Решена Webalta и caream.exe и greiam.exe в автозагрузке
- Статус
Ботан
Злостный спам-бот
- Сообщения
- 927
- Реакции
- 81
Приветствую inzer1313, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
- virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
***
Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.
***
Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
__________________________________________________
С уважением, администрация SafeZone.
С уважением, администрация SafeZone.
- Сообщения
- 24,152
- Реакции
- 13,539
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.
Полученный архив отправьте при помощи этой формы
Добавлено через 30 секунд
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если лог не открылся, то найти его можно в следующей папке:
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подготовьте лог SecurityCheck by glax24
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\greiam.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\caream.exe','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\4.tmp.exe','');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\4.tmp.exe','32');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\caream.exe','32');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\greiam.exe','32');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.Полученный архив отправьте при помощи этой формы
Добавлено через 30 секунд
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\LogsПодготовьте лог SecurityCheck by glax24
mbamlog
SecurityCheck
- Сообщения
- 24,152
- Реакции
- 13,539
В MBAM удалить только
Обновить софт:
После всех действий проблемы наблюдаются?
Добавлено через 6 минут 40 секунд
В карантине
caream.exe - Trojan-Downloader.Win32.Dofoil
greiam.exe - Trojan-Downloader.Win32.Injecter.per
Код:
Обнаруженные ключи в реестре: 4
HKCR\CLSID\{82184935-B894-4AB2-8590-603BA7D74B71} (Trojan.WebMoner) -> Действие не было предпринято.
HKCR\Ю.Б. Буланов_Инсулин..eProtocol (Trojan.WebMoner) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Webalta Toolbar (PUP.ToolBar.WA) -> Действие не было предпринято.
Обнаруженные параметры в реестре: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|MicrosoftUpdate (Trojan.Agent) -> Параметры: C:\DOCUME~1\Admin\LOCALS~1\Temp\7.tmp.exe -> Действие не было предпринято.
Объекты реестра обнаружены: 5
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Search Page (Hijack.SearchPage) -> Плохо: (http://webalta.ru/search) Хорошо: (http://www.Google.com/) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Search_URL (Hijack.Homepage) -> Плохо: (http://webalta.ru/search) Хорошо: (http://www.Google.com) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Search Bar (Hijack.Search) -> Плохо: (http://webalta.ru/search) Хорошо: (http://www.google.com/) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Search|SearchAssistant (Hijack.SearchPage) -> Плохо: (http://webalta.ru/search) Хорошо: (http://www.Google.com/) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
Обнаруженные папки: 2
C:\Documents and Settings\All Users\Application Data\IBUPDATERSERVICE (PUP.InstallBrain) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Local Settings\Application Data\WEBALTA TOOLBAR (PUP.ToolBar.WA) -> Действие не было предпринято.
Обнаруженные файлы: 10
C:\Documents and Settings\All Users\Application Data\IBUPDATERSERVICE\REPOSITORY.XML (PUP.InstallBrain) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Local Settings\Temp\7.TMP.EXE (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Local Settings\Application Data\WEBALTA TOOLBAR\uninstall.exe (PUP.ToolBar.WA) -> Действие не было предпринято.Обновить софт:
После всех действий проблемы наблюдаются?
Добавлено через 6 минут 40 секунд
В карантине
caream.exe - Trojan-Downloader.Win32.Dofoil
greiam.exe - Trojan-Downloader.Win32.Injecter.per
проблем больше нет
- Сообщения
- 24,152
- Реакции
- 13,539
Рекомендации после удаления вредоносного ПО
Подготовьте лог SecurityCheck by glax24 - обновите уязвимый софт, в логе будут ссылки.
Подготовьте лог SecurityCheck by glax24 - обновите уязвимый софт, в логе будут ссылки.
- Статус