Решена Валидация аккаунта

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Kol9n4ik, 3 сен 2012.

Статус темы:
Закрыта.
  1. Kol9n4ik
    Оффлайн

    Kol9n4ik Пользователь

    Сообщения:
    9
    Симпатии:
    0
    Доброго времени суток!и сново я!на сей раз заразился стационарый комп...вирус с одной стороны безобидный,но неприятный!При каждой попытки зайти в контакт требует отправить смс!Уже перепробовал все методы(чистил папку хост,сканировал доктором вебом,касперский ремув тул,чистка авз) - всё бестолку...
    Посмотреть вложение virusinfo_syscheck.zip

    Посмотреть вложение virusinfo_syscure.zip

    Посмотреть вложение info.txt

    Посмотреть вложение log.txt
     
  2. Ботан
    Оффлайн

    Ботан Злостный спам-бот

    Сообщения:
    1.092
    Симпатии:
    194
    Приветствую Kol9n4ik, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
    __________________________________________________

    Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
    • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
    Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.


    __________________________________________________
    С уважением, администрация SafeZone.
     
  3. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.838
    Симпатии:
    8.591
    Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     TerminateProcessByName('c:\program files (x86)\common files\spigot\search settings\searchsettings.exe');
     TerminateProcessByName('c:\program files (x86)\application updater\applicationupdater.exe');
     QuarantineFile('C:\Program Files (x86)\Common Files\Spigot\Search Settings\wth.dll','');
     QuarantineFile('C:\Windows\system32\machineupdate32.exe','');
     QuarantineFile('copy C:\Users\kolyan\AppData\Local\Temp\172936873FdOh C:\Windows\system32\drivers\etc\hosts','');
     QuarantineFile('c:\users\kolyan\0.586783727002465.exe','');
     QuarantineFile('c:\program files (x86)\common files\spigot\search settings\searchsettings.exe','');
     QuarantineFile('c:\program files (x86)\application updater\applicationupdater.exe','');
     QuarantineFile('C:\Users\kolyan\AppData\Local\Temp\172936873FdOh','');
     DeleteFile('C:\Users\kolyan\AppData\Local\Temp\172936873FdOh');
     DeleteFile('c:\program files (x86)\application updater\applicationupdater.exe');
     DeleteFile('C:\Program Files (x86)\Common Files\Spigot\Search Settings\SearchSettings.exe');
     DeleteFile('c:\users\kolyan\0.586783727002465.exe');
     DeleteFile('copy C:\Users\kolyan\AppData\Local\Temp\172936873FdOh C:\Windows\system32\drivers\etc\hosts');
     DeleteFile('C:\Windows\system32\machineupdate32.exe');
     DeleteFile('C:\Program Files (x86)\Common Files\Spigot\Search Settings\wth.dll');
     DeleteFileMask('C:\Program Files (x86)\Common Files\Spigot\', '*.*', true);
     DeleteDirectory('C:\Program Files (x86)\Common Files\Spigot\');
     DeleteFileMask('c:\program files (x86)\application updater\', '*.*', true);
     DeleteDirectory('c:\program files (x86)\application updater\');
     DeleteFileMask('C:\ProgramData\zOxtBovxwI0', '*.*', true);
     DeleteDirectory('C:\ProgramData\zOxtBovxwI0');
     RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\S7518765');
     RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\S56159117');
     RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\SearchSettings');
     RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\S10314627');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SearchSettings');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S19414420');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','172936920');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Windows Debugger 32');
    ExecuteSysClean;
     ExecuteRepair(13);
     ExecuteWizard('SCU',2,3,true);
    RebootWindows(true);
    end.
    Компьютер перезагрузится, После перезагрузки:
    - выполните такой скрипт

    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

    Пофиксите в HJT (некоторых строк может уже не быть):

    Код (Text):
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 189.89.208.147:3128
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = vkontakte.ru;www.vkontakte.ru;vk.com;www.vk.com;*.local
    O4 - HKLM\..\Run: [SearchSettings] "C:\Program Files (x86)\Common Files\Spigot\Search Settings\SearchSettings.exe"
    O4 - HKLM\..\Run: [172936920] cmd.exe /c copy C:\Users\kolyan\AppData\Local\Temp\172936873FdOh C:\Windows\system32\drivers\etc\hosts /Y && attrib +H C:\Windows\system32\drivers\etc\hosts /f
    O4 - HKCU\..\Run: [S19414420] c:\users\kolyan\0.586783727002465.exe
    O4 - HKCU\..\Policies\Explorer\Run: [Windows Debugger 32] C:\Windows\system32\machineupdate32.exe
     
    Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
    Самостоятельно ничего не удаляйте!!!
    Если лог не открылся, то найти его можно в следующей папке:
    Код (Text):
    %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
    Подробнее читайте в руководстве
     
    Последнее редактирование: 3 сен 2012
    1 человеку нравится это.
  4. Kol9n4ik
    Оффлайн

    Kol9n4ik Пользователь

    Сообщения:
    9
    Симпатии:
    0
  5. Sfera
    Оффлайн

    Sfera Куратор обучения Ассоциация VN/VIP VIP

    Сообщения:
    6.327
    Симпатии:
    5.128
    в МВАМ удалите (потребуется повторное сканирование)
    Код (Text):
    Обнаруженные ключи в реестре:  1
    HKCU\Software\winxarj (Hoax.ArchSMS) -> Действие не было предпринято.

    Обнаруженные параметры в реестре:  1
    HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon|SysDebug32 (Trojan.Agent) -> Параметры: жеAD`В“яѓ¬Ц‡зы+єRQv\PёpOбq”[;[hСл=?*1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”ЩНжЪ•Сt[pъ»КХNЪЄепЩн8’IdПК1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”ю;ВWЃбГЖ|uЅqS”…l1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”^eR;Ћ -> Действие не было предпринято.

    Обнаруженные папки:  1
    C:\Recycle.Bin (Trojan.Spyeyes) -> Действие не было предпринято.

    Обнаруженные файлы:
    C:\Users\kolyan\DoctorWeb\Quarantine\VkBot__0.exe (RiskWare.Tool.Vkbot) -> Действие не было предпринято.
    C:\Users\kolyan\AppData\Roaming\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
    C:\Recycle.Bin\45827F9C4E1FB66 (Trojan.Spyeyes) -> Действие не было предпринято.
     
    логи АВЗ повторите

    Выполните сканирование. Лог приложите

    Добавлено через 6 минут 22 секунды
    Пароли смените
     
    2 пользователям это понравилось.
  6. Kol9n4ik
    Оффлайн

    Kol9n4ik Пользователь

    Сообщения:
    9
    Симпатии:
    0
  7. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.026
    Симпатии:
    4.477
    В логах чисто.

    Для исправления
    Запустите AVZ -> меню Файл -> Восстановление системы
    отметьте пункт №1 нажмите - выполнить отмеченные операции.

    В целях безопасности UAC отключать не рекомендуется.

    Установите SP1 для Windows7 (может потребоваться активация) + все новые обновления для Windows7.

    В целях безопасности обновите Internet Explorer, даже если им не пользуетесь.

    Обновите Java до актуальной версии.

    Обновите Adobe Reader до актуальной версии.

    Обновите Adobe Flash Player до актуальной версии.

    Mozilla Thunderbird (3.1.9) также обновите до актуальной версии, для этого
    Проблема решена? Что-то еще беспокоит?
     
    Последнее редактирование: 6 сен 2012
    3 пользователям это понравилось.
  8. Kol9n4ik
    Оффлайн

    Kol9n4ik Пользователь

    Сообщения:
    9
    Симпатии:
    0
    Спасибо!! Всё работает на "Ура" !
     
  9. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.026
    Симпатии:
    4.477
Статус темы:
Закрыта.

Поделиться этой страницей