1. Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.
    Если у вас возникли проблемы с регистрацией на форуме - то вы можете сообщить об этом с помощью этой формы без авторизации,администрация форума обязательно отреагирует на вашу проблему.
    Скрыть объявление

Решена Валидация аккаунта

Тема в разделе "Удаление компьютерных вирусов", создана пользователем Kol9n4ik, 3 сен 2012.

Статус темы:
Закрыта.
  1. Kol9n4ik

    Kol9n4ik Активный пользователь

    Сообщения:
    9
    Симпатии:
    0
    Доброго времени суток!и сново я!на сей раз заразился стационарый комп...вирус с одной стороны безобидный,но неприятный!При каждой попытки зайти в контакт требует отправить смс!Уже перепробовал все методы(чистил папку хост,сканировал доктором вебом,касперский ремув тул,чистка авз) - всё бестолку...
    Посмотреть вложение virusinfo_syscheck.zip

    Посмотреть вложение virusinfo_syscure.zip

    Посмотреть вложение info.txt

    Посмотреть вложение log.txt
     
  2. Добро пожаловать!

    Вы обратились в раздел лечения форума Safezone.cc!

    Если Вы этого еще не сделали, выполните пожалуйста правила оформления запроса и прикрепите полученные логи к своему следующему сообщению.

    Ожидайте ответа консультанта.

    Помните, что помощь оказывается бесплатно в свободное от других занятий время.

    Благодарим за ожидание.

     
  3. Ботан

    Ботан Злостный спам-бот

    Сообщения:
    974
    Симпатии:
    194
    Приветствую Kol9n4ik, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
    __________________________________________________

    Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
    • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
    Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.


    __________________________________________________
    С уважением, администрация SafeZone.
     
  4. Severnyj

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    8.492
    Симпатии:
    9.229
    Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     TerminateProcessByName('c:\program files (x86)\common files\spigot\search settings\searchsettings.exe');
     TerminateProcessByName('c:\program files (x86)\application updater\applicationupdater.exe');
     QuarantineFile('C:\Program Files (x86)\Common Files\Spigot\Search Settings\wth.dll','');
     QuarantineFile('C:\Windows\system32\machineupdate32.exe','');
     QuarantineFile('copy C:\Users\kolyan\AppData\Local\Temp\172936873FdOh C:\Windows\system32\drivers\etc\hosts','');
     QuarantineFile('c:\users\kolyan\0.586783727002465.exe','');
     QuarantineFile('c:\program files (x86)\common files\spigot\search settings\searchsettings.exe','');
     QuarantineFile('c:\program files (x86)\application updater\applicationupdater.exe','');
     QuarantineFile('C:\Users\kolyan\AppData\Local\Temp\172936873FdOh','');
     DeleteFile('C:\Users\kolyan\AppData\Local\Temp\172936873FdOh');
     DeleteFile('c:\program files (x86)\application updater\applicationupdater.exe');
     DeleteFile('C:\Program Files (x86)\Common Files\Spigot\Search Settings\SearchSettings.exe');
     DeleteFile('c:\users\kolyan\0.586783727002465.exe');
     DeleteFile('copy C:\Users\kolyan\AppData\Local\Temp\172936873FdOh C:\Windows\system32\drivers\etc\hosts');
     DeleteFile('C:\Windows\system32\machineupdate32.exe');
     DeleteFile('C:\Program Files (x86)\Common Files\Spigot\Search Settings\wth.dll');
     DeleteFileMask('C:\Program Files (x86)\Common Files\Spigot\', '*.*', true);
     DeleteDirectory('C:\Program Files (x86)\Common Files\Spigot\');
     DeleteFileMask('c:\program files (x86)\application updater\', '*.*', true);
     DeleteDirectory('c:\program files (x86)\application updater\');
     DeleteFileMask('C:\ProgramData\zOxtBovxwI0', '*.*', true);
     DeleteDirectory('C:\ProgramData\zOxtBovxwI0');
     RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\S7518765');
     RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\S56159117');
     RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\SearchSettings');
     RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\S10314627');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SearchSettings');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S19414420');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','172936920');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Windows Debugger 32');
    ExecuteSysClean;
     ExecuteRepair(13);
     ExecuteWizard('SCU',2,3,true);
    RebootWindows(true);
    end.
    Компьютер перезагрузится, После перезагрузки:
    - выполните такой скрипт

    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

    Пофиксите в HJT (некоторых строк может уже не быть):

    Код (Text):
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 189.89.208.147:3128
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = vkontakte.ru;www.vkontakte.ru;vk.com;www.vk.com;*.local
    O4 - HKLM\..\Run: [SearchSettings] "C:\Program Files (x86)\Common Files\Spigot\Search Settings\SearchSettings.exe"
    O4 - HKLM\..\Run: [172936920] cmd.exe /c copy C:\Users\kolyan\AppData\Local\Temp\172936873FdOh C:\Windows\system32\drivers\etc\hosts /Y && attrib +H C:\Windows\system32\drivers\etc\hosts /f
    O4 - HKCU\..\Run: [S19414420] c:\users\kolyan\0.586783727002465.exe
    O4 - HKCU\..\Policies\Explorer\Run: [Windows Debugger 32] C:\Windows\system32\machineupdate32.exe
     
    Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
    Самостоятельно ничего не удаляйте!!!
    Если лог не открылся, то найти его можно в следующей папке:
    Код (Text):
    %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
    Подробнее читайте в руководстве
     
    Последнее редактирование: 3 сен 2012
    1 человеку нравится это.
  5. Kol9n4ik

    Kol9n4ik Активный пользователь

    Сообщения:
    9
    Симпатии:
    0
  6. Sfera

    Sfera Куратор обучения Ассоциация VN/VIP VIP

    Сообщения:
    6.327
    Симпатии:
    5.134
    в МВАМ удалите (потребуется повторное сканирование)
    Код (Text):
    Обнаруженные ключи в реестре:  1
    HKCU\Software\winxarj (Hoax.ArchSMS) -> Действие не было предпринято.

    Обнаруженные параметры в реестре:  1
    HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon|SysDebug32 (Trojan.Agent) -> Параметры: жеAD`В“яѓ¬Ц‡зы+єRQv\PёpOбq”[;[hСл=?*1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”ЩНжЪ•Сt[pъ»КХNЪЄепЩн8’IdПК1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”ю;ВWЃбГЖ|uЅqS”…l1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”^eR;Ћ -> Действие не было предпринято.

    Обнаруженные папки:  1
    C:\Recycle.Bin (Trojan.Spyeyes) -> Действие не было предпринято.

    Обнаруженные файлы:
    C:\Users\kolyan\DoctorWeb\Quarantine\VkBot__0.exe (RiskWare.Tool.Vkbot) -> Действие не было предпринято.
    C:\Users\kolyan\AppData\Roaming\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
    C:\Recycle.Bin\45827F9C4E1FB66 (Trojan.Spyeyes) -> Действие не было предпринято.
     
    логи АВЗ повторите

    Выполните сканирование. Лог приложите

    Добавлено через 6 минут 22 секунды
    Пароли смените
     
    2 пользователям это понравилось.
  7. Kol9n4ik

    Kol9n4ik Активный пользователь

    Сообщения:
    9
    Симпатии:
    0
  8. shestale

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    9.127
    Симпатии:
    4.838
    В логах чисто.

    Для исправления
    Запустите AVZ -> меню Файл -> Восстановление системы
    отметьте пункт №1 нажмите - выполнить отмеченные операции.

    В целях безопасности UAC отключать не рекомендуется.

    Установите SP1 для Windows7 (может потребоваться активация) + все новые обновления для Windows7.

    В целях безопасности обновите Internet Explorer, даже если им не пользуетесь.

    Обновите Java до актуальной версии.

    Обновите Adobe Reader до актуальной версии.

    Обновите Adobe Flash Player до актуальной версии.

    Mozilla Thunderbird (3.1.9) также обновите до актуальной версии, для этого
    Проблема решена? Что-то еще беспокоит?
     
    Последнее редактирование: 6 сен 2012
    3 пользователям это понравилось.
  9. Kol9n4ik

    Kol9n4ik Активный пользователь

    Сообщения:
    9
    Симпатии:
    0
    Спасибо!! Всё работает на "Ура" !
     
  10. shestale

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    9.127
    Симпатии:
    4.838
Загрузка...
Статус темы:
Закрыта.

Поделиться этой страницей