• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Решена Проблемы с соц.сетями и почтой

Статус
В этой теме нельзя размещать новые ответы.

toni4ka

Активный пользователь
Сообщения
69
Симпатии
8
#1
Добрый вечер!
Проблема со входом в соц.сети и почту. Требует отправить смс.
Заражены два компьютера, связывающиеся через роутер. Хотелось бы излечить оба.

1-й
 

Вложения

Ботан

Злостный спам-бот
Сообщения
970
Симпатии
173
#2
Приветствую toni4ka, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



***​

Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


***​

Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
__________________________________________________
С уважением, администрация SafeZone.
 

Sandor

Ассоциация VN/VIP
Сообщения
3,827
Симпатии
1,333
#3
Здравствуйте!
Одни компьютер - одна тема. В этой теме будем заниматься первым компьютером, а логи для второго модераторы перенесут.

Закройте все программы, временно выгрузите антивирус, фаерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):
Код:
begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
  if not IsWOW64
   then
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
    end;
 QuarantineFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\sga_disk_s.bat','');
 QuarantineFile('C:\WINDOWS\Temp\3fd85.exe','');
 QuarantineFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\Mozilla\zueapfm.exe','');
 DeleteFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\Mozilla\zueapfm.exe');
 DeleteFile('C:\WINDOWS\Tasks\hv4v.job');
 DeleteFile('C:\WINDOWS\Tasks\rtpfjcg.job');
 DeleteFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\sga_disk_s.bat');
 DeleteFile('C:\WINDOWS\Temp\3fd85.exe');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 ExecuteRepair(13);
 ExecuteWizard('SCU',2,3,true);
 RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Пофиксите в HijackThis (если останутся) следующие строчки:
Код:
O1 - Hosts: ggg
O1 - Hosts: 66.85.174.29 ok.ru
O1 - Hosts: 66.85.174.29 odnoklassniki.ru
O1 - Hosts: 66.85.174.29 www.odnoklassniki.ru
O1 - Hosts: 66.85.174.29 m.odnoklassniki.ru
O1 - Hosts: 66.85.174.29 ok.ru
O1 - Hosts: 66.85.174.29 m.ok.ru
O1 - Hosts: 66.85.174.29 www.odnoklassniki.ru
O1 - Hosts: gno11114
O1 - Hosts: 66.85.174.29 ok.ru
O1 - Hosts: 66.85.174.29 odnoklassniki.ru
O1 - Hosts: 66.85.174.29 www.odnoklassniki.ru
O1 - Hosts: 66.85.174.29 m.odnoklassniki.ru
O1 - Hosts: 66.85.174.29 ok.ru
O1 - Hosts: 66.85.174.29 m.ok.ru
O1 - Hosts: 66.85.174.29 www.odnoklassniki.ru
O4 - HKCU\..\Run: [4Y3Y0C3A1F7W1VYEYILH] C:\Recycle.Bin\B6232F3ABE9.exe /q
O4 - Startup: sga_disk_s.bat
У вас установлена Malwarebytes' Anti-Malware. Покажите лог сканирования. Если не сохранился, обновите базы и сделайте полное сканирование, самостоятельно ничего не удаляйте!. Приложите лог.

Повторите логи AVZ (стандартный скрипт 2) и RSIT.
 

toni4ka

Активный пользователь
Сообщения
69
Симпатии
8
#4
Добрый день)))

1. После выполнения первого скрипта появился синий экран, пришлось вручную перезагружать комп.

2. Таких строк нет
O1 - Hosts: ggg
O1 - Hosts: 66.85.174.29 ok.ru
O1 - Hosts: 66.85.174.29 odnoklassniki.ru
O1 - Hosts: 66.85.174.29 www.odnoklassniki.ru
O1 - Hosts: 66.85.174.29 m.odnoklassniki.ru
O1 - Hosts: 66.85.174.29 ok.ru
O1 - Hosts: 66.85.174.29 m.ok.ru
O1 - Hosts: 66.85.174.29 www.odnoklassniki.ru
O1 - Hosts: gno11114
O1 - Hosts: 66.85.174.29 ok.ru
O1 - Hosts: 66.85.174.29 odnoklassniki.ru
O1 - Hosts: 66.85.174.29 www.odnoklassniki.ru
O1 - Hosts: 66.85.174.29 m.odnoklassniki.ru
O1 - Hosts: 66.85.174.29 ok.ru
O1 - Hosts: 66.85.174.29 m.ok.ru
O1 - Hosts: 66.85.174.29 www.odnoklassniki.ru

3. Прикладываю лог

4. Прикрепляю отчеты AVZ (стандартный скрипт 2) и RSIT
 

Вложения

Sandor

Ассоциация VN/VIP
Сообщения
3,827
Симпатии
1,333
#5
Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).

Подробнее читайте в руководстве

Код:
Обнаруженные ключи в реестре:  4
HKCR\CLSID\{82184935-B894-4AB2-8590-603BA7D74B71} (Trojan.WebMoner) -> Действие не было предпринято.
HKCR\Photoshop-002.eProtocol (Trojan.WebMoner) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\prorab morozennoe (Trojan.StartPage.ooo) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\miss zaglotnik (Trojan.Agent.VBS) -> Действие не было предпринято.

Обнаруженные параметры в реестре:  1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|4Y3Y0C3A1F7W1VYEYILH (Trojan.SpyEyes) -> Параметры: C:\Recycle.Bin\B6232F3ABE9.exe /q -> Действие не было предпринято.
Обнаруженные папки:  3
C:\Program Files\est\prorab (Trojan.StartPage.ooo) -> Действие не было предпринято.
C:\Recycle.Bin (Trojan.Spyeyes) -> Действие не было предпринято.
C:\Program Files\minet\miss (Trojan.Agent.VBS) -> Действие не было предпринято.
Обнаруженные файлы:
C:\WINDOWS\system32\drivers\etc\hоsts (Hijack.Trace) -> Действие не было предпринято.
C:\Program Files\est\prorab\agaaga_sting.vbs (Trojan.StartPage.ooo) -> Действие не было предпринято.
C:\Program Files\est\prorab\apelsinovi_srach.vbs (Trojan.StartPage.ooo) -> Действие не было предпринято.
C:\Program Files\est\prorab\horosim.plo (Trojan.StartPage.ooo) -> Действие не было предпринято.
C:\Program Files\est\prorab\lllllllllllllllllllllllllllllllllllllllllllllllllll.ass (Trojan.StartPage.ooo) -> Действие не было предпринято.
C:\Program Files\est\prorab\ojlikomfast.bat (Trojan.StartPage.ooo) -> Действие не было предпринято.
C:\Program Files\est\prorab\plohim_bit_ochen.horoso (Trojan.StartPage.ooo) -> Действие не было предпринято.
C:\Program Files\est\prorab\saldfbgklabglkjbalkjgblkasbalsdfbaslkjdfbaskjfdblsakdf.ggg (Trojan.StartPage.ooo) -> Действие не было предпринято.
C:\Program Files\est\prorab\Uninstall.exe (Trojan.StartPage.ooo) -> Действие не было предпринято.
C:\Program Files\est\prorab\Uninstall.ini (Trojan.StartPage.ooo) -> Действие не было предпринято.
C:\Program Files\est\prorab\_ti_zapomni_glavnoe.bat (Trojan.StartPage.ooo) -> Действие не было предпринято.
C:\Recycle.Bin\499E6A84225B23B (Trojan.Spyeyes) -> Действие не было предпринято.
C:\Program Files\minet\miss\horocho_bistro.bat (Trojan.Agent.VBS) -> Действие не было предпринято.
C:\Program Files\minet\miss\kjb4rtiyugwuiytefwil45hyopwegtruowet.sdfhisaugf (Trojan.Agent.VBS) -> Действие не было предпринято.
C:\Program Files\minet\miss\lock_docg_snop_dog.rrr (Trojan.Agent.VBS) -> Действие не было предпринято.
C:\Program Files\minet\miss\palachi_na_dibah.hhhh (Trojan.Agent.VBS) -> Действие не было предпринято.
C:\Program Files\minet\miss\shabash.log (Trojan.Agent.VBS) -> Действие не было предпринято.
C:\Program Files\minet\miss\smoki_mo_mo_mo.vbs (Trojan.Agent.VBS) -> Действие не было предпринято.
C:\Program Files\minet\miss\trehochkovi_ne_dlya.vbs (Trojan.Agent.VBS) -> Действие не было предпринято.
C:\Program Files\minet\miss\TURboPenis_tehno_prank.bat (Trojan.Agent.VBS) -> Действие не было предпринято.
C:\Program Files\minet\miss\Uninstall.exe (Trojan.Agent.VBS) -> Действие не было предпринято.
C:\Program Files\minet\miss\Uninstall.ini (Trojan.Agent.VBS) -> Действие не было предпринято.
После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

Повторите логи AVZ (стандартный скрипт 2) и RSIT
 

toni4ka

Активный пользователь
Сообщения
69
Симпатии
8
#6
1. Выделенные удалила;

2. Проверила заново, лог прикладываю;

3. Повторила логи AVZ (стандартный скрипт 2) и RSIT, прикладываю.
 

Вложения

toni4ka

Активный пользователь
Сообщения
69
Симпатии
8
#8
Красота! Все работает!

Огромное спасибо за помощь.:good2::good2::good2:

Подскажите еще пожалуйста, как отгородиться от этой заразы)))
 

Sandor

Ассоциация VN/VIP
Сообщения
3,827
Симпатии
1,333
#9
Обязательно подскажем))

MBAM деинсталлируйте.

Для профилактики повторных заражений скачайте и запустите SecurityCheck by glax24, когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности. Скачайте и установите обновления по ссылкам.

После удаления вредоносного ПО
 

toni4ka

Активный пользователь
Сообщения
69
Симпатии
8
#10
Security Check

Security Check by glax24 version 0.1.6.55 rc2
WebSite: www.safezone.cc
DataLog 28.05.2013 18:41:30
Program directory: C:\WINDOWS\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True
XML File - VersionInet=4.3
Диск C:\ ФС: NTFS Емкость: (29.3 Гб) Занято: (14.7 Гб) Свободно: (14.6 Гб)
__________________________________________________

WIN_XP(5.1) Build 2600 (x86) Lang: Russian(0419)
Дата установки ОС: 06.06.2012 13:08:17
Service Pack 3
Internet Explorer 8.0.6001.18702
-------------Windows------------------------------
Загружать автоматически обновления и устанавливать по заданному расписанию
Дата установки обновлений: 2013-05-15 19:05:41
Автоматическое обновление (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
-------------Antivirus_WMI------------------------
Антивирус Касперского
Антивирус устарел
Сканирование отключено
-------------Firewall_WMI-------------------------
-------------AntiVirusFirewallInstall-------------
Антивирус Касперского 2009 v.8.0.0.506
-------------OtherUtilities-----------------------
Malwarebytes Anti-Malware, версия 1.75.0.1300 v.1.75.0.1300
-------------Java---------------------------------
Java(TM) 6 Update 39 v.6.0.390 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jdk-6u45-windows-i586.exe)^
Java 7 Update 21 v.7.0.210
Java(TM) SE Development Kit 6 Update 26 v.1.6.0.260 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jdk-7u21-windows-i586.exe)^
Java DB 10.6.2.1 v.10.6.2.1
-------------AppleProduction----------------------
QuickTime v.7.73.80.64
-------------AdobeProduction----------------------
Adobe Flash Player 11 ActiveX v.11.7.700.202
Adobe Flash Player 11 Plugin v.11.7.700.202
Adobe Reader XI (11.0.03) v.11.0.03 [+]
-------------Browser------------------------------
Google Chrome v.27.0.1453.94
Mozilla Firefox 17.0 (x86 ru) v.17.0 Внимание! Скачать обновления
Opera 12.15 v.12.15.1748
Safari v.5.34.57.2
-------------RunningProcess-----------------------
C:\Program Files\Opera\opera.exe v.12.15.1748.0
-------------EndLog-------------------------------

Добавлено через 31 минуту 32 секунды
Security Check by glax24 version 0.1.6.55 rc2
WebSite: www.safezone.cc
DataLog 28.05.2013 19:13:06
Program directory: C:\WINDOWS\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True
XML File - VersionInet=4.3
Диск C:\ ФС: NTFS Емкость: (29.3 Гб) Занято: (15 Гб) Свободно: (14.3 Гб)
__________________________________________________

WIN_XP(5.1) Build 2600 (x86) Lang: Russian(0419)
Дата установки ОС: 06.06.2012 13:08:17
Service Pack 3
Internet Explorer 8.0.6001.18702
-------------Windows------------------------------
Загружать автоматически обновления и устанавливать по заданному расписанию
Дата установки обновлений: 2013-05-15 19:05:41
Автоматическое обновление (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
-------------Antivirus_WMI------------------------
Антивирус Касперского
Антивирус устарел
Сканирование отключено
-------------Firewall_WMI-------------------------
-------------AntiVirusFirewallInstall-------------
Антивирус Касперского 2009 v.8.0.0.506
-------------OtherUtilities-----------------------
Malwarebytes Anti-Malware, версия 1.75.0.1300 v.1.75.0.1300
-------------Java---------------------------------
Java 7 Update 21 v.7.0.210
Java DB 10.6.2.1 v.10.6.2.1
-------------AppleProduction----------------------
QuickTime v.7.73.80.64
-------------AdobeProduction----------------------
Adobe Flash Player 11 ActiveX v.11.7.700.202
Adobe Flash Player 11 Plugin v.11.7.700.202
Adobe Reader XI (11.0.03) v.11.0.03 [+]
-------------Browser------------------------------
Google Chrome v.27.0.1453.94
Mozilla Firefox 21.0 (x86 ru) v.21.0
Opera 12.15 v.12.15.1748
Safari v.5.34.57.2
-------------RunningProcess-----------------------
C:\Program Files\Opera\opera.exe v.12.15.1748.0
-------------EndLog-------------------------------

Добавлено через 49 секунд
Кроме антивируса, буду сносить и устанавливать новый)))
 

akok

Команда форума
Администратор
Сообщения
13,797
Симпатии
11,607
#11
Тему отмечаю решенной. Удачи!
 
Статус
В этой теме нельзя размещать новые ответы.