Решена Валидация снова и снова!

Тема в разделе "Лечение компьютерных вирусов", создана пользователем aldol, 4 май 2012.

Статус темы:
Закрыта.
  1. aldol
    Оффлайн

    aldol Пользователь

    Сообщения:
    9
    Симпатии:
    0
    Здравствуйте! Интересно,что за гении писали этот вирус,который не видит ни один антивирусник,хотя как я понимаю вирус не новый.Проверил всеми антивирусами,выполнял все скрипты avz,uvs,менял,чистил hosts,еще что то,всего и не запомнил.Помогает до первой перезагрузки браузера.Только пытаюсь зайти в одноклассники второй раз после лечения-все! Валидация! Складывается впечатление что вирус не у меня а где то еще,хотя ни к какой домашней сети не подключен. Помогите пожалуйста!
     

    Вложения:

    • virusinfo_syscheck.zip
      Размер файла:
      72,5 КБ
      Просмотров:
      3
    • virusinfo_syscure.zip
      Размер файла:
      73,7 КБ
      Просмотров:
      7
    • info.txt
      Размер файла:
      38 КБ
      Просмотров:
      2
    • log.txt
      Размер файла:
      48,4 КБ
      Просмотров:
      10
  2. Ботан
    Оффлайн

    Ботан Злостный спам-бот

    Сообщения:
    1.094
    Симпатии:
    194
    Приветствую aldol, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
    __________________________________________________

    Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
    • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
    Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.


    __________________________________________________
    С уважением, администрация SafeZone.
     
  3. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('f:\jwc\jwc.exe','');
     QuarantineFile('C:\WINDOWS\praetorian.exe','');
     DeleteFile('C:\WINDOWS\praetorian.exe');
     DeleteFileMask('C:\Documents and Settings\alik\Application Data\MicroST', '*.*', true);
     DeleteDirectory('C:\Documents and Settings\alik\Application Data\MicroST');
     DeleteFileMask('C:\vztApC3LHVPCSVU', '*.*', true);
     DeleteDirectory('C:\vztApC3LHVPCSVU');
     DeleteFileMask('C:\IzDevWz86OHESyK', '*.*', true);
     DeleteDirectory('C:\IzDevWz86OHESyK');
     DeleteFileMask('C:\jb3PxzI9zAgQm5S', '*.*', true);
     DeleteDirectory('C:\jb3PxzI9zAgQm5S');
     DeleteFileMask('C:\1HUp83fyLaE12LF', '*.*', true);
     DeleteDirectory('C:\1HUp83fyLaE12LF');
     DeleteFileMask('C:\tIumgEZnhqunEP3', '*.*', true);
     DeleteDirectory('C:\tIumgEZnhqunEP3');
     DeleteFileMask('C:\OrzsF0fStXwNQjl', '*.*', true);
     DeleteDirectory('C:\OrzsF0fStXwNQjl');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
     ExecuteRepair(13);
     ExecuteWizard('SCU',2,3,true);
    RebootWindows(true);
    end.
    Компьютер перезагрузится, После перезагрузки:
    - выполните такой скрипт

    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.


    Подготовьте лог OTL by OldTimer и лог OSAM
     
    Последнее редактирование: 4 май 2012
  4. aldol
    Оффлайн

    aldol Пользователь

    Сообщения:
    9
    Симпатии:
    0
    Спасибо что помогаете! Отправил последний лог с помощью формы.Только не знаю как запароливать.Подготовил следующие логи.
     
  5. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    И где они?
     
  6. aldol
    Оффлайн

    aldol Пользователь

    Сообщения:
    9
    Симпатии:
    0
    Шлю.Думал надо ждать когда запросите.
     

    Вложения:

    • Extras.Txt
      Размер файла:
      65,4 КБ
      Просмотров:
      0
    • OTL.Txt
      Размер файла:
      194,4 КБ
      Просмотров:
      4
    • osam.rar
      Размер файла:
      13,1 КБ
      Просмотров:
      1
  7. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    • Запустите повторно OTL by OldTimer

      Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
    • В окно Custom Scans/Fixes скопируйте следующую информацию:

      Код (Text):
      :processes

      :OTL
      O3 - HKLM\..\Toolbar: (no name) - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - No CLSID value found.
      O3 - HKLM\..\Toolbar: (no name) - {e9911ec6-1bcc-40b0-9993-e0eea7f6953f} - No CLSID value found.
      O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
      O2 - BHO: (no name) - {e9911ec6-1bcc-40b0-9993-e0eea7f6953f} - No CLSID value found.
      O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{A08A3C3C-B633-4ADB-84D1-4CFE3483C4D7}: NameServer = 134.255.241.122,8.8.8.8
      O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{CAFDA568-576C-42D5-A8AD-3BA6FE8FB107}: NameServer = 134.255.241.122,8.8.8.8

      :Commands
      [EMPTYJAVA]
      [EMPTYFLASH]
      [purity]
      [Reboot]
    • Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку "Run Fix"
    • Компьютер перезагрузится.
    • После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.
     
    Последнее редактирование: 4 май 2012
  8. aldol
    Оффлайн

    aldol Пользователь

    Сообщения:
    9
    Симпатии:
    0
    Трындец какой то.Вроде зашел в одноклассники.Несколько раз перегружал оперу.После очередной перезагрузки все.Опять валидация.Еще такое наблюдение:я специально не добавляю одноклассники в закладки,ищу в поисковике (по умолчанию яндекс).Но в какой то момент яндекс перестает выдавать результат,пишет что страница не найдена,проверьте подключение и т.д.Тогда я переключаюсь на гугл,он дает ссылку и... Ссылка вроде настоящая.

    Добавлено через 5 минут 36 секунд
    По вашему последнему посту делаю скрипт,пишет "невозможно создать файл hosts".
     
  9. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Подправил скрипт выполните еще раз
     
  10. aldol
    Оффлайн

    aldol Пользователь

    Сообщения:
    9
    Симпатии:
    0
    Шлю лог.Правда после выполнения скрипта вообще не мог зайти в интернет,пришлось настраивать с помощью диска провайдера.И еще:при загрузке винды теперь всплывает окно с каким то то ли квадратиком,то ли иероглифом и кнопкой ок.Пока не нажмешь на нее винда не загрузится.
     

    Вложения:

  11. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Ок.

    Первое:

    1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
    2. Запустите файл TDSSKiller.exe;
    3. Нажмите кнопку "Начать проверку";
    4. В процессе проверки могут быть обнаружены объекты двух типов:
      • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
      • подозрительные (тип вредоносного воздействия точно установить невозможно).
    5. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
    6. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
    7. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
    8. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
    9. Прикрепите лог утилиты к своему следующему сообщению
    По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
    Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
    Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt

    Второе:

    Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

    Добавлено через 13 минут 18 секунд
    + к вышеуказанному сохраните следующий текст с расширением reg и запустите полученный файл.

    Код (Text):
    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
    "legalnoticecaption"=""
    "legalnoticetext"=""

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "LegalNoticeCaption"=""
    "LegalNoticeText"=""
     
  12. aldol
    Оффлайн

    aldol Пользователь

    Сообщения:
    9
    Симпатии:
    0
    Сделал третий этап,шлю логи.
     

    Вложения:

  13. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Повторите сканирование MBAM и удалите:

    Код (Text):
    C:\Documents and Settings\alik\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
    C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.
    Как самочувствие системы?
     
  14. aldol
    Оффлайн

    aldol Пользователь

    Сообщения:
    9
    Симпатии:
    0
    Понял,сделаю.А вообще огромнейшее спасибо за то, что уделяли мне время.Сегодня второй день,полет нормальный!Вроде все нормально,вируса(тьфу тьфу) нет! Еще раз спасибо!
     
  15. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Смените все важные пароли.

    Проверимся на уязвимости, сделайте такой лог
     
  16. aldol
    Оффлайн

    aldol Пользователь

    Сообщения:
    9
    Симпатии:
    0
    Добрый вечер.Сделал несколько дней не был дома,сделал последние указания,прикркпил лог.
     

    Вложения:

  17. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
  18. aldol
    Оффлайн

    aldol Пользователь

    Сообщения:
    9
    Симпатии:
    0
    Обновил Java.
     
  19. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.061
    Симпатии:
    4.488
    Если проблем больше нет, Рекомендации после лечения.
     
Статус темы:
Закрыта.

Поделиться этой страницей