает после выполнения скрипта, а после чистки Malwarebytes 22 вира нашел. Хорошая программа, нашла то что другие не могут увидеть! Спасибо за помощь, быстро и опертивно сработано)

@~~Katharsis~~ · 11.09.2012, 19:28

Из найденного MBAM ничего удалять не нужно, если вебальту решили оставить

в остальном порядок

выполните Рекомендации после удаления вредоносного ПО

Добавлено через 1 минуту

Сообщение от Владислав115

кроме обновления программ

программы нужно обновить, через их уязвимости вам на комп пробираются вири

@~~Katharsis~~ Заблокирован
	11.09.2012, 15:30	2
	C:\Users\Владислав\AppData\Local\Apps\2.0\LDW1JOWJ.EW9\ODYRJYXT.BPR\domr..tion_2 edef5e10e1944ec_0000.0000_f3288ee97165d9ed\Domru.exe - это известно что такое? 0

@Владислав115 0 / 0 / 0 Регистрация: 11.09.2012 Сообщений: 3
	11.09.2012, 15:33 [ТС]	3
	Нет, его удалить? А хотя я проверил это программа поддержки провайдера дом.ру 0

@~~Katharsis~~ Заблокирован
	11.09.2012, 15:47	4
	не нужно удалять, если пользуетесь Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. _______________________________________________________ 1. обновите: adobe reader , Sun Java, Adobe Flash Player, QuickTime, браузеры (по мере выхода обновлений) и их надстройки. 2. В логе сканирования Hijackthis отметьте: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.apeha.ru O9 - Extra button: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - (no file) O9 - Extra 'Tools' menuitem: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - (no file) нажмите "Fix checked" если хотите оставить у себя стартовые страницы и поисковые модули webalta и apeha - не трогайте эти строки, так же удалите из скрипта ниже команды: DelCLSID('{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a}'); DeleteFile('C:\Users\Владислав\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2 .default\searchplugins\webalta-search.xml'); 3. Перед выполнением скрипта выгрузите антивирусное и защитное ПО. AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт (без номеров строк) - Нажать кнопку Запустить. Код begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('',''); QuarantineFile('C:\Windows\system32\ijerfgm.dll',''); DeleteFile('C:\Windows\system32\ijerfgm.dll'); DeleteFile('C:\Users\Владислав\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\webalta-search.xml'); DelCLSID('{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a}'); DeleteFileMask('C:\Users\4918~1\AppData\Local\Temp\3342259FdOh', '.', true); DeleteDirectory('C:\Users\4918~1\AppData\Local\Temp\3342259FdOh'); RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\3342493'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. На время выполнения скрипта все сетевые подключения будут закрыты. После окончания компьютер перезагрузится. После перезагрузки выполнить второй скрипт: Код begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме. 4. Сделайте новые логи AVZ и RSIT 5. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет отмечено, удалять ничего не нужно. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Сделайте новые логи AVZ и RSIT 0

@~~Katharsis~~ Заблокирован
	11.09.2012, 19:28	6
	Из найденного MBAM ничего удалять не нужно, если вебальту решили оставить в остальном порядок выполните Рекомендации после удаления вредоносного ПО Добавлено через 1 минуту Сообщение от Владислав115 кроме обновления программ программы нужно обновить, через их уязвимости вам на комп пробираются вири 0