Решена Вирусный вирусник на clubrelaxxxx.com: проблема с открытием ссылок

Статус
В этой теме нельзя размещать новые ответы.

urik580580

Новый пользователь
Сообщения
11
Реакции
0
При открытии любой ссылки вылезает данное окно, думаю вы уже наслышены об этом вируснике. Контакт так же не работает, прошу помочь.
 

Вложения

  • info.txt
    44 KB · Просмотры: 0
  • log.txt
    67 KB · Просмотры: 2
  • virusinfo_syscheck.zip
    31.6 KB · Просмотры: 1
  • virusinfo_syscure.zip
    30.1 KB · Просмотры: 2
Приветствую urik580580, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



***​

Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


***​

Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
__________________________________________________
С уважением, администрация SafeZone.
 
1. Закройте все программы, отключите антивирус, файрволл и прочее защитное ПО.

AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe','stop tcpip /y',0,15000,true);
if not IsWOW64
 then
  begin
   SearchRootkit(true,true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\1\AppData\Local\Temp\20561836FdOh','');
 QuarantineFile('C:\Users\1\AppData\Local\Temp\1636528FdOh','');
 QuarantineFileF('C:\ProgramData\AHzYRGSwc3s','*.*',false,'',0,0);
 DeleteFile('C:\Users\1\AppData\Local\Temp\1636528FdOh');
 DeleteFile('C:\Users\1\AppData\Local\Temp\20561836FdOh');
 DeleteFile('C:\Windows\tasks\At2.job');
 DeleteFileMask('C:\ProgramData\AHzYRGSwc3s','*.*',true);
 DeleteDirectory('C:\ProgramData\AHzYRGSwc3s');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','1636575');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','20561914');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
 ExecuteRepair(13);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

2. После перезагрузки, выполните такой скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

3. Полученный архив quarantine.zip из папки с AVZ, отправьте с помощью этой формы или на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @), укажите ссылку на тему и ник на форуме.

4. Пофиксите в HJT эти строки (некоторых строк после выполнения скрипта AVZ может уже и не быть):
Код:
R3 - URLSearchHook: (no name) -  - (no file)
O1 - Hosts: 46.251.249.137 odnoklassniki.ru m.vk.com wap.odnoklassniki.ru my.mail.ru www.odnoklassniki.ru vk.com m.odnoklassniki.ru
O1 - Hosts: 46.251.249.136 counter.spylog.com counter.rambler.ru mc.yandex.ru admulti.com www.google-analytics.com
O4 - HKLM\..\Run: [20561914] cmd.exe /c copy C:\Users\1\AppData\Local\Temp\20561836FdOh C:\Windows\system32\drivers\etc\hosts /Y && attrib +H C:\Windows\system32\drivers\etc\hosts /f
O4 - HKLM\..\Run: [1636575] cmd.exe /c copy C:\Users\1\AppData\Local\Temp\1636528FdOh C:\Windows\system32\drivers\etc\hosts /Y && attrib +H C:\Windows\system32\drivers\etc\hosts /f

5. Сделайте новые логи AVZ и Rsit и прикрепите их к сообщению.

6. Скачайте TDSSKiller, распакуйте в корень системного диска. Нажмите Пуск -> выполнить. В поле "открыть" впишите команду:
C:\tdsskiller.exe -qmbr -qboot
Папку с карантином C:\TDSSKiller_Quarantine запакуйте с паролем virus и отправьте на адрес quarantine<at>safezone.cc (замените <at> на @) с указанием ссылки на тему и ника на форуме.
Лог после сканирования (файл TDSSKiller_версия_дата_время_log.txt) выложите сюда.

7. Смените все свои пароли на сервисах в интернете.

8. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Программу не закрывайте и самостоятельно ни чего не удаляйте!

9. Сервисом webalta пользуетесь? Если желаете удалить, тогда:
AVZ - сервис - поиск данных в реестре.
В поле "образец" впишите webalta, нажмите "пуск" после окончания сохраните протокол и выложите сюда.
Поиск не закрывайте
 
Сделал всё как вы сказали.

Первый пункт прошёл без проблем.

В четвёртом, как вы и предупреждали, последний двух строчек не было, а при выполнении
O1 - Hosts: 46.251.249.137 odnoklassniki.ru m.vk.com wap.odnoklassniki.ru my.mail.ru www.odnoklassniki.ru vk.com m.odnoklassniki.ru
O1 - Hosts: 46.251.249.136 counter.spylog.com counter.rambler.ru mc.yandex.ru admulti.com www.google-analytics.com
Выдаёт следующие ошибки(Безымянный, Безымянный2).

Сделал новые логи, прикрепил Malwarebytes' Anti-Malware и webalta.
 

Вложения

  • info.txt
    57.6 KB · Просмотры: 0
  • log.txt
    66.3 KB · Просмотры: 2
  • Malwarebytes Anti-Malware.txt
    6.8 KB · Просмотры: 1
  • virusinfo_syscheck.zip
    32.5 KB · Просмотры: 1
  • Безымянный2.png
    Безымянный2.png
    14 KB · Просмотры: 71
  • Безымянный.png
    Безымянный.png
    12.4 KB · Просмотры: 65
  • virusinfo_syscure.zip
    29.6 KB · Просмотры: 0
Запустите HJT по правой кнопке от имени Администратора

Добавлено через 1 минуту 17 секунд
Повторите сканирование в MBAM и удалите все кроме:

Код:
C:\Users\1\AppData\Roaming\QipGuard\QipGuard.exe (Spyware.Zbot) -> Действие не было предпринято.
C:\Users\1\Desktop\Setup_RUS.exe (Trojan.Keylogger.MWP) -> Действие не было предпринято.
C:\Users\1\Documents\adobe_PS_CS5_keygen.exe (Malware.Packer.Gen) -> Действие не было предпринято.
C:\Users\1\Игры\20_keygen4cod4.exe (Trojan.Agent.CK) -> Действие не было предпринято.
 
Запускать HJT от Администратора пробовал, повторные попытки результата не дали.
Удаление в МВАМ выполнил.
Злостный ГИБДДшник всё ещё не даёт зайти мне в VK.
 
  • Если у вас 32 разрядная версия windows, то скачайте GrantPerms.zip
  • Если у вас 64 разрядная версия windows, то необходимо скачать эту версию GrantPerms64.zip
  • Распакуйте архив на Рабочий стол и запустите GrantPerms (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора)
  • В текстовое поле скопируйте и вставьте следующий текст:
    Код:
    C:\Windows\system32\drivers\etc\hosts
  • Нажмите кнопку Unlock.
  • По окончанию разблокирования нажмите Ок
  • Нажмите кнопку List Permissions
  • Откроется Блокнот с текстом отчета.
  • Скопируйте текст отчета в свое следующее сообщение.
 
Код:
GrantPerms by Farbar 
Ran by 1 (administrator) at 2012-11-30 22:03:23

===============================================
\\?\C:\Windows\system32\drivers\etc\hosts

   Owner: NT AUTHORITY\???????

   DACL(NP)(AI):
   NT AUTHORITY\???????   FULL   ALLOW   (I)
   BUILTIN\??????????????   FULL   ALLOW   (I)
   BUILTIN\????????????   READ/EXECUTE   ALLOW   (I)

***64 разрядная версия windows
 
Последнее редактирование модератором:
Отлично))

Выполните скрипт в AVZ:

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
   BackupRegKey('HKEY_LOCAL_MACHINE',
                   'SYSTEM\CurrentControlSet\services\Tcpip\Parameters',
                     'hosts_old');
if not IsWOW64
then {если х86}
 RegKeyParamWrite('HKEY_LOCAL_MACHINE',
                      'SYSTEM\CurrentControlSet\services\Tcpip\Parameters',
                       'DataBasePath',
                        'REG_EXPAND_SZ',
                         '%SystemRoot%\System32\drivers\etc')
else {если х64}
  RegKeyParamWrite('HKEY_LOCAL_MACHINE',
                      'SYSTEM\CurrentControlSet\services\Tcpip\Parameters',
                       'DataBasePath',
                        'REG_EXPAND_SZ',
                         '%SystemRoot%\SysWOW64\drivers\etc');
 ExecuteRepair(13);
 RebootWindows(false);
end.

Компьютер перезагрузится, после перезагрузки:

  • Подготовьте лог OTL by OldTimer, как описано на этой странице.
  • Прикрепите полученные логи OTL.txt и Extra.txt к своему следующему сообщению.
  • Если логи не прикрепляются запакуйте их в архив.

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Search" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R1].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Вот все файлы.
 

Вложения

  • AdwCleaner[R1].txt
    10.5 KB · Просмотры: 1
  • Extras.Txt
    286.8 KB · Просмотры: 0
  • OTL.rar
    55.4 KB · Просмотры: 2
Теперь по порядку:

Первое

  • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Delete" и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[S1].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления может потребоваться перезагрузка компьютера!!!

Второе

  • Запустите повторно OTL by OldTimer или OTL.com или OTL.scr.

    Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  • В окно Custom Scans/Fixes скопируйте следующую информацию:

    Код:
    :processes
    :OTL
    IE:[b]64bit:[/b] - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://start.funmoods.com/?f=1&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzuyB0AyBzytDyDzytDyD0BtC0F0CtDyC0DtN0D0Tzu0CtBtAyEtN1L2XzutBtFtCtFtCtFtAtCtB&cr=558125677
    IE:[b]64bit:[/b] - HKLM\..\SearchScopes\{A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE}: "URL" = http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzuyB0AyBzytDyDzytDyD0BtC0F0CtDyC0DtN0D0Tzu0CtBtAyEtN1L2XzutBtFtCtFtCtFtAtCtB&cr=558125677
    IE - HKLM\..\SearchScopes\{A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE}: "URL" = http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzuyB0AyBzytDyDzytDyD0BtC0F0CtDyC0DtN0D0Tzu0CtBtAyEtN1L2XzutBtFtCtFtCtFtAtCtB&cr=558125677
    FF - HKLM\Software\MozillaPlugins\@ngm.nexoneu.com/NxGame: C:\ProgramData\NexonEU\NGM\npNxGameeu.dll File not found
    O3:[b]64bit:[/b] - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
    O3 - HKLM\..\Toolbar: (no name) - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - No CLSID value found.
    O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
    O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - No CLSID value found.
    O4 - HKLM..\Run: []  File not found
    O4 - HKCU..\Run: []  File not found
    O4 - HKCU..\Run: [Clownfish]  File not found
    O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Low Rights present
    O20 - HKCU Winlogon: Shell - (expstart.exe) - C:\Windows\expstart.exe ()
    MsConfig:64bit - StartUpReg: [b]MAgent[/b] - hkey= - key= -  File not found
    MsConfig:64bit - StartUpReg: [b]multibar.exe[/b] - hkey= - key= -  File not found
    MsConfig:64bit - StartUpReg: [b]Netprotocol[/b] - hkey= - key= -  File not found
    MsConfig:64bit - StartUpReg: [b]Easy-Hide-IP[/b] - hkey= - key= -  File not found
    MsConfig:64bit - StartUpFolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Tabs.lnk -  - File not found
    MsConfig:64bit - State: "startup" - Reg Error: Key error.
    [2012.11.30 20:52:11 | 000,001,628 | ---- | M] () -- C:\Windows\SysNative\drivers\etc\hosts.new
    [2009.07.14 08:55:00 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini
    [2012.08.21 20:23:00 | 000,384,844 | ---- | M] () -- C:\Users\1\AppData\Local\funmoods-speeddial.crx
    [2012.08.23 10:54:09 | 000,004,943 | ---- | M] () -- C:\ProgramData\mtbjfghn.xbe
    :Services
    
    :Files
    
    ipconfig /flushdns /c
    :Reg
    
    :Commands
    [EMPTYTEMP]
    [purity]
    [start explorer]
    [Reboot]
  • Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку "Run Fix"
  • Компьютер перезагрузится.
  • После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

Третье

  • Скачайте FileASSASSIN на Рабочий стол
  • Распакуйте утилиту в отдельную папку.
  • Запустите FileASSASSIN.exe
  • Нажмите кнопку ... и укажите путь к файлу:
    Код:
    C:\Windows\system32\drivers\etc\hosts
  • Поставьте галочку Delete File
  • Нажмите кнопку Execute
  • Укажите повторно путь к
    Код:
    C:\Windows\system32\drivers\etc\hosts
  • Переведите переключатель в положение Use delete jn Windows reboot functions
  • Нажмите кнопку Execute

Четвертое
Сделайте новый лог OTL
 
Как вы сказали.
 

Вложения

  • AdwCleaner[S1].txt
    10.4 KB · Просмотры: 1
  • 12012012_203814.log
    9.2 KB · Просмотры: 1
  • 12012012_202911.log
    9.5 KB · Просмотры: 1
OTL log
 

Вложения

  • Extras.Txt
    287.4 KB · Просмотры: 0
  • OTL.rar
    52.9 KB · Просмотры: 2
Последнее редактирование:
Сделал, как Вы сказали, вот лог.
 

Вложения

  • hijackthis.log
    11.1 KB · Просмотры: 2
Как самочувствие системы?
 
Ничего не помогло, только нажал на поле, чтобы набрать это сообщение, уже перекинуло на этот сайт. VK так же не работает. (Через Avast Save Zone заходит :) )
 
Скачайте ComboFix здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению."
 
Как Вы сказали.
 

Вложения

  • ComboFix.txt
    24 KB · Просмотры: 2
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу