Решена clubrelaxxxx.com/gibdd

Тема в разделе "Лечение компьютерных вирусов", создана пользователем urik580580, 30 ноя 2012.

Статус темы:
Закрыта.
  1. urik580580
    Оффлайн

    urik580580 Новый пользователь

    Сообщения:
    11
    Симпатии:
    0
    При открытии любой ссылки вылезает данное окно, думаю вы уже наслышены об этом вируснике. Контакт так же не работает, прошу помочь.
     

    Вложения:

    • info.txt
      Размер файла:
      44 КБ
      Просмотров:
      0
    • log.txt
      Размер файла:
      67 КБ
      Просмотров:
      2
    • virusinfo_syscheck.zip
      Размер файла:
      31,6 КБ
      Просмотров:
      1
    • virusinfo_syscure.zip
      Размер файла:
      30,1 КБ
      Просмотров:
      2
  2. Ботан
    Оффлайн

    Ботан Злостный спам-бот

    Сообщения:
    1.092
    Симпатии:
    194
    Приветствую urik580580, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
    __________________________________________________

    Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
    • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
    Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



    ***​


    Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


    ***​


    Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
    __________________________________________________
    С уважением, администрация SafeZone.
     
  3. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.059
    Симпатии:
    4.488
    1. Закройте все программы, отключите антивирус, файрволл и прочее защитное ПО.

    AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.
    Код (Text):
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe','stop tcpip /y',0,15000,true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true,true);
       SetAVZGuardStatus(True);
      end;
     QuarantineFile('C:\Users\1\AppData\Local\Temp\20561836FdOh','');
     QuarantineFile('C:\Users\1\AppData\Local\Temp\1636528FdOh','');
     QuarantineFileF('C:\ProgramData\AHzYRGSwc3s','*.*',false,'',0,0);
     DeleteFile('C:\Users\1\AppData\Local\Temp\1636528FdOh');
     DeleteFile('C:\Users\1\AppData\Local\Temp\20561836FdOh');
     DeleteFile('C:\Windows\tasks\At2.job');
     DeleteFileMask('C:\ProgramData\AHzYRGSwc3s','*.*',true);
     DeleteDirectory('C:\ProgramData\AHzYRGSwc3s');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','1636575');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','20561914');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteWizard('SCU',2,3,true);
     ExecuteRepair(13);
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится!

    2. После перезагрузки, выполните такой скрипт:
    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    3. Полученный архив quarantine.zip из папки с AVZ, отправьте с помощью этой формы или на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @), укажите ссылку на тему и ник на форуме.

    4. Пофиксите в HJT эти строки (некоторых строк после выполнения скрипта AVZ может уже и не быть):
    Код (Text):
    R3 - URLSearchHook: (no name) -  - (no file)
    O1 - Hosts: 46.251.249.137 odnoklassniki.ru m.vk.com wap.odnoklassniki.ru my.mail.ru www.odnoklassniki.ru vk.com m.odnoklassniki.ru
    O1 - Hosts: 46.251.249.136 counter.spylog.com counter.rambler.ru mc.yandex.ru admulti.com www.google-analytics.com
    O4 - HKLM\..\Run: [20561914] cmd.exe /c copy C:\Users\1\AppData\Local\Temp\20561836FdOh C:\Windows\system32\drivers\etc\hosts /Y && attrib +H C:\Windows\system32\drivers\etc\hosts /f
    O4 - HKLM\..\Run: [1636575] cmd.exe /c copy C:\Users\1\AppData\Local\Temp\1636528FdOh C:\Windows\system32\drivers\etc\hosts /Y && attrib +H C:\Windows\system32\drivers\etc\hosts /f
    5. Сделайте новые логи AVZ и Rsit и прикрепите их к сообщению.

    6. Скачайте TDSSKiller, распакуйте в корень системного диска. Нажмите Пуск -> выполнить. В поле "открыть" впишите команду:
    Папку с карантином C:\TDSSKiller_Quarantine запакуйте с паролем virus и отправьте на адрес quarantine<at>safezone.cc (замените <at> на @) с указанием ссылки на тему и ника на форуме.
    Лог после сканирования (файл TDSSKiller_версия_дата_время_log.txt) выложите сюда.

    7. Смените все свои пароли на сервисах в интернете.

    8. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту.
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
    Программу не закрывайте и самостоятельно ни чего не удаляйте!

    9. Сервисом webalta пользуетесь? Если желаете удалить, тогда:
     
  4. urik580580
    Оффлайн

    urik580580 Новый пользователь

    Сообщения:
    11
    Симпатии:
    0
    Сделал всё как вы сказали.

    Первый пункт прошёл без проблем.

    В четвёртом, как вы и предупреждали, последний двух строчек не было, а при выполнении
    O1 - Hosts: 46.251.249.137 odnoklassniki.ru m.vk.com wap.odnoklassniki.ru my.mail.ru www.odnoklassniki.ru vk.com m.odnoklassniki.ru
    O1 - Hosts: 46.251.249.136 counter.spylog.com counter.rambler.ru mc.yandex.ru admulti.com www.google-analytics.com
    Выдаёт следующие ошибки(Безымянный, Безымянный2).

    Сделал новые логи, прикрепил Malwarebytes' Anti-Malware и webalta.
     

    Вложения:

  5. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Запустите HJT по правой кнопке от имени Администратора

    Добавлено через 1 минуту 17 секунд
    Повторите сканирование в MBAM и удалите все кроме:

    Код (Text):
    C:\Users\1\AppData\Roaming\QipGuard\QipGuard.exe (Spyware.Zbot) -> Действие не было предпринято.
    C:\Users\1\Desktop\Setup_RUS.exe (Trojan.Keylogger.MWP) -> Действие не было предпринято.
    C:\Users\1\Documents\adobe_PS_CS5_keygen.exe (Malware.Packer.Gen) -> Действие не было предпринято.
    C:\Users\1\Игры\20_keygen4cod4.exe (Trojan.Agent.CK) -> Действие не было предпринято.
     
  6. urik580580
    Оффлайн

    urik580580 Новый пользователь

    Сообщения:
    11
    Симпатии:
    0
    Запускать HJT от Администратора пробовал, повторные попытки результата не дали.
    Удаление в МВАМ выполнил.
    Злостный ГИБДДшник всё ещё не даёт зайти мне в VK.
     
  7. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    • Если у вас 32 разрядная версия windows, то скачайте GrantPerms.zip
    • Если у вас 64 разрядная версия windows, то необходимо скачать эту версию GrantPerms64.zip
    • Распакуйте архив на Рабочий стол и запустите GrantPerms (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора)
    • В текстовое поле скопируйте и вставьте следующий текст:
      Код (Text):
      C:\Windows\system32\drivers\etc\hosts
    • Нажмите кнопку Unlock.
    • По окончанию разблокирования нажмите Ок
    • Нажмите кнопку List Permissions
    • Откроется Блокнот с текстом отчета.
    • Скопируйте текст отчета в свое следующее сообщение.
     
  8. urik580580
    Оффлайн

    urik580580 Новый пользователь

    Сообщения:
    11
    Симпатии:
    0
    Код (Text):
    GrantPerms by Farbar
    Ran by 1 (administrator) at 2012-11-30 22:03:23

    ===============================================
    \\?\C:\Windows\system32\drivers\etc\hosts

       Owner: NT AUTHORITY\???????

       DACL(NP)(AI):
       NT AUTHORITY\???????   FULL   ALLOW   (I)
       BUILTIN\??????????????   FULL   ALLOW   (I)
       BUILTIN\????????????   READ/EXECUTE   ALLOW   (I)
    ***64 разрядная версия windows
     
    Последнее редактирование модератором: 30 ноя 2012
  9. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Отлично))

    Выполните скрипт в AVZ:

    Код (Text):
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
       BackupRegKey('HKEY_LOCAL_MACHINE',
                       'SYSTEM\CurrentControlSet\services\Tcpip\Parameters',
                         'hosts_old');
    if not IsWOW64
    then {если х86}
     RegKeyParamWrite('HKEY_LOCAL_MACHINE',
                          'SYSTEM\CurrentControlSet\services\Tcpip\Parameters',
                           'DataBasePath',
                            'REG_EXPAND_SZ',
                             '%SystemRoot%\System32\drivers\etc')
    else {если х64}
      RegKeyParamWrite('HKEY_LOCAL_MACHINE',
                          'SYSTEM\CurrentControlSet\services\Tcpip\Parameters',
                           'DataBasePath',
                            'REG_EXPAND_SZ',
                             '%SystemRoot%\SysWOW64\drivers\etc');
     ExecuteRepair(13);
     RebootWindows(false);
    end.
    Компьютер перезагрузится, после перезагрузки:

    • Подготовьте лог OTL by OldTimer, как описано на этой странице.
    • Прикрепите полученные логи OTL.txt и Extra.txt к своему следующему сообщению.
    • Если логи не прикрепляются запакуйте их в архив.

    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Search" и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R1].txt.
    • Прикрепите отчет к своему следующему сообщению.
    Подробнее читайте в этом руководстве.
     
  10. urik580580
    Оффлайн

    urik580580 Новый пользователь

    Сообщения:
    11
    Симпатии:
    0
    Вот все файлы.
     

    Вложения:

    • AdwCleaner[R1].txt
      Размер файла:
      10,5 КБ
      Просмотров:
      1
    • Extras.Txt
      Размер файла:
      286,8 КБ
      Просмотров:
      0
    • OTL.rar
      Размер файла:
      55,4 КБ
      Просмотров:
      2
  11. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Теперь по порядку:

    Первое

    • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Delete" и дождитесь окончания удаления.
    • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[S1].txt.
    • Прикрепите отчет к своему следующему сообщению
    Внимание: Для успешного удаления может потребоваться перезагрузка компьютера!!!

    Второе

    • Запустите повторно OTL by OldTimer или OTL.com или OTL.scr.

      Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
    • В окно Custom Scans/Fixes скопируйте следующую информацию:

      Код (Text):
      :processes
      :OTL
      IE:[b]64bit:[/b] - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://start.funmoods.com/?f=1&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzuyB0AyBzytDyDzytDyD0BtC0F0CtDyC0DtN0D0Tzu0CtBtAyEtN1L2XzutBtFtCtFtCtFtAtCtB&cr=558125677
      IE:[b]64bit:[/b] - HKLM\..\SearchScopes\{A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE}: "URL" = http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzuyB0AyBzytDyDzytDyD0BtC0F0CtDyC0DtN0D0Tzu0CtBtAyEtN1L2XzutBtFtCtFtCtFtAtCtB&cr=558125677
      IE - HKLM\..\SearchScopes\{A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE}: "URL" = http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzuyB0AyBzytDyDzytDyD0BtC0F0CtDyC0DtN0D0Tzu0CtBtAyEtN1L2XzutBtFtCtFtCtFtAtCtB&cr=558125677
      FF - HKLM\Software\MozillaPlugins\@ngm.nexoneu.com/NxGame: C:\ProgramData\NexonEU\NGM\npNxGameeu.dll File not found
      O3:[b]64bit:[/b] - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
      O3 - HKLM\..\Toolbar: (no name) - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - No CLSID value found.
      O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
      O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - No CLSID value found.
      O4 - HKLM..\Run: []  File not found
      O4 - HKCU..\Run: []  File not found
      O4 - HKCU..\Run: [Clownfish]  File not found
      O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Low Rights present
      O20 - HKCU Winlogon: Shell - (expstart.exe) - C:\Windows\expstart.exe ()
      MsConfig:64bit - StartUpReg: [b]MAgent[/b] - hkey= - key= -  File not found
      MsConfig:64bit - StartUpReg: [b]multibar.exe[/b] - hkey= - key= -  File not found
      MsConfig:64bit - StartUpReg: [b]Netprotocol[/b] - hkey= - key= -  File not found
      MsConfig:64bit - StartUpReg: [b]Easy-Hide-IP[/b] - hkey= - key= -  File not found
      MsConfig:64bit - StartUpFolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Tabs.lnk -  - File not found
      MsConfig:64bit - State: "startup" - Reg Error: Key error.
      [2012.11.30 20:52:11 | 000,001,628 | ---- | M] () -- C:\Windows\SysNative\drivers\etc\hosts.new
      [2009.07.14 08:55:00 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini
      [2012.08.21 20:23:00 | 000,384,844 | ---- | M] () -- C:\Users\1\AppData\Local\funmoods-speeddial.crx
      [2012.08.23 10:54:09 | 000,004,943 | ---- | M] () -- C:\ProgramData\mtbjfghn.xbe
      :Services

      :Files

      ipconfig /flushdns /c
      :Reg

      :Commands
      [EMPTYTEMP]
      [purity]
      [start explorer]
      [Reboot]
    • Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку "Run Fix"
    • Компьютер перезагрузится.
    • После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

    Третье

    • Скачайте FileASSASSIN на Рабочий стол
    • Распакуйте утилиту в отдельную папку.
    • Запустите FileASSASSIN.exe
    • Нажмите кнопку ... и укажите путь к файлу:
      Код (Text):
      C:\Windows\system32\drivers\etc\hosts
    • Поставьте галочку Delete File
    • Нажмите кнопку Execute
    • Укажите повторно путь к
      Код (Text):
      C:\Windows\system32\drivers\etc\hosts
    • Переведите переключатель в положение Use delete jn Windows reboot functions
    • Нажмите кнопку Execute

    Четвертое
    Сделайте новый лог OTL
     
  12. urik580580
    Оффлайн

    urik580580 Новый пользователь

    Сообщения:
    11
    Симпатии:
    0
    Как вы сказали.
     

    Вложения:

  13. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Это вот так:

    • Подготовьте лог OTL by OldTimer, как описано на этой странице.
    • Прикрепите полученные логи OTL.txt и Extra.txt к своему следующему сообщению.
    • Если логи не прикрепляются запакуйте их в архив.
     
  14. urik580580
    Оффлайн

    urik580580 Новый пользователь

    Сообщения:
    11
    Симпатии:
    0
    OTL log
     

    Вложения:

    • Extras.Txt
      Размер файла:
      287,4 КБ
      Просмотров:
      0
    • OTL.rar
      Размер файла:
      52,9 КБ
      Просмотров:
      2
  15. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Последнее редактирование: 1 дек 2012
  16. urik580580
    Оффлайн

    urik580580 Новый пользователь

    Сообщения:
    11
    Симпатии:
    0
    Сделал, как Вы сказали, вот лог.
     

    Вложения:

    • hijackthis.log
      Размер файла:
      11,1 КБ
      Просмотров:
      2
  17. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Как самочувствие системы?
     
  18. urik580580
    Оффлайн

    urik580580 Новый пользователь

    Сообщения:
    11
    Симпатии:
    0
    Ничего не помогло, только нажал на поле, чтобы набрать это сообщение, уже перекинуло на этот сайт. VK так же не работает. (Через Avast Save Zone заходит :) )
     
  19. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Скачайте ComboFix здесь и сохраните на рабочий стол.

    1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
    2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
    Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

    Подробнее в "ComboFix. Руководство по применению."
     
  20. urik580580
    Оффлайн

    urik580580 Новый пользователь

    Сообщения:
    11
    Симпатии:
    0
    Как Вы сказали.
     

    Вложения:

    • ComboFix.txt
      Размер файла:
      24 КБ
      Просмотров:
      2
Статус темы:
Закрыта.

Поделиться этой страницей