Решена Валидация снова и снова!

Статус
В этой теме нельзя размещать новые ответы.

aldol

Новый пользователь
Сообщения
9
Реакции
0
Здравствуйте! Интересно,что за гении писали этот вирус,который не видит ни один антивирусник,хотя как я понимаю вирус не новый.Проверил всеми антивирусами,выполнял все скрипты avz,uvs,менял,чистил hosts,еще что то,всего и не запомнил.Помогает до первой перезагрузки браузера.Только пытаюсь зайти в одноклассники второй раз после лечения-все! Валидация! Складывается впечатление что вирус не у меня а где то еще,хотя ни к какой домашней сети не подключен. Помогите пожалуйста!
 

Вложения

  • virusinfo_syscheck.zip
    72.5 KB · Просмотры: 3
  • virusinfo_syscure.zip
    73.7 KB · Просмотры: 7
  • info.txt
    38 KB · Просмотры: 2
  • log.txt
    48.4 KB · Просмотры: 10
Приветствую aldol, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.


__________________________________________________
С уважением, администрация SafeZone.
 
Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('f:\jwc\jwc.exe','');
 QuarantineFile('C:\WINDOWS\praetorian.exe','');
 DeleteFile('C:\WINDOWS\praetorian.exe');
 DeleteFileMask('C:\Documents and Settings\alik\Application Data\MicroST', '*.*', true);
 DeleteDirectory('C:\Documents and Settings\alik\Application Data\MicroST');
 DeleteFileMask('C:\vztApC3LHVPCSVU', '*.*', true);
 DeleteDirectory('C:\vztApC3LHVPCSVU');
 DeleteFileMask('C:\IzDevWz86OHESyK', '*.*', true);
 DeleteDirectory('C:\IzDevWz86OHESyK');
 DeleteFileMask('C:\jb3PxzI9zAgQm5S', '*.*', true);
 DeleteDirectory('C:\jb3PxzI9zAgQm5S');
 DeleteFileMask('C:\1HUp83fyLaE12LF', '*.*', true);
 DeleteDirectory('C:\1HUp83fyLaE12LF');
 DeleteFileMask('C:\tIumgEZnhqunEP3', '*.*', true);
 DeleteDirectory('C:\tIumgEZnhqunEP3');
 DeleteFileMask('C:\OrzsF0fStXwNQjl', '*.*', true);
 DeleteDirectory('C:\OrzsF0fStXwNQjl');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(13);
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.


Подготовьте лог OTL by OldTimer и лог OSAM
 
Последнее редактирование:
Спасибо что помогаете! Отправил последний лог с помощью формы.Только не знаю как запароливать.Подготовил следующие логи.
 
Шлю.Думал надо ждать когда запросите.
 

Вложения

  • osam.rar
    13.1 KB · Просмотры: 1
  • OTL.Txt
    194.4 KB · Просмотры: 4
  • Extras.Txt
    65.4 KB · Просмотры: 0
  • Запустите повторно OTL by OldTimer

    Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  • В окно Custom Scans/Fixes скопируйте следующую информацию:

    Код:
    :processes
    
    :OTL
    O3 - HKLM\..\Toolbar: (no name) - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - No CLSID value found.
    O3 - HKLM\..\Toolbar: (no name) - {e9911ec6-1bcc-40b0-9993-e0eea7f6953f} - No CLSID value found.
    O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
    O2 - BHO: (no name) - {e9911ec6-1bcc-40b0-9993-e0eea7f6953f} - No CLSID value found.
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{A08A3C3C-B633-4ADB-84D1-4CFE3483C4D7}: NameServer = 134.255.241.122,8.8.8.8
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{CAFDA568-576C-42D5-A8AD-3BA6FE8FB107}: NameServer = 134.255.241.122,8.8.8.8
    
    :Commands
    [EMPTYJAVA]
    [EMPTYFLASH]
    [purity]
    [Reboot]
  • Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку "Run Fix"
  • Компьютер перезагрузится.
  • После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.
 
Последнее редактирование:
Трындец какой то.Вроде зашел в одноклассники.Несколько раз перегружал оперу.После очередной перезагрузки все.Опять валидация.Еще такое наблюдение:я специально не добавляю одноклассники в закладки,ищу в поисковике (по умолчанию яндекс).Но в какой то момент яндекс перестает выдавать результат,пишет что страница не найдена,проверьте подключение и т.д.Тогда я переключаюсь на гугл,он дает ссылку и... Ссылка вроде настоящая.

Добавлено через 5 минут 36 секунд
По вашему последнему посту делаю скрипт,пишет "невозможно создать файл hosts".
 
Подправил скрипт выполните еще раз
 
Шлю лог.Правда после выполнения скрипта вообще не мог зайти в интернет,пришлось настраивать с помощью диска провайдера.И еще:при загрузке винды теперь всплывает окно с каким то то ли квадратиком,то ли иероглифом и кнопкой ок.Пока не нажмешь на нее винда не загрузится.
 

Вложения

  • 05042012_135751.log
    3.4 KB · Просмотры: 7
Ок.

Первое:

  1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
  2. Запустите файл TDSSKiller.exe;
  3. Нажмите кнопку "Начать проверку";
  4. В процессе проверки могут быть обнаружены объекты двух типов:
    • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
    • подозрительные (тип вредоносного воздействия точно установить невозможно).
  5. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
  6. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
  7. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
  8. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
  9. Прикрепите лог утилиты к своему следующему сообщению
По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt

Второе:

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Добавлено через 13 минут 18 секунд
+ к вышеуказанному сохраните следующий текст с расширением reg и запустите полученный файл.

Код:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"legalnoticecaption"=""
"legalnoticetext"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"LegalNoticeCaption"=""
"LegalNoticeText"=""
 
Сделал третий этап,шлю логи.
 

Вложения

  • TDSSKiller.2.7.34.0_04.05.2012_15.31.43_log.txt
    81.5 KB · Просмотры: 4
  • Malwarebytes' Anti-Malware .txt
    2.8 KB · Просмотры: 5
Повторите сканирование MBAM и удалите:

Код:
C:\Documents and Settings\alik\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.

Как самочувствие системы?
 
Понял,сделаю.А вообще огромнейшее спасибо за то, что уделяли мне время.Сегодня второй день,полет нормальный!Вроде все нормально,вируса(тьфу тьфу) нет! Еще раз спасибо!
 
Смените все важные пароли.

Проверимся на уязвимости, сделайте такой лог
 
Добрый вечер.Сделал несколько дней не был дома,сделал последние указания,прикркпил лог.
 

Вложения

  • SecurityCheck by screen317.txt
    857 байт · Просмотры: 2
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу