Решена Переадресация на clubrelaxxxx.com

Тема в разделе "Лечение компьютерных вирусов", создана пользователем baltikwhale, 30 ноя 2012.

Статус темы:
Закрыта.
  1. baltikwhale
    Оффлайн

    baltikwhale Новый пользователь

    Сообщения:
    9
    Симпатии:
    0
    Всеми антивирусами прошел ничего не нашли. А переадресация все равно появляется. Помогите.
     

    Вложения:

    • info.txt
      Размер файла:
      54,4 КБ
      Просмотров:
      0
    • log.txt
      Размер файла:
      48,5 КБ
      Просмотров:
      2
    • virusinfo_syscure.zip
      Размер файла:
      37,5 КБ
      Просмотров:
      5
    • virusinfo_syscheck.zip
      Размер файла:
      37,3 КБ
      Просмотров:
      0
    Последнее редактирование модератором: 30 ноя 2012
  2. Ботан
    Оффлайн

    Ботан Злостный спам-бот

    Сообщения:
    1.094
    Симпатии:
    194
    Приветствую baltikwhale, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
    __________________________________________________

    Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
    • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
    Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



    ***​


    Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


    ***​


    Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
    __________________________________________________
    С уважением, администрация SafeZone.
     
  3. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\DOCUME~1\BOOLEA~1.001\LOCALS~1\Temp\200193703FdOh','');
     DeleteFile('C:\DOCUME~1\BOOLEA~1.001\LOCALS~1\Temp\200193703FdOh');
     DelBHO('{8984B388-A5BB-4DF7-B274-77B879E179DB}');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','200193765');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
     ExecuteRepair(13);
     ExecuteWizard('SCU',2,3,true);
    RebootWindows(true);
    end.
    Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
     end.
    Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

    "Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
    Код (Text):
    O1 - Hosts: 46.251.249.137 www.odnoklassniki.ru vk.com m.odnoklassniki.ru my.mail.ru odnoklassniki.ru m.vk.com wap.odnoklassniki.ru
    O1 - Hosts: 46.251.249.136 mc.yandex.ru admulti.com counter.rambler.ru www.google-analytics.com counter.spylog.com
    O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
    O4 - HKLM\..\Run: [200193765] cmd.exe /c copy C:\DOCUME~1\BOOLEA~1.001\LOCALS~1\Temp\200193703FdOh C:\WINDOWS\system32\drivers\etc\hosts /Y && attrib +H C:\WINDOWS\system32\drivers\etc\hosts /f
     
    Сделайте новый комплект логов AVZ и RSIT и прикрепите к следующему сообщению новые логи virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt

    IP адреса Вам знакомы?

    Код (Text):
    85.255.112.225,85.255.112.199

    Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
    Самостоятельно ничего не удаляйте!!!
    Если лог не открылся, то найти его можно в следующей папке:
    Код (Text):
    %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
    Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
    Подробнее читайте в руководстве
     
  4. baltikwhale
    Оффлайн

    baltikwhale Новый пользователь

    Сообщения:
    9
    Симпатии:
    0
    Новые логи
     

    Вложения:

  5. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFileF('C:\Documents and Settings\NetworkService\Application Data\twain_32', '*.*', true, '', 0, 0);
     QuarantineFileF('C:\Documents and Settings\Администратор\Главное меню\Программы\HDExtrem', '*.*', true, '', 0, 0);
     QuarantineFileF('C:\WINDOWS\system32\twain_32', '*.*', true, '', 0, 0);
     QuarantineFile('C:\WINDOWS\system32\gaopdxcounter','');
     QuarantineFile('C:\WINDOWS\system32\shell31.dll','');
     QuarantineFile('C:\WINDOWS\system32\ieunitdrf.inf','');
     QuarantineFile('C:\WINDOWS\system32\twain_32\local.ds','');
     QuarantineFile('C:\WINDOWS\system32\twain_32\user.ds','');
     QuarantineFile('C:\Documents and Settings\NetworkService\Application Data\twain_32\user.ds','');
     DeleteFile('C:\WINDOWS\system32\gaopdxcounter');
     DeleteFile('C:\WINDOWS\system32\shell31.dll');
     DeleteFile('C:\WINDOWS\system32\ieunitdrf.inf');
     DeleteFile('C:\WINDOWS\system32\twain_32\local.ds');
     DeleteFile('C:\WINDOWS\system32\twain_32\user.ds');
     DeleteFile('C:\Documents and Settings\NetworkService\Application Data\twain_32\user.ds');
     DeleteFileMask('C:\Documents and Settings\NetworkService\Application Data\twain_32\', '*.*', true);
     DeleteDirectory('C:\Documents and Settings\NetworkService\Application Data\twain_32\');
     DeleteFileMask('C:\WINDOWS\system32\twain_32\', '*.*', true);
     DeleteDirectory('C:\WINDOWS\system32\twain_32\');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
     ExecuteRepair(21);
     ExecuteWizard('SCU',2,3,true);
    RebootWindows(true);
    end.
    Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
     end.
    Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

    "Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
    Код (Text):
    O4 - HKUS\S-1-5-21-2950978987-1817145013-2330650668-500\..\RunOnce: []  (User '?')
    O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.225,85.255.112.199
    O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.225,85.255.112.199
    O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.112.225,85.255.112.199
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.225,85.255.112.199
     

    1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
    2. Запустите файл TDSSKiller.exe;
    3. Нажмите кнопку "Изменить параметры проверки";
    4. Установите все галочки, кроме "Объекты для проверки" - "Загруженные модули";
    5. Подтвердите изменение настроек нажатием кнопки "ОК";
    6. Нажмите кнопку "Начать проверку";
    7. В процессе проверки могут быть обнаружены объекты двух типов:
      • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
      • подозрительные (тип вредоносного воздействия точно установить невозможно).
    8. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
    9. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
    10. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
    11. Самостоятельно без указания консультанта ничего не не удаляйте!!!
    12. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
    13. Прикрепите лог утилиты к своему следующему сообщению
    По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
    Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
    Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt
    Сделайте новый комплект логов AVZ и RSIT и прикрепите к следующему сообщению новые логи virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
     
  6. baltikwhale
    Оффлайн

    baltikwhale Новый пользователь

    Сообщения:
    9
    Симпатии:
    0
    Новые логи
     

    Вложения:

  7. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Карантин присылали, если да, то продублируйте на почту.

    • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
    • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
    • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
    • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
    • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    • Скопируйте содержимое файла в свое следующее сообщение.
    Подробнее читайте в этом руководстве.

    +

    Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
    1. Запустите AVZ.
    2. Выполните обновление баз (Меню Файл - Обновление баз)
    3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
    4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт № 4 ("Скрипт сбора неопознанных и подозрительных файлов") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
    5. Закачайте полученный архив, как описано на этой странице.
    6. Если размер архива превышает 20 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zalil, Dump.Ru или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
     
  8. baltikwhale
    Оффлайн

    baltikwhale Новый пользователь

    Сообщения:
    9
    Симпатии:
    0
    quarantine выслал и на почту
     

    Вложения:

    Последнее редактирование модератором: 4 дек 2012
  9. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Закрывайте уязвимости:

    Как самочувствие системы?
     
    1 человеку нравится это.
  10. baltikwhale
    Оффлайн

    baltikwhale Новый пользователь

    Сообщения:
    9
    Симпатии:
    0
    Вроде все проблемы исчезли. Вы волшебник :) Спасибо огромное!
     
  11. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
Статус темы:
Закрыта.

Поделиться этой страницей