Схватили вирус, проверьте логи, пожалуйста.

elenka · 08.06.2014, 15:28

Здравствуйте. Проблема такая - на ноуте сккачивали файл exeшник, запустили, оказался с "подарком" - вирусом. Проверили авастом, вроде удалил, но при запуске мозиллы вместо Яндекса в качестве стартовой страницы запускается zarabotai-mnogo.com или как-то так. Хотя при этом в настройках домашней страницы стоит именно Яндекс. Помогите пожалуйста. Вот логи:
авз
uvs
Спасибо заранее.

safety · 08.06.2014, 16:37

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код:

;uVS v3.82.8 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE

zoo F:\SETUP.EXE
addsgn A7679B1991AE1F245CE76E3821389B40F962327C7605F7AD193C3A5434498EB3CB1063A8C1BD3BF6D47F6C8EAFE9B6120535178D661AE544E4DBE42FA3F91217 19 Win32/AdWare.Pirrit.A [ESET-NOD32]

delall %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.URL
delall %SystemDrive%\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.URL
delall %SystemDrive%\PROGRAM FILES\OPERA\OPERA.URL
hide %SystemDrive%\PROGRAM FILES\MKVTOOLNIX\MKVEXTRACT.EXE
hide %SystemDrive%\PROGRAM FILES\MKVTOOLNIX\MKVINFO.EXE
hide %SystemDrive%\USERS\GALINA\DOCUMENTS\DOWNLOAD\AMC_INSTALL.EXE
hide %SystemDrive%\PROGRAM FILES\MKVTOOLNIX\MMG.EXE
hide %SystemDrive%\USERS\GALINA\AUTO.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&IMSID=C9842940635D10E8D31E3E9D9E7859A9&TEXT={SEARCHTERMS}

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.

+
удалите все ярлыки браузеров на рабочем столе и в быстром запуске и заново создайте их
+

----------
далее,
выполните быстрое сканирование (угроз) в Malwarebytes

elenka · 08.06.2014, 19:12

После выполнения скрипта и удаления ярлыков проблема исчезла. Вот лог из MBAM:
MBAM

safety · 08.06.2014, 19:22

удалите все найденное в мбам,

далее,

сделайте проверку в АдвКлинере
http://pchelpforum.ru/f26/t24207/2/#post1110672

elenka · 08.06.2014, 19:30

Удалила, лог из адвклинера:
адвклинер

safety · 08.06.2014, 19:57

*****
в АдвКлинере, в секции Папки снимите галки с записей mail.ru, yandex

остальное удалите по кнопке Очистить

далее,

закрываем уязвимости

Скопируйте всё содержимое страницы http://dataforce.ru/~kad/ScanVuln.txt в буфер обмена ( Ctrl-A, Ctrl-C) и выполните как скрипт в AVZ - меню "Файл" -> "Выполнить скрипт", вставить буфер обмена - Ctrl-V - и нажать "Запустить". После его работы, если будут найдены уязвимости, в папке LOG появится айл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

------------
http://pchelpforum.ru/f26/t24207/p663084/

elenka · 08.06.2014, 20:19

Спасибо! Уязвимости не найдены. Только теперь маааленькая проблема - в firefox в дополнении speeddial кодировка изменилась, краказяблики вместо букв, и поменять не могу почему-то. Не знаете случайно как исправить?

---------- Добавлено в 21:19 ---------- Предыдущее сообщение было написано в 21:09 ----------

А все, нашла)) спасибо))

08.06.2014, 15:28	#1 (ссылка)
elenka Новичок Регистрация: 14.07.2009 Сообщений: 187 Репутация: 1	Схватили вирус, проверьте логи, пожалуйста. Здравствуйте. Проблема такая - на ноуте сккачивали файл exeшник, запустили, оказался с "подарком" - вирусом. Проверили авастом, вроде удалил, но при запуске мозиллы вместо Яндекса в качестве стартовой страницы запускается zarabotai-mnogo.com или как-то так. Хотя при этом в настройках домашней страницы стоит именно Яндекс. Помогите пожалуйста. Вот логи: авз uvs Спасибо заранее.

08.06.2014, 16:37	#2 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" Код: ;uVS v3.82.8 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE zoo F:\SETUP.EXE addsgn A7679B1991AE1F245CE76E3821389B40F962327C7605F7AD193C3A5434498EB3CB1063A8C1BD3BF6D47F6C8EAFE9B6120535178D661AE544E4DBE42FA3F91217 19 Win32/AdWare.Pirrit.A [ESET-NOD32] delall %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.URL delall %SystemDrive%\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.URL delall %SystemDrive%\PROGRAM FILES\OPERA\OPERA.URL hide %SystemDrive%\PROGRAM FILES\MKVTOOLNIX\MKVEXTRACT.EXE hide %SystemDrive%\PROGRAM FILES\MKVTOOLNIX\MKVINFO.EXE hide %SystemDrive%\USERS\GALINA\DOCUMENTS\DOWNLOAD\AMC_INSTALL.EXE hide %SystemDrive%\PROGRAM FILES\MKVTOOLNIX\MMG.EXE hide %SystemDrive%\USERS\GALINA\AUTO.EXE ;------------------------autoscript--------------------------- chklst delvir delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&IMSID=C9842940635D10E8D31E3E9D9E7859A9&TEXT={SEARCHTERMS} deltmp delnfr ;------------------------------------------------------------- restart перезагрузка, пишем о старых и новых проблемах. + удалите все ярлыки браузеров на рабочем столе и в быстром запуске и заново создайте их + ---------- далее, выполните быстрое сканирование (угроз) в Malwarebytes

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
ПРОВЕРЬТЕ ЛОГИ, ПОЖАЛУЙСТА!!! У меня кажется Вирус ВКОНТАКТЕ	Jane13	Безопасность	2	18.01.2012 21:18
Проверьте логи пожалуйста	непонимающий	Безопасность	34	07.12.2011 22:08
Поймал вирус-баннер, проверьте пожалуйста логи	Hantik	Безопасность	6	05.04.2011 14:52
Проверьте пожалуйста логи. Поймал вирус блокирующий доступ к сайтам антивирусов	Riso	Безопасность	3	24.05.2010 23:58
Проверьте пожалуйста логи	Gumm	Безопасность	8	13.05.2010 16:13

08.06.2014, 19:12	#3 (ссылка)
elenka Новичок Регистрация: 14.07.2009 Сообщений: 187 Репутация: 1	После выполнения скрипта и удаления ярлыков проблема исчезла. Вот лог из MBAM: MBAM

08.06.2014, 19:22	#4 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	удалите все найденное в мбам, далее, сделайте проверку в АдвКлинере http://pchelpforum.ru/f26/t24207/2/#post1110672

08.06.2014, 19:30	#5 (ссылка)
elenka Новичок Регистрация: 14.07.2009 Сообщений: 187 Репутация: 1	Удалила, лог из адвклинера: адвклинер

08.06.2014, 19:57	#6 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	*** в АдвКлинере, в секции Папки снимите галки с записей mail.ru, yandex остальное удалите по кнопке Очистить** далее, закрываем уязвимости Скопируйте всё содержимое страницы http://dataforce.ru/~kad/ScanVuln.txt в буфер обмена ( Ctrl-A, Ctrl-C) и выполните как скрипт в AVZ - меню "Файл" -> "Выполнить скрипт", вставить буфер обмена - Ctrl-V - и нажать "Запустить". После его работы, если будут найдены уязвимости, в папке LOG появится айл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player. ------------ http://pchelpforum.ru/f26/t24207/p663084/

08.06.2014, 20:19	#7 (ссылка)
elenka Новичок Регистрация: 14.07.2009 Сообщений: 187 Репутация: 1	Спасибо! Уязвимости не найдены. Только теперь маааленькая проблема - в firefox в дополнении speeddial кодировка изменилась, краказяблики вместо букв, и поменять не могу почему-то. Не знаете случайно как исправить? ---------- Добавлено в 21:19 ---------- Предыдущее сообщение было написано в 21:09 ---------- А все, нашла)) спасибо))

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Ads