Решена Клуб Релакс - ГИБДД

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Kolomnick, 11 ноя 2012.

Статус темы:
Закрыта.
  1. Kolomnick
    Оффлайн

    Kolomnick Новый пользователь

    Сообщения:
    8
    Симпатии:
    0
    Здравствуйте.
    Со вчерашнего вечера возникла такая проблема: Во время сёрфинга сети при клике в любое место некоторых страниц открывается фоновая вкладка с предложением какого-то автомобильного теста с URL httpдвтчкслэшслэшclubrelaxxxxтчкcomслэшgibddслэш ("двтчк" - ":", "слэш" - "/", "тчк" - "."). Это происходит примерно с каждой пятой-десятой страницей любых сайтов. После одного такого клика страница начинает вести себя уже совершенно нормально.
    На всякий случай для справки: Моя ОС - Microsoft Windows 7 x64, мой основной браузер - Opera (сейчас - версия 12.10.1652), из антивирусного ПО - Kaspersky Internet Security 2012. Реклама эта вылетает по крайней мере в Опере и Лисе. Даже если подключение к интернету выключено, а просматриваются локальные странички. Ну и полная проверка компьютера антивирусом на максимальных настройках не помогла.
    Если сможете помочь - останусь очень благодарен.
     

    Вложения:

    • virusinfo_syscure.zip
      Размер файла:
      36,5 КБ
      Просмотров:
      3
    • virusinfo_syscheck.zip
      Размер файла:
      33 КБ
      Просмотров:
      1
    • log.txt
      Размер файла:
      67,3 КБ
      Просмотров:
      3
    • info.txt
      Размер файла:
      45,9 КБ
      Просмотров:
      1
  2. Ботан
    Оффлайн

    Ботан Злостный спам-бот

    Сообщения:
    1.092
    Симпатии:
    194
    Приветствую Kolomnick, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
    __________________________________________________

    Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
    • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
    Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



    ***​


    Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


    ***​


    Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
    __________________________________________________
    С уважением, администрация SafeZone.
     
  3. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.041
    Симпатии:
    4.480
    Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
    Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
    ______________________________________________________

    1. Закройте все программы, отключите антивирус, файрволл и прочее защитное ПО.

    AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.
    Код (Text):
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe','stop tcpip /y',0,15000,true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true,true);
       SetAVZGuardStatus(True);
      end;
     QuarantineFile('F:\autorun.inf','');
     QuarantineFile('D:\autorun.inf','');
     QuarantineFile('C:\Users\D4E8~1.TNT\AppData\Local\Temp\8903226FdOh','');
     QuarantineFileF('C:\ProgramData\aP3KBLqe1vI','*.*',false,'',0,0);
     DeleteFile('C:\Users\D4E8~1.TNT\AppData\Local\Temp\8903226FdOh');
     DeleteFile('C:\Windows\tasks\At1.job');
     DeleteFileMask('C:\ProgramData\aP3KBLqe1vI','*.*',true);
     DeleteDirectory('C:\ProgramData\aP3KBLqe1vI');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','8903289');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteWizard('SCU',2,3,true);
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится!

    2. После перезагрузки, выполните такой скрипт:
    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    3. Полученный архив quarantine.zip из папки с AVZ, отправьте с помощью этой формы или на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @), укажите ссылку на тему и ник на форуме.

    4. Пофиксите в HJT эти строки (некоторых строк после выполнения скрипта AVZ может уже и не быть):
    Код (Text):
    O1 - Hosts: 46.251.249.135 www.vk.com m.vk.com vk.com my.mail.ru
    O1 - Hosts: 46.251.249.133 wap.odnoklassniki.ru m.odnoklassniki.ru www.odnoklassniki.ru odnoklassniki.ru
    O1 - Hosts: 46.251.249.136 counter.rambler.ru www.google-analytics.com mc.yandex.ru admulti.com counter.spylog.com
    O4 - HKLM\..\Run: [8903289] cmd.exe /c copy C:\Users\D4E8~1.TNT\AppData\Local\Temp\8903226FdOh C:\Windows\system32\drivers\etc\hosts /Y && attrib +H C:\Windows\system32\drivers\etc\hosts /f
    5. Скачайте TDSSKiller, распакуйте в корень системного диска. Нажмите Пуск -> выполнить. В поле "открыть" впишите команду:
    Папку с карантином C:\TDSSKiller_Quarantine запакуйте с паролем virus и отправьте на адрес quarantine<at>safezone.cc (замените <at> на @) с указанием ссылки на тему и ника на форуме.
    Лог после сканирования (файл TDSSKiller_версия_дата_время_log.txt) выложите сюда.

    6. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту.
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

    7. Обновите:
    Adobe Reader , Sun Java, Adobe Flash Player, QuickTime, браузеры (по мере выхода обновлений) и их надстройки.

    8. Сделайте лог SecurityCheck by screen317

    9. Сделайте новые логи AVZ и Rsit и прикрепите их к сообщению.

    10. Смените все свои пароли на сервисах в интернете.

    11. Покажите что находиться в этих файлах:
     
    3 пользователям это понравилось.
  4. Kolomnick
    Оффлайн

    Kolomnick Новый пользователь

    Сообщения:
    8
    Симпатии:
    0
    D:\autorun.inf:
    Код (Text):
    07EF:0001:0001:0001
    [autorun]
    icon = .\NowIconMain.ico
    F:\autorun.inf:
    Код (Text):
    [autorun]
    icon = .\SafeVaultElements.ico
    Два лога TDSSKiller'а получилось, видимо, из-за того, что при распаковке я случайно открыл программу, правда, сразу же закрыв.
    RSIT'овский info.txt не посылаю, т.к. он не изменился с предыдущей подготовки логов.
     

    Вложения:

  5. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.840
    Симпатии:
    8.594
    Еще один лог забыли, ну да ладно сейчас подправим.

    Выполните скрипт в AVZ:

    Код (Text):
    begin
     ExecuteRepair(13);
     ExecuteWizard('SCU',2,3,true);
    RebootWindows(true);
    end.
    Компьютер перезагрузится, затем:


    • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
    • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
    • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
    • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
    • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска, например C:\SecurityCheck.txt
    • Скопируйте содержимое файла в свое следующее сообщение.
    Подробнее читайте в этом разделе форума поддержки утилиты.
     
    1 человеку нравится это.
  6. Kolomnick
    Оффлайн

    Kolomnick Новый пользователь

    Сообщения:
    8
    Симпатии:
    0
    Код (Text):
    Security Check by glax24 version 0.1.2.29 beta
    WebSite: www.safezone.cc
    DataLog 13.11.2012 00:23:35
    Program directory: C:\Users\Дима Кирьянов.TnTs_KnCh\AppData\Local\Temp\SecurityCheck\
    Log directory: C:\
    XML File - VersionInet=0.5

    WIN_7 (x64) Ultimate Lan:0419
    Service Pack 1
    Internet Explorer 9.0
    -------------Windows------------------------------
    [color=red][b]Контроль учётных записей пользователя [b]отключен[/b][/b][/color]
    Уведомлять о загрузке и установке обновлений
    Центр обновления Windows - Служба работает
    Центр обеспечения безопасности - Служба работает
    -------------Antivirus_WMI------------------------
    Kaspersky Internet Security
    Антивирус обновлен
    Сканирование [b]отключено[/b]
    -------------Firewall_WMI-------------------------
    Kaspersky Internet Security
    -------------AntiSpyware_WMI----------------------
    Kaspersky Internet Security
    Windows Defender
    -------------AntiVirusFirewallInstall-------------
    Kaspersky Internet Security 2012 v.12.0.0.374
    -------------OtherUtilities-----------------------
    Malwarebytes Anti-Malware, версия 1.65.1.1000 v.1.65.1.1000
    Ghostscript GPL 8.64 (Msi Setup) v.8.64
    -------------Java---------------------------------
    Java 7 Update 9 (64-bit) v.7.0.90
    -------------AppleProduction----------------------
    QuickTime v.7.73.80.64
    -------------AdobeProduction----------------------
    Adobe Flash Player 11 Plugin v.11.5.502.110
    Adobe Reader XI v.11.0.00
    -------------Browser------------------------------
    Opera 12.10 v.12.10.1652
    Mozilla Firefox 14.0 (x86 ru) v.14.0 [color=red][b]Внимание! [url=http://www.mozilla.org/ru/firefox/fx]Скачать обновления[/url][/b][/color]
    -------------RunningProcess-----------------------
    C:\Program Files\Opera x64\opera.exe v.12.10.1652.0
    -------------EndLog-------------------------------
     
  7. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.840
    Симпатии:
    8.594
    Включите UAC и скачайте обновление на FireFox

    Как самочувствие системы?
     
    1 человеку нравится это.
  8. Kolomnick
    Оффлайн

    Kolomnick Новый пользователь

    Сообщения:
    8
    Симпатии:
    0
    Включил UAC. Обновил Лису.
    В Опере, к сожалению, ничего не изменилось - этот "Клуб Релакс: ГИБДД" постоянно выскакивает. В Лисе, кажется, исчезло (ну, полчаса сидения в ней - просмотр 30-и - 40-а страниц - ничего не случилось). За это вам спасибо огромное.
    P.S.: Полностью удалил и снова установил последнюю версию Оперы - не помогло также. Выскакивает этот сайт.
     
  9. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.840
    Симпатии:
    8.594
    Ок, тогда так

    Первое

    1. Скачайте Universal Virus Sniffer (uVS)
    2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
    3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
      !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив иначе это будет необходимо сделать вам вручную.
    4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
      !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
    5. Подробнее читайте в руководстве Как подготовить лог UVS


    Второе

    • Подготовьте лог OTL by OldTimer, как описано на этой странице.
    • Прикрепите полученные логи OTL.txt и Extra.txt к своему следующему сообщению.
    • Если логи не прикрепляются запакуйте их в архив.


    Третье


    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Search" и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R1].txt.
    • Прикрепите отчет к своему следующему сообщению.
    Подробнее читайте в этом руководстве.
     
    1 человеку нравится это.
  10. Kolomnick
    Оффлайн

    Kolomnick Новый пользователь

    Сообщения:
    8
    Симпатии:
    0
    Логи.
     

    Вложения:

  11. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.041
    Симпатии:
    4.480
    Почистите кэш и куки во всех браузерах.
    Перегрузитесь и проверьте.
     
    1 человеку нравится это.
  12. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.840
    Симпатии:
    8.594
    +

    К этому почистим мусор:

    • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Delete" и дождитесь окончания удаления.
    • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[S1].txt.
    • Прикрепите отчет к своему следующему сообщению
    Внимание: Для успешного удаления может потребоваться перезагрузка компьютера!!!

    +

    • Запустите повторно OTL by OldTimer или OTL.com или OTL.scr.

      Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
    • В окно Custom Scans/Fixes скопируйте следующую информацию:

      Код (Text):
      :processes
      :OTL
      FF:[b]64bit:[/b] - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_5_502_110.dll File not found
      O4 - HKLM..\Run: []  File not found
      [2009.07.14 08:55:00 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini
      [2012.11.05 01:29:10 | 000,000,076 | ---- | M] () -- C:\Users\Дима Кирьянов.TnTs_KnCh\AppData\Roaming\3d59f01ba
      [2012.11.05 01:29:11 | 000,369,177 | ---- | M] () -- C:\Users\Дима Кирьянов.TnTs_KnCh\AppData\Roaming\3D59F0D9a
      :Services

      :Files

      ipconfig /flushdns /c
      :Reg

      :Commands
      [EMPTYTEMP]
      [purity]
      [start explorer]
      [Reboot]
    • Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку "Run Fix"
    • Компьютер перезагрузится.
    • После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.
     
    1 человеку нравится это.
  13. Kolomnick
    Оффлайн

    Kolomnick Новый пользователь

    Сообщения:
    8
    Симпатии:
    0
    Сделано.
     

    Вложения:

  14. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.840
    Симпатии:
    8.594
    Как самочувствие?
     
    1 человеку нравится это.
  15. Kolomnick
    Оффлайн

    Kolomnick Новый пользователь

    Сообщения:
    8
    Симпатии:
    0
    Да, большое вам обоим (shestale, Severnyj) спасибо - всё работает как надо, вирусня более никак себя не проявляет. Спасибо!
     
  16. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.041
    Симпатии:
    4.480
Статус темы:
Закрыта.

Поделиться этой страницей