Trojan:Win32/Vundo.gen!AW

[sergio_karp]

помогите пожалуйста избавиться от трояна!
произвольно переходит на разные сайты

uVS http://rghost.ru/42237569
avz http://rghost.ru/42237714
rsit http://rghost.ru/private/42237843/a4...600fc8e0b734b1

[Arkalik]

sergio_karp, ВЫПОЛНЯЕМ СКРИПТ В uVS
- скопировать содержимое из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой мышью и выбираете Копировать);
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, слева наверху выбираете пункт: скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
- на запросы об удалении программ соглашайтесь (нажимаем Да или Далее);

Код:

;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
addsgn 1A46609A55835B8CF42BFB3A8849FE2D268AFC5569575F780CCE191110D6F859FBBA8357B74849E46B800DAA96BB09FAF4E224DF15DAD6A0388F096FC760AE7E 8 Trojan:Win32/Vundo.gen!AW
zoo %SystemDrive%\USERS\КОМФИ\APPDATA\ROAMING\S95SBCU.EXE
bl 0A1FC0FAABF0C9280EB189FEE8F4EF33 131072
chklst
delvir
delref HTTP://MAILSEARCHENGINE.RU
regt 14
regt 12
regt 21
deltmp
delnfr
czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив, из каталога uVS, созданный после выполнения скрипта (например: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту sendvirus2011@gmail.com.
------------------------
далее, выполните быстрое сканирование в Malwarebytes

[sergio_karp]

выполнил
антивирус уже непоказывает но произвольний переход на сайты остался
и музика вконтакте перестала работать

[Arkalik]

sergio_karp,

Цитата:

Сообщение от Arkalik

далее, выполните быстрое сканирование в Malwarebytes

[sergio_karp]

выполнил тоже
ничего не нашло

[Arkalik]

sergio_karp, Передайте логи MBAM по инструкцию.

[sergio_karp]

http://rghost.ru/private/42239325/749c35912ccdd733bff8c5d85a8dfa9b

[Arkalik]

sergio_karp, Если проблема не решено, сделайте новые логи автозапуска UVS в "Безопасном режиме". И напишите на какой именно сайт перекидывает?

---------- Добавлено в 20:57 ---------- Предыдущее сообщение было написано в 20:54 ----------

sergio_karp, Вам знаком этот DNS-сервер 5.199.140.180?

[sergio_karp]

логи в безопасном режиме
http://rghost.ru/42239878

сервер вроде незнаком

http://wow2impulse.ru/tds/nounic.php?id=2
http://filmsforme.ru/
http://popstart.ru/
каждый раз какой то другой сайт

в контакте при нажатии на музыку выдает ошибку и изображений нету

[Arkalik]

sergio_karp, ВЫПОЛНЯЕМ СКРИПТ В uVS
- скопировать содержимое из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой мышью и выбираете Копировать);
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, слева наверху выбираете пункт: скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
- на запросы об удалении программ соглашайтесь (нажимаем Да или Далее);

Код:

;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

setdns Беспроводное сетевое соединение\4\{3549E72A-CA9D-4961-9D83-4B4407E22E3C}\
setdns Подключение по локальной сети\4\{BD8E4813-8D0F-4F2D-8EE5-A727799957A6}\
exec MSIEXEC.EXE /X{6E3610B2-430D-4EB0-81E3-2B57E8B9DE8D}
exec "C:\PROGRAM FILES (X86)\GOOGLE\GOOGLE TOOLBAR\COMPONENT\GOOGLETOOLBARMANAGER_E6C807F38EB64284.EXE" /UNINSTALL
exec MSIEXEC.EXE /I{18455581-E099-4BA8-BC6B-F34B2F06600C}
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.

[sergio_karp]

тоже самое((
вот еще сайт который открылся
http://test-studio.ru/test/56

[Arkalik]

sergio_karp, Что-то, все чисто в логе UVS.
- Обновите базу AVZ и передайте лог: http://pchelpforum.ru/showpost.php?p=293738&postcount=2

[sergio_karp]

обновил
логи AVZ
http://rghost.ru/42241505

[Arkalik]

sergio_karp, Сделайте еще такой скрипт в UVS:

Код:

;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

exec "ipconfig.exe" /flushdns
restart

[sergio_karp]

не помогло(