Решена Заблокирован доступ в интернет и маил.ру агент

Статус
В этой теме нельзя размещать новые ответы.

Newi

Активный пользователь
Сообщения
19
Симпатии
0
Баллы
301
#1
Здравствуйте! Помогите, пожалуйста! Не могу зайти в маил.ру агент, ни одна страница не грузится, работает только Скайп. DrWeb CureIT ничего не находит.

После сканирования компьютера AVZ, HiJackThis, RSIT доступ к страницам появился, но агент до сих не работает и беспокоит, что было? хочется убить эту заразу, чтоб больше не возвращалась
 

Вложения

Последнее редактирование:

icotonev

Ассоциация VN
Сообщения
1,423
Симпатии
1,165
Баллы
543
#2
Newi, Добро пожаловать на VirusNet..!

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
 

Newi

Активный пользователь
Сообщения
19
Симпатии
0
Баллы
301
#3
Спасибо!!! пока сканируется, можно вопрос ? ;-) по выше прикрепленным логам уже можно сделать какой-то вывод?
 

akok

Команда форума
Администратор
Сообщения
15,465
Симпатии
12,573
Баллы
2,203
#4
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
 ClearQuarantine;
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS\System32\Drivers\TosIde.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\lbrtfdc.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\mrxcls.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\mrxnet.sys','');
 DeleteFile('C:\WINDOWS\system32\Drivers\mrxnet.sys');
 DeleteFile('C:\WINDOWS\system32\Drivers\mrxcls.sys');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 DeleteService('MRxNet');
 DeleteService('MRxCls');
 BC_ImportALL;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте при помощи этой формы

Ждем лог MBAM.

Добавлено через -1 минут -41 секунд
по выше прикрепленным логам уже можно сделать какой-то вывод?
Только косвенные.
 

icotonev

Ассоциация VN
Сообщения
1,423
Симпатии
1,165
Баллы
543
#5
У меня есть сомнения ''Stuxnet ''....но я прошу вас быть терпеливыми..!
 

Newi

Активный пользователь
Сообщения
19
Симпатии
0
Баллы
301
#6
По поводу Stuxnet ... это, который по сети заражает winsta.exe и съедает всё свободное место на системном диске? да, было такое недавно, но как я думала, он был успешно излечен :-(

Malawarebytes еще сканирует. Терплю :) спасибо, ВАМ !!!!
 

Newi

Активный пользователь
Сообщения
19
Симпатии
0
Баллы
301
#7
уфф.. доступ в интернет на том компьютере опять заблокировался, пишу с другого.

вот лог от Malwarebytes ' Anti-Malware

иду запускать AVZ и выполнять скрипт
 

Вложения

Последнее редактирование:

Newi

Активный пользователь
Сообщения
19
Симпатии
0
Баллы
301
#8
скрипты выполнены, файл отправлен.
 

icotonev

Ассоциация VN
Сообщения
1,423
Симпатии
1,165
Баллы
543
#9
Newi, Удалить следующие строки найдены МБАМ..:

Код:
Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MRXCLS (Rootkit.TmpHider) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MRXNET (Rootkit.TmpHider) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxCls (Rootkit.TmpHider) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxNet (Rootkit.TmpHider) -> No action taken.
C:\WINDOWS\inf\mdmcpq3.PNF (Rootkit.TmpHider) -> No action taken.
C:\WINDOWS\inf\mdmeric3.PNF (Rootkit.TmpHider) -> No action taken.
C:\WINDOWS\inf\oem6C.PNF (Rootkit.TmpHider) -> No action taken.
C:\сарафаны\klipart_-_jenskie_vechernie_platya-21335763.exe (Trojan.Dropper) -> No action taken.
D:\change\winrar\wrar390b4ru.exe (Trojan.FakeAlert) -> No action taken.
D:\DISTREB\windows\Zver CD SP3 New\WPI\Install\MD8\Rus.exe (Malware.Packer.Gen) -> No action taken.
D:\DISTREB\проги для открытия exe\PEiD0.95\PEiD 0.95\Plugins\ExtOverlay.DLL (Trojan.Dropper.PGen) -> No action taken.
D:\DISTREB\проги для открытия exe\PEiD0.95\PEiD 0.95\Plugins\Frant.dll (Malware.Packer.Gen) -> No action taken.
D:\DISTREB\проги для открытия exe\PEiD0.95\PEiD 0.95\Plugins\IDToText.DLL (Trojan.Dropper.PGen) -> No action taken.
D:\DISTREB\проги для открытия exe\PEiD0.95\PEiD 0.95\Plugins\OEP and Scan\oreansid.dat (Trojan.Agent) -> No action taken.
D:\DISTREB\проги для открытия exe\PEiD0.95\PEiD 0.95\Plugins\OEP and Scan\oreansid.dll (Trojan.Dropper.PGen) -> No action taken.
D:\DISTREB\проги для открытия exe\PEiD0.95\PEiD 0.95\Plugins\Pack\UPXScramb.dll (Trojan.KillAV) -> No action taken.
Следуйте рекомендациям akoK..!
Повторите логи..!:)
 
Последнее редактирование:

Newi

Активный пользователь
Сообщения
19
Симпатии
0
Баллы
301
#10
то, что рекомендовал Акок, всё сделано или что-то не так или надо еще повторить? (карантин отправлен через форму в сообщении Акок).

а как удалить строки, найденные MBAM? он ведь закрылся, когда комп перезагружался после выполнения скрипта.
 

icotonev

Ассоциация VN
Сообщения
1,423
Симпатии
1,165
Баллы
543
#11

Newi

Активный пользователь
Сообщения
19
Симпатии
0
Баллы
301
#12
В МВАМ во вкладке Отчеты у меня пусто :( и как написано в инструкции к МВАМ, я ничего не удаляла

скрипты от акоК сейчас повторю. отправить с помощью той же формы? или перед повторением скриптов надо все-таки удалить строки в МВАМ?
 
Последнее редактирование:

icotonev

Ассоциация VN
Сообщения
1,423
Симпатии
1,165
Баллы
543
#13
шаг 1.Удаление строк в МБАМ..!
шаг 2.Повторите логи с АВЗ....в соответствии с правилами..!

скрипты от акоК сейчас повторю
Вы принесли его один раз .........?Повторение не нужно..!:)
 

Newi

Активный пользователь
Сообщения
19
Симпатии
0
Баллы
301
#14
Я правильно понимаю, мне нужно опять запустить МВАМ, удалить все строки (т.к. до этого я этого не делала и вкладка Отчеты у меня пустая), затем выполнить и скрипты от акоК и отправить ? :)
 

akok

Команда форума
Администратор
Сообщения
15,465
Симпатии
12,573
Баллы
2,203
#15
Да все правильно.

Карантин пришел пустой.
 

icotonev

Ассоциация VN
Сообщения
1,423
Симпатии
1,165
Баллы
543
#16
затем выполнить и скрипты от акоК и отправить ?

Newi, Вы принесли его один раз .........?Повторение не нужно..!Повторите логи с АВЗ..!
 

Newi

Активный пользователь
Сообщения
19
Симпатии
0
Баллы
301
#18
так, отчитываюсь.

МВАМ был запущен по-новой, сканирование длилось 54 мин., лог не прилагаю. Все было найдено теперь удалено как надо, компьютер перезагружен, отчет сохранен.

После этого выполнен скрипт

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\System32\Drivers\TosIde.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\lbrtfdc.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\mrxcls.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\mrxnet.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\mrxnet.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\mrxcls.sys');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
DeleteService('MRxNet');
DeleteService('MRxCls');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
комп перезагружен

потом

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
карантин отправляю заново, но похоже он опять пустой, так как 3 кб, как в прошлый раз. Делаю, все как описано выше или ...
 

icotonev

Ассоциация VN
Сообщения
1,423
Симпатии
1,165
Баллы
543
#19
Повторите логи с АВЗ..! :)
 
/div>

Newi

Активный пользователь
Сообщения
19
Симпатии
0
Баллы
301
#20
какие? опять запустить АВЗ, "Файл=> Стандартные скрипты" выполнить Скрипт 3 - Перезагрузка, затем Скрипт 2 ? и переслать логи ?

простите , не совсем понимаю :-(
 
Последнее редактирование:
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу