Решена 50 бесплатных СМС, редирект в Опере, тормоза системы

Тема в разделе "Лечение компьютерных вирусов", создана пользователем sementut, 25 дек 2012.

Статус темы:
Закрыта.
  1. sementut
    Оффлайн

    sementut Новый пользователь

    Сообщения:
    4
    Симпатии:
    0
    Прошу помощи, симптомы описаны в заголовке, всплывающие баннеры, перенаправление на сайт mybackdoor в опере (в эксплорере всё нормально), MBAM ничего не находит, Forefront нашел следующих злодеев - на картинке во вложении. Заранее спасибо.
     

    Вложения:

    • 1.jpg
      1.jpg
      Размер файла:
      71,8 КБ
      Просмотров:
      6
    • info.txt
      Размер файла:
      43,7 КБ
      Просмотров:
      1
    • log.txt
      Размер файла:
      32,9 КБ
      Просмотров:
      2
    • virusinfo_syscheck.zip
      Размер файла:
      27,2 КБ
      Просмотров:
      1
    • virusinfo_syscure.zip
      Размер файла:
      25,4 КБ
      Просмотров:
      2
  2. Ботан
    Оффлайн

    Ботан Злостный спам-бот

    Сообщения:
    1.094
    Симпатии:
    194
    Приветствую sementut, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
    __________________________________________________

    Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
    • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
    Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



    ***​


    Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


    ***​


    Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
    __________________________________________________
    С уважением, администрация SafeZone.
     
  3. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Windows\system32\kklgfqh.dll','');
     QuarantineFile('c:\users\semen.anokhin\appdata\roaming\microsoft\windows\start menu\programs\startup\thermicon.exe','');
     DeleteFile('C:\Windows\system32\kklgfqh.dll');
    ExecuteSysClean;
    BC_Activate;
     ExecuteWizard('SCU',2,3,true);
    RebootWindows(true);
    end.
    Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

    "Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
    Код (Text):
    O17 - HKLM\System\CCS\Services\Tcpip\..\{9EC13C47-555F-401A-AB5D-0240AA62108E}: NameServer = 5.199.140.179
    O17 - HKLM\System\CCS\Services\Tcpip\..\{A5428096-E124-4DF1-B671-6C3DD1BF3F45}: NameServer = 5.199.140.179
    O17 - HKLM\System\CCS\Services\Tcpip\..\{BEBE2B57-795B-46DC-B269-33A6276645B1}: NameServer = 5.199.140.179
    O17 - HKLM\System\CS1\Services\Tcpip\..\{9EC13C47-555F-401A-AB5D-0240AA62108E}: NameServer = 5.199.140.179
    O17 - HKLM\System\CS2\Services\Tcpip\..\{9EC13C47-555F-401A-AB5D-0240AA62108E}: NameServer = 5.199.140.179
    O20 - AppInit_DLLs: C:\Windows\system32\kklgfqh.dll
    Внимание!!! После фикса может пропасть доступ к сети интернет, если такое произошло, введите заново в настройках сети адреса DNS-серверов, данные Вам провайдером.

    Сделайте новый комплект логов AVZ и RSIT и прикрепите к следующему сообщению новые логи virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt


    Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
    Самостоятельно ничего не удаляйте!!!
    Если лог не открылся, то найти его можно в следующей папке:
    Код (Text):
    %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
    Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
    Подробнее читайте в руководстве
     
  4. sementut
    Оффлайн

    sementut Новый пользователь

    Сообщения:
    4
    Симпатии:
    0
    Всё сделал, прикрепляю новые логи.
     

    Вложения:

  5. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Карантина в ящике не вижу, если отправляли, продублируйте на почту.


    Проверимся на уязвимости:

    • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
    • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
    • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
    • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
    • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    • Скопируйте содержимое файла в свое следующее сообщение.
    Подробнее читайте в этом руководстве.
     
  6. sementut
    Оффлайн

    sementut Новый пользователь

    Сообщения:
    4
    Симпатии:
    0
    Огромное Вам спасибо, я уж думал придется чтонибудь делать с системой. Сейчас всё работает, рекламы и редиректов нет, еще раз спасибо. Ниже лог Секьюрити чек. А карантин выслал на указанный ящик

    Код (Text):
    Security Check by glax24 version 0.1.5.49 rc1
    WebSite: [URL="http://www.safezone.cc"]www.safezone.cc[/URL]
    DataLog 26.12.2012 01:40:17
    Program directory: C:\Users\Semen.Anokhin\AppData\Local\Temp\SecurityCheck\
    Log directory: C:\SecurityCheck\
    IsAdmin: True
    XML File - VersionInet=1.9
    __________________________________________________
    WIN_7(6.1) Build 7601 (x86) Enterprise Lang: Russian(0419)
    Service Pack 1
    Internet Explorer 9.0.8112.16421
    -------------Windows------------------------------
    [color=red][b]Контроль учётных записей пользователя отключен[/b][/color]
    [color=blue][b]^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^[/b][/color]
    [color=red][b]Автоматическое обновление отключено (-1)[/b][/color]
    Дата установки обновлений: 2012-12-25 05:38:38
    Центр обновления Windows (wuauserv) - Служба работает
    Центр обеспечения безопасности (wscsvc) - Служба остановлена
    -------------Antivirus_WMI------------------------
    -------------Firewall_WMI-------------------------
    -------------AntiSpyware_WMI----------------------
    Windows Defender
    -------------OtherUtilities-----------------------
    CCleaner v.3.26
    Malwarebytes Anti-Malware, версия 1.65.1.1000 v.1.65.1.1000
    -------------Java---------------------------------
    Java(TM) 6 Update 31 v.6.0.310 [color=red][b]Внимание! [url=http://www.oracle.com/technetwork/java/javase/downloads/jre6u38-downloads-1877409.html]Скачать обновления[/url][/b][/color]
    [color=blue][b]^Удалите старую версию и установите новую (jre-6u38-windows-i586.exe)^[/b][/color]
    -------------AdobeProduction----------------------
    Adobe Flash Player 11 ActiveX v.11.5.502.135
    Adobe Flash Player 11 Plugin v.11.5.502.135
    -------------Browser------------------------------
    Opera 12.12 v.12.12.1707
    -------------RunningProcess-----------------------
    C:\Program Files\Opera\opera.exe v.12.12.1707.0
    C:\Program Files\Internet Explorer\iexplore.exe v.9.0.8112.16457
    -------------EndLog-------------------------------
     
    Последнее редактирование модератором: 25 дек 2012
  7. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Закрывайте уязвимости:


    Рекомендации после удаления вредоносного ПО
     
    Последнее редактирование: 25 дек 2012
  8. sementut
    Оффлайн

    sementut Новый пользователь

    Сообщения:
    4
    Симпатии:
    0
    всё сделал как Вы рекомендовали. И вновь большое СПАСИБО))
     
  9. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    И вам не болеть))
     
Статус темы:
Закрыта.

Поделиться этой страницей