Решена Заблокирован доступ в интернет и маил.ру агент

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Newi, 24 окт 2010.

Статус темы:
Закрыта.
  1. Newi
    Оффлайн

    Newi Активный пользователь

    Сообщения:
    19
    Симпатии:
    0
    Здравствуйте! Помогите, пожалуйста! Не могу зайти в маил.ру агент, ни одна страница не грузится, работает только Скайп. DrWeb CureIT ничего не находит.

    После сканирования компьютера AVZ, HiJackThis, RSIT доступ к страницам появился, но агент до сих не работает и беспокоит, что было? хочется убить эту заразу, чтоб больше не возвращалась
     

    Вложения:

    • info.txt
      Размер файла:
      22,2 КБ
      Просмотров:
      0
    • log.txt
      Размер файла:
      15 КБ
      Просмотров:
      3
    • virusinfo_syscheck.zip
      Размер файла:
      23,6 КБ
      Просмотров:
      0
    • virusinfo_syscure.zip
      Размер файла:
      25 КБ
      Просмотров:
      4
    Последнее редактирование: 24 окт 2010
  2. icotonev
    Оффлайн

    icotonev Ассоциация VN

    Сообщения:
    1.406
    Симпатии:
    1.643
    Newi, Добро пожаловать на VirusNet..!

    Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
     
  3. Newi
    Оффлайн

    Newi Активный пользователь

    Сообщения:
    19
    Симпатии:
    0
    Спасибо!!! пока сканируется, можно вопрос ? ;-) по выше прикрепленным логам уже можно сделать какой-то вывод?
     
  4. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):
    begin
     ClearQuarantine;
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\System32\Drivers\TosIde.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\lbrtfdc.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\mrxcls.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\mrxnet.sys','');
     DeleteFile('C:\WINDOWS\system32\Drivers\mrxnet.sys');
     DeleteFile('C:\WINDOWS\system32\Drivers\mrxcls.sys');
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
     DeleteService('MRxNet');
     DeleteService('MRxCls');
     BC_ImportALL;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.

    Полученный архив отправьте при помощи этой формы

    Ждем лог MBAM.

    Добавлено через -1 минут -41 секунд
    Только косвенные.
     
    2 пользователям это понравилось.
  5. icotonev
    Оффлайн

    icotonev Ассоциация VN

    Сообщения:
    1.406
    Симпатии:
    1.643
    У меня есть сомнения ''Stuxnet ''....но я прошу вас быть терпеливыми..!
     
  6. Newi
    Оффлайн

    Newi Активный пользователь

    Сообщения:
    19
    Симпатии:
    0
    По поводу Stuxnet ... это, который по сети заражает winsta.exe и съедает всё свободное место на системном диске? да, было такое недавно, но как я думала, он был успешно излечен :-(

    Malawarebytes еще сканирует. Терплю :) спасибо, ВАМ !!!!
     
  7. Newi
    Оффлайн

    Newi Активный пользователь

    Сообщения:
    19
    Симпатии:
    0
    уфф.. доступ в интернет на том компьютере опять заблокировался, пишу с другого.

    вот лог от Malwarebytes ' Anti-Malware

    иду запускать AVZ и выполнять скрипт
     

    Вложения:

    Последнее редактирование: 24 окт 2010
  8. Newi
    Оффлайн

    Newi Активный пользователь

    Сообщения:
    19
    Симпатии:
    0
    скрипты выполнены, файл отправлен.
     
  9. icotonev
    Оффлайн

    icotonev Ассоциация VN

    Сообщения:
    1.406
    Симпатии:
    1.643
    Newi, Удалить следующие строки найдены МБАМ..:

    Код (Text):
    Зараженные ключи в реестре:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MRXCLS (Rootkit.TmpHider) -> No action taken.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MRXNET (Rootkit.TmpHider) -> No action taken.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxCls (Rootkit.TmpHider) -> No action taken.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxNet (Rootkit.TmpHider) -> No action taken.
    C:\WINDOWS\inf\mdmcpq3.PNF (Rootkit.TmpHider) -> No action taken.
    C:\WINDOWS\inf\mdmeric3.PNF (Rootkit.TmpHider) -> No action taken.
    C:\WINDOWS\inf\oem6C.PNF (Rootkit.TmpHider) -> No action taken.
    C:\сарафаны\klipart_-_jenskie_vechernie_platya-21335763.exe (Trojan.Dropper) -> No action taken.
    D:\change\winrar\wrar390b4ru.exe (Trojan.FakeAlert) -> No action taken.
    D:\DISTREB\windows\Zver CD SP3 New\WPI\Install\MD8\Rus.exe (Malware.Packer.Gen) -> No action taken.
    D:\DISTREB\проги для открытия exe\PEiD0.95\PEiD 0.95\Plugins\ExtOverlay.DLL (Trojan.Dropper.PGen) -> No action taken.
    D:\DISTREB\проги для открытия exe\PEiD0.95\PEiD 0.95\Plugins\Frant.dll (Malware.Packer.Gen) -> No action taken.
    D:\DISTREB\проги для открытия exe\PEiD0.95\PEiD 0.95\Plugins\IDToText.DLL (Trojan.Dropper.PGen) -> No action taken.
    D:\DISTREB\проги для открытия exe\PEiD0.95\PEiD 0.95\Plugins\OEP and Scan\oreansid.dat (Trojan.Agent) -> No action taken.
    D:\DISTREB\проги для открытия exe\PEiD0.95\PEiD 0.95\Plugins\OEP and Scan\oreansid.dll (Trojan.Dropper.PGen) -> No action taken.
    D:\DISTREB\проги для открытия exe\PEiD0.95\PEiD 0.95\Plugins\Pack\UPXScramb.dll (Trojan.KillAV) -> No action taken.
    Следуйте рекомендациям akoK..!
    Повторите логи..!:)
     
    Последнее редактирование: 24 окт 2010
    4 пользователям это понравилось.
  10. Newi
    Оффлайн

    Newi Активный пользователь

    Сообщения:
    19
    Симпатии:
    0
    то, что рекомендовал Акок, всё сделано или что-то не так или надо еще повторить? (карантин отправлен через форму в сообщении Акок).

    а как удалить строки, найденные MBAM? он ведь закрылся, когда комп перезагружался после выполнения скрипта.
     
  11. icotonev
    Оффлайн

    icotonev Ассоциация VN

    Сообщения:
    1.406
    Симпатии:
    1.643
  12. Newi
    Оффлайн

    Newi Активный пользователь

    Сообщения:
    19
    Симпатии:
    0
    В МВАМ во вкладке Отчеты у меня пусто :( и как написано в инструкции к МВАМ, я ничего не удаляла

    скрипты от акоК сейчас повторю. отправить с помощью той же формы? или перед повторением скриптов надо все-таки удалить строки в МВАМ?
     
    Последнее редактирование: 24 окт 2010
  13. icotonev
    Оффлайн

    icotonev Ассоциация VN

    Сообщения:
    1.406
    Симпатии:
    1.643
    шаг 1.Удаление строк в МБАМ..!
    шаг 2.Повторите логи с АВЗ....в соответствии с правилами..!

    Вы принесли его один раз .........?Повторение не нужно..!:)
     
  14. Newi
    Оффлайн

    Newi Активный пользователь

    Сообщения:
    19
    Симпатии:
    0
    Я правильно понимаю, мне нужно опять запустить МВАМ, удалить все строки (т.к. до этого я этого не делала и вкладка Отчеты у меня пустая), затем выполнить и скрипты от акоК и отправить ? :)
     
  15. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Да все правильно.

    Карантин пришел пустой.
     
  16. icotonev
    Оффлайн

    icotonev Ассоциация VN

    Сообщения:
    1.406
    Симпатии:
    1.643

    Newi, Вы принесли его один раз .........?Повторение не нужно..!Повторите логи с АВЗ..!
     
  17. icotonev
    Оффлайн

    icotonev Ассоциация VN

    Сообщения:
    1.406
    Симпатии:
    1.643
    Повторите логи с АВЗ..!
     
  18. Newi
    Оффлайн

    Newi Активный пользователь

    Сообщения:
    19
    Симпатии:
    0
    так, отчитываюсь.

    МВАМ был запущен по-новой, сканирование длилось 54 мин., лог не прилагаю. Все было найдено теперь удалено как надо, компьютер перезагружен, отчет сохранен.

    После этого выполнен скрипт

    комп перезагружен

    потом

    карантин отправляю заново, но похоже он опять пустой, так как 3 кб, как в прошлый раз. Делаю, все как описано выше или ...
     
  19. icotonev
    Оффлайн

    icotonev Ассоциация VN

    Сообщения:
    1.406
    Симпатии:
    1.643
    Повторите логи с АВЗ..! :)
     
  20. Newi
    Оффлайн

    Newi Активный пользователь

    Сообщения:
    19
    Симпатии:
    0
    какие? опять запустить АВЗ, "Файл=> Стандартные скрипты" выполнить Скрипт 3 - Перезагрузка, затем Скрипт 2 ? и переслать логи ?

    простите , не совсем понимаю :-(
     
    Последнее редактирование: 24 окт 2010
Статус темы:
Закрыта.

Поделиться этой страницей