• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Валидация аккаунта

Статус
В этой теме нельзя размещать новые ответы.

Kol9n4ik

Активный пользователь
Сообщения
9
Реакции
0
Баллы
301
Доброго времени суток!и сново я!на сей раз заразился стационарый комп...вирус с одной стороны безобидный,но неприятный!При каждой попытки зайти в контакт требует отправить смс!Уже перепробовал все методы(чистил папку хост,сканировал доктором вебом,касперский ремув тул,чистка авз) - всё бестолку...
Посмотреть вложение virusinfo_syscheck.zip

Посмотреть вложение virusinfo_syscure.zip

Посмотреть вложение info.txt

Посмотреть вложение log.txt
 

Ботан

Злостный спам-бот
Сообщения
1,030
Реакции
128
Баллы
453
Приветствую Kol9n4ik, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.


__________________________________________________
С уважением, администрация SafeZone.
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,501
Реакции
5,658
Баллы
753
Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\program files (x86)\common files\spigot\search settings\searchsettings.exe');
 TerminateProcessByName('c:\program files (x86)\application updater\applicationupdater.exe');
 QuarantineFile('C:\Program Files (x86)\Common Files\Spigot\Search Settings\wth.dll','');
 QuarantineFile('C:\Windows\system32\machineupdate32.exe','');
 QuarantineFile('copy C:\Users\kolyan\AppData\Local\Temp\172936873FdOh C:\Windows\system32\drivers\etc\hosts','');
 QuarantineFile('c:\users\kolyan\0.586783727002465.exe','');
 QuarantineFile('c:\program files (x86)\common files\spigot\search settings\searchsettings.exe','');
 QuarantineFile('c:\program files (x86)\application updater\applicationupdater.exe','');
 QuarantineFile('C:\Users\kolyan\AppData\Local\Temp\172936873FdOh','');
 DeleteFile('C:\Users\kolyan\AppData\Local\Temp\172936873FdOh');
 DeleteFile('c:\program files (x86)\application updater\applicationupdater.exe');
 DeleteFile('C:\Program Files (x86)\Common Files\Spigot\Search Settings\SearchSettings.exe');
 DeleteFile('c:\users\kolyan\0.586783727002465.exe');
 DeleteFile('copy C:\Users\kolyan\AppData\Local\Temp\172936873FdOh C:\Windows\system32\drivers\etc\hosts');
 DeleteFile('C:\Windows\system32\machineupdate32.exe');
 DeleteFile('C:\Program Files (x86)\Common Files\Spigot\Search Settings\wth.dll');
 DeleteFileMask('C:\Program Files (x86)\Common Files\Spigot\', '*.*', true);
 DeleteDirectory('C:\Program Files (x86)\Common Files\Spigot\');
 DeleteFileMask('c:\program files (x86)\application updater\', '*.*', true);
 DeleteDirectory('c:\program files (x86)\application updater\');
 DeleteFileMask('C:\ProgramData\zOxtBovxwI0', '*.*', true);
 DeleteDirectory('C:\ProgramData\zOxtBovxwI0');
 RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\S7518765');
 RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\S56159117');
 RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\SearchSettings');
 RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\S10314627');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SearchSettings');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S19414420');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','172936920');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Windows Debugger 32');
ExecuteSysClean;
 ExecuteRepair(13);
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Пофиксите в HJT (некоторых строк может уже не быть):

Код:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 189.89.208.147:3128
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = vkontakte.ru;www.vkontakte.ru;vk.com;www.vk.com;*.local
O4 - HKLM\..\Run: [SearchSettings] "C:\Program Files (x86)\Common Files\Spigot\Search Settings\SearchSettings.exe"
O4 - HKLM\..\Run: [172936920] cmd.exe /c copy C:\Users\kolyan\AppData\Local\Temp\172936873FdOh C:\Windows\system32\drivers\etc\hosts /Y && attrib +H C:\Windows\system32\drivers\etc\hosts /f
O4 - HKCU\..\Run: [S19414420] c:\users\kolyan\0.586783727002465.exe
O4 - HKCU\..\Policies\Explorer\Run: [Windows Debugger 32] C:\Windows\system32\machineupdate32.exe
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве
 
Последнее редактирование:

Sfera

Куратор обучения
Ассоциация VN/VIP
VIP
Сообщения
6,310
Реакции
4,778
Баллы
753
в МВАМ удалите (потребуется повторное сканирование)
Код:
Обнаруженные ключи в реестре:  1
HKCU\Software\winxarj (Hoax.ArchSMS) -> Действие не было предпринято.

Обнаруженные параметры в реестре:  1
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon|SysDebug32 (Trojan.Agent) -> Параметры: жеAD`В“яѓ¬Ц‡зы+єRQv\PёpOбq”[;[hСл=?*1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”ЩНжЪ•Сt[pъ»КХNЪЄепЩн8’IdПК1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”ю;ВWЃбГЖ|uЅqS”…l1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”1RK®ћ?z”^eR;Ћ -> Действие не было предпринято.

Обнаруженные папки:  1
C:\Recycle.Bin (Trojan.Spyeyes) -> Действие не было предпринято.

Обнаруженные файлы: 
C:\Users\kolyan\DoctorWeb\Quarantine\VkBot__0.exe (RiskWare.Tool.Vkbot) -> Действие не было предпринято.
C:\Users\kolyan\AppData\Roaming\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
C:\Recycle.Bin\45827F9C4E1FB66 (Trojan.Spyeyes) -> Действие не было предпринято.
логи АВЗ повторите

Выполните сканирование. Лог приложите

Добавлено через 6 минут 22 секунды
Пароли смените
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
4,654
Баллы
753
В логах чисто.

Для исправления
>> Нарушение ассоциации SCR файлов
Запустите AVZ -> меню Файл -> Восстановление системы
отметьте пункт №1 нажмите - выполнить отмеченные операции.

В целях безопасности UAC отключать не рекомендуется.

Установите SP1 для Windows7 (может потребоваться активация) + все новые обновления для Windows7.

В целях безопасности обновите Internet Explorer, даже если им не пользуетесь.

Обновите Java до актуальной версии.

Обновите Adobe Reader до актуальной версии.

Обновите Adobe Flash Player до актуальной версии.

Mozilla Thunderbird (3.1.9) также обновите до актуальной версии, для этого
нажмите - Справка - О Thunderbird - Проверить наличие обновлений
Проблема решена? Что-то еще беспокоит?
 
Последнее редактирование:
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу