Решена Проблемы с соц.сетями и почтой

Тема в разделе "Лечение компьютерных вирусов", создана пользователем toni4ka, 27 май 2013.

Статус темы:
Закрыта.
  1. toni4ka
    Оффлайн

    toni4ka Активный пользователь

    Сообщения:
    66
    Симпатии:
    8
    Добрый вечер!
    Проблема со входом в соц.сети и почту. Требует отправить смс.
    Заражены два компьютера, связывающиеся через роутер. Хотелось бы излечить оба.

    1-й
     

    Вложения:

    • virusinfo_syscheck.zip
      Размер файла:
      23,2 КБ
      Просмотров:
      2
    • virusinfo_syscure.zip
      Размер файла:
      22,6 КБ
      Просмотров:
      1
    • info.txt
      Размер файла:
      43,8 КБ
      Просмотров:
      1
    • log.txt
      Размер файла:
      40,1 КБ
      Просмотров:
      2
  2. Ботан
    Оффлайн

    Ботан Злостный спам-бот

    Сообщения:
    1.092
    Симпатии:
    194
    Приветствую toni4ka, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
    __________________________________________________

    Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
    • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
    Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



    ***​


    Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


    ***​


    Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
    __________________________________________________
    С уважением, администрация SafeZone.
     
  3. Sandor
    Оффлайн

    Sandor Ассоциация VN

    Сообщения:
    2.549
    Симпатии:
    980
    Здравствуйте!
    Одни компьютер - одна тема. В этой теме будем заниматься первым компьютером, а логи для второго модераторы перенесут.

    Закройте все программы, временно выгрузите антивирус, фаерволл и прочее защитное ПО.

    Выполните скрипт в AVZ (Файл - Выполнить скрипт):
    Код (Text):
    begin
     ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
     ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
      if not IsWOW64
       then
        begin
         SearchRootkit(true, true);
         SetAVZGuardStatus(True);
        end;
     QuarantineFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\sga_disk_s.bat','');
     QuarantineFile('C:\WINDOWS\Temp\3fd85.exe','');
     QuarantineFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\Mozilla\zueapfm.exe','');
     DeleteFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\Mozilla\zueapfm.exe');
     DeleteFile('C:\WINDOWS\Tasks\hv4v.job');
     DeleteFile('C:\WINDOWS\Tasks\rtpfjcg.job');
     DeleteFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\sga_disk_s.bat');
     DeleteFile('C:\WINDOWS\Temp\3fd85.exe');
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     ExecuteRepair(13);
     ExecuteWizard('SCU',2,3,true);
     RebootWindows(true);
    end.
    Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:
    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

    Пофиксите в HijackThis (если останутся) следующие строчки:
    Код (Text):
    O1 - Hosts: ggg
    O1 - Hosts: 66.85.174.29 ok.ru
    O1 - Hosts: 66.85.174.29 odnoklassniki.ru
    O1 - Hosts: 66.85.174.29 www.odnoklassniki.ru
    O1 - Hosts: 66.85.174.29 m.odnoklassniki.ru
    O1 - Hosts: 66.85.174.29 ok.ru
    O1 - Hosts: 66.85.174.29 m.ok.ru
    O1 - Hosts: 66.85.174.29 www.odnoklassniki.ru
    O1 - Hosts: gno11114
    O1 - Hosts: 66.85.174.29 ok.ru
    O1 - Hosts: 66.85.174.29 odnoklassniki.ru
    O1 - Hosts: 66.85.174.29 www.odnoklassniki.ru
    O1 - Hosts: 66.85.174.29 m.odnoklassniki.ru
    O1 - Hosts: 66.85.174.29 ok.ru
    O1 - Hosts: 66.85.174.29 m.ok.ru
    O1 - Hosts: 66.85.174.29 www.odnoklassniki.ru
    O4 - HKCU\..\Run: [4Y3Y0C3A1F7W1VYEYILH] C:\Recycle.Bin\B6232F3ABE9.exe /q
    O4 - Startup: sga_disk_s.bat
    У вас установлена Malwarebytes' Anti-Malware. Покажите лог сканирования. Если не сохранился, обновите базы и сделайте полное сканирование, самостоятельно ничего не удаляйте!. Приложите лог.

    Повторите логи AVZ (стандартный скрипт 2) и RSIT.
     
    toni4ka нравится это.
  4. toni4ka
    Оффлайн

    toni4ka Активный пользователь

    Сообщения:
    66
    Симпатии:
    8
    Добрый день)))

    1. После выполнения первого скрипта появился синий экран, пришлось вручную перезагружать комп.

    2. Таких строк нет
    O1 - Hosts: ggg
    O1 - Hosts: 66.85.174.29 ok.ru
    O1 - Hosts: 66.85.174.29 odnoklassniki.ru
    O1 - Hosts: 66.85.174.29 www.odnoklassniki.ru
    O1 - Hosts: 66.85.174.29 m.odnoklassniki.ru
    O1 - Hosts: 66.85.174.29 ok.ru
    O1 - Hosts: 66.85.174.29 m.ok.ru
    O1 - Hosts: 66.85.174.29 www.odnoklassniki.ru
    O1 - Hosts: gno11114
    O1 - Hosts: 66.85.174.29 ok.ru
    O1 - Hosts: 66.85.174.29 odnoklassniki.ru
    O1 - Hosts: 66.85.174.29 www.odnoklassniki.ru
    O1 - Hosts: 66.85.174.29 m.odnoklassniki.ru
    O1 - Hosts: 66.85.174.29 ok.ru
    O1 - Hosts: 66.85.174.29 m.ok.ru
    O1 - Hosts: 66.85.174.29 www.odnoklassniki.ru

    3. Прикладываю лог

    4. Прикрепляю отчеты AVZ (стандартный скрипт 2) и RSIT
     

    Вложения:

  5. Sandor
    Оффлайн

    Sandor Ассоциация VN

    Сообщения:
    2.549
    Симпатии:
    980
    Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).

    Подробнее читайте в руководстве

    Код (Text):
    Обнаруженные ключи в реестре:  4
    HKCR\CLSID\{82184935-B894-4AB2-8590-603BA7D74B71} (Trojan.WebMoner) -> Действие не было предпринято.
    HKCR\Photoshop-002.eProtocol (Trojan.WebMoner) -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\prorab morozennoe (Trojan.StartPage.ooo) -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\miss zaglotnik (Trojan.Agent.VBS) -> Действие не было предпринято.

    Обнаруженные параметры в реестре:  1
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|4Y3Y0C3A1F7W1VYEYILH (Trojan.SpyEyes) -> Параметры: C:\Recycle.Bin\B6232F3ABE9.exe /q -> Действие не было предпринято.
    Обнаруженные папки:  3
    C:\Program Files\est\prorab (Trojan.StartPage.ooo) -> Действие не было предпринято.
    C:\Recycle.Bin (Trojan.Spyeyes) -> Действие не было предпринято.
    C:\Program Files\minet\miss (Trojan.Agent.VBS) -> Действие не было предпринято.
    Обнаруженные файлы:
    C:\WINDOWS\system32\drivers\etc\hоsts (Hijack.Trace) -> Действие не было предпринято.
    C:\Program Files\est\prorab\agaaga_sting.vbs (Trojan.StartPage.ooo) -> Действие не было предпринято.
    C:\Program Files\est\prorab\apelsinovi_srach.vbs (Trojan.StartPage.ooo) -> Действие не было предпринято.
    C:\Program Files\est\prorab\horosim.plo (Trojan.StartPage.ooo) -> Действие не было предпринято.
    C:\Program Files\est\prorab\lllllllllllllllllllllllllllllllllllllllllllllllllll.ass (Trojan.StartPage.ooo) -> Действие не было предпринято.
    C:\Program Files\est\prorab\ojlikomfast.bat (Trojan.StartPage.ooo) -> Действие не было предпринято.
    C:\Program Files\est\prorab\plohim_bit_ochen.horoso (Trojan.StartPage.ooo) -> Действие не было предпринято.
    C:\Program Files\est\prorab\saldfbgklabglkjbalkjgblkasbalsdfbaslkjdfbaskjfdblsakdf.ggg (Trojan.StartPage.ooo) -> Действие не было предпринято.
    C:\Program Files\est\prorab\Uninstall.exe (Trojan.StartPage.ooo) -> Действие не было предпринято.
    C:\Program Files\est\prorab\Uninstall.ini (Trojan.StartPage.ooo) -> Действие не было предпринято.
    C:\Program Files\est\prorab\_ti_zapomni_glavnoe.bat (Trojan.StartPage.ooo) -> Действие не было предпринято.
    C:\Recycle.Bin\499E6A84225B23B (Trojan.Spyeyes) -> Действие не было предпринято.
    C:\Program Files\minet\miss\horocho_bistro.bat (Trojan.Agent.VBS) -> Действие не было предпринято.
    C:\Program Files\minet\miss\kjb4rtiyugwuiytefwil45hyopwegtruowet.sdfhisaugf (Trojan.Agent.VBS) -> Действие не было предпринято.
    C:\Program Files\minet\miss\lock_docg_snop_dog.rrr (Trojan.Agent.VBS) -> Действие не было предпринято.
    C:\Program Files\minet\miss\palachi_na_dibah.hhhh (Trojan.Agent.VBS) -> Действие не было предпринято.
    C:\Program Files\minet\miss\shabash.log (Trojan.Agent.VBS) -> Действие не было предпринято.
    C:\Program Files\minet\miss\smoki_mo_mo_mo.vbs (Trojan.Agent.VBS) -> Действие не было предпринято.
    C:\Program Files\minet\miss\trehochkovi_ne_dlya.vbs (Trojan.Agent.VBS) -> Действие не было предпринято.
    C:\Program Files\minet\miss\TURboPenis_tehno_prank.bat (Trojan.Agent.VBS) -> Действие не было предпринято.
    C:\Program Files\minet\miss\Uninstall.exe (Trojan.Agent.VBS) -> Действие не было предпринято.
    C:\Program Files\minet\miss\Uninstall.ini (Trojan.Agent.VBS) -> Действие не было предпринято.
    После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

    Повторите логи AVZ (стандартный скрипт 2) и RSIT
     
    toni4ka нравится это.
  6. toni4ka
    Оффлайн

    toni4ka Активный пользователь

    Сообщения:
    66
    Симпатии:
    8
    1. Выделенные удалила;

    2. Проверила заново, лог прикладываю;

    3. Повторила логи AVZ (стандартный скрипт 2) и RSIT, прикладываю.
     

    Вложения:

  7. Sandor
    Оффлайн

    Sandor Ассоциация VN

    Сообщения:
    2.549
    Симпатии:
    980
    Порядок.
    Что с проблемой?
     
    toni4ka нравится это.
  8. toni4ka
    Оффлайн

    toni4ka Активный пользователь

    Сообщения:
    66
    Симпатии:
    8
    Красота! Все работает!

    Огромное спасибо за помощь.:good2::good2::good2:

    Подскажите еще пожалуйста, как отгородиться от этой заразы)))
     
  9. Sandor
    Оффлайн

    Sandor Ассоциация VN

    Сообщения:
    2.549
    Симпатии:
    980
    Обязательно подскажем))

    MBAM деинсталлируйте.

    Для профилактики повторных заражений скачайте и запустите SecurityCheck by glax24, когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности. Скачайте и установите обновления по ссылкам.

    После удаления вредоносного ПО
     
    toni4ka и machito нравится это.
  10. toni4ka
    Оффлайн

    toni4ka Активный пользователь

    Сообщения:
    66
    Симпатии:
    8
    Security Check

    Security Check by glax24 version 0.1.6.55 rc2
    WebSite: www.safezone.cc
    DataLog 28.05.2013 18:41:30
    Program directory: C:\WINDOWS\Temp\SecurityCheck\
    Log directory: C:\SecurityCheck\
    IsAdmin: True
    XML File - VersionInet=4.3
    Диск C:\ ФС: NTFS Емкость: (29.3 Гб) Занято: (14.7 Гб) Свободно: (14.6 Гб)
    __________________________________________________

    WIN_XP(5.1) Build 2600 (x86) Lang: Russian(0419)
    Дата установки ОС: 06.06.2012 13:08:17
    Service Pack 3
    Internet Explorer 8.0.6001.18702
    -------------Windows------------------------------
    Загружать автоматически обновления и устанавливать по заданному расписанию
    Дата установки обновлений: 2013-05-15 19:05:41
    Автоматическое обновление (wuauserv) - Служба работает
    Центр обеспечения безопасности (wscsvc) - Служба работает
    -------------Antivirus_WMI------------------------
    Антивирус Касперского
    Антивирус устарел
    Сканирование отключено
    -------------Firewall_WMI-------------------------
    -------------AntiVirusFirewallInstall-------------
    Антивирус Касперского 2009 v.8.0.0.506
    -------------OtherUtilities-----------------------
    Malwarebytes Anti-Malware, версия 1.75.0.1300 v.1.75.0.1300
    -------------Java---------------------------------
    Java(TM) 6 Update 39 v.6.0.390 Внимание! Скачать обновления
    ^Удалите старую версию и установите новую (jdk-6u45-windows-i586.exe)^
    Java 7 Update 21 v.7.0.210
    Java(TM) SE Development Kit 6 Update 26 v.1.6.0.260 Внимание! Скачать обновления
    ^Удалите старую версию и установите новую (jdk-7u21-windows-i586.exe)^
    Java DB 10.6.2.1 v.10.6.2.1
    -------------AppleProduction----------------------
    QuickTime v.7.73.80.64
    -------------AdobeProduction----------------------
    Adobe Flash Player 11 ActiveX v.11.7.700.202
    Adobe Flash Player 11 Plugin v.11.7.700.202
    Adobe Reader XI (11.0.03) v.11.0.03 [+]
    -------------Browser------------------------------
    Google Chrome v.27.0.1453.94
    Mozilla Firefox 17.0 (x86 ru) v.17.0 Внимание! Скачать обновления
    Opera 12.15 v.12.15.1748
    Safari v.5.34.57.2
    -------------RunningProcess-----------------------
    C:\Program Files\Opera\opera.exe v.12.15.1748.0
    -------------EndLog-------------------------------

    Добавлено через 31 минуту 32 секунды
    Security Check by glax24 version 0.1.6.55 rc2
    WebSite: www.safezone.cc
    DataLog 28.05.2013 19:13:06
    Program directory: C:\WINDOWS\Temp\SecurityCheck\
    Log directory: C:\SecurityCheck\
    IsAdmin: True
    XML File - VersionInet=4.3
    Диск C:\ ФС: NTFS Емкость: (29.3 Гб) Занято: (15 Гб) Свободно: (14.3 Гб)
    __________________________________________________

    WIN_XP(5.1) Build 2600 (x86) Lang: Russian(0419)
    Дата установки ОС: 06.06.2012 13:08:17
    Service Pack 3
    Internet Explorer 8.0.6001.18702
    -------------Windows------------------------------
    Загружать автоматически обновления и устанавливать по заданному расписанию
    Дата установки обновлений: 2013-05-15 19:05:41
    Автоматическое обновление (wuauserv) - Служба работает
    Центр обеспечения безопасности (wscsvc) - Служба работает
    -------------Antivirus_WMI------------------------
    Антивирус Касперского
    Антивирус устарел
    Сканирование отключено
    -------------Firewall_WMI-------------------------
    -------------AntiVirusFirewallInstall-------------
    Антивирус Касперского 2009 v.8.0.0.506
    -------------OtherUtilities-----------------------
    Malwarebytes Anti-Malware, версия 1.75.0.1300 v.1.75.0.1300
    -------------Java---------------------------------
    Java 7 Update 21 v.7.0.210
    Java DB 10.6.2.1 v.10.6.2.1
    -------------AppleProduction----------------------
    QuickTime v.7.73.80.64
    -------------AdobeProduction----------------------
    Adobe Flash Player 11 ActiveX v.11.7.700.202
    Adobe Flash Player 11 Plugin v.11.7.700.202
    Adobe Reader XI (11.0.03) v.11.0.03 [+]
    -------------Browser------------------------------
    Google Chrome v.27.0.1453.94
    Mozilla Firefox 21.0 (x86 ru) v.21.0
    Opera 12.15 v.12.15.1748
    Safari v.5.34.57.2
    -------------RunningProcess-----------------------
    C:\Program Files\Opera\opera.exe v.12.15.1748.0
    -------------EndLog-------------------------------

    Добавлено через 49 секунд
    Кроме антивируса, буду сносить и устанавливать новый)))
     
    2 пользователям это понравилось.
  11. akok
    Онлайн

    akok Команда форума Администратор

    Сообщения:
    12.447
    Симпатии:
    13.950
    Тему отмечаю решенной. Удачи!
     
  12. toni4ka
    Оффлайн

    toni4ka Активный пользователь

    Сообщения:
    66
    Симпатии:
    8
    Спасибо!!!!! :)
     
Статус темы:
Закрыта.

Поделиться этой страницей