1. Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.
    Если у вас возникли проблемы с регистрацией на форуме - то вы можете сообщить об этом с помощью этой формы без авторизации,администрация форума обязательно отреагирует на вашу проблему.
    Скрыть объявление

Решена Заблокирован доступ в интернет и маил.ру агент

Тема в разделе "Удаление компьютерных вирусов", создана пользователем Newi, 24 окт 2010.

Статус темы:
Закрыта.
  1. Newi

    Newi Активный пользователь

    Сообщения:
    19
    Симпатии:
    0
    Здравствуйте! Помогите, пожалуйста! Не могу зайти в маил.ру агент, ни одна страница не грузится, работает только Скайп. DrWeb CureIT ничего не находит.

    После сканирования компьютера AVZ, HiJackThis, RSIT доступ к страницам появился, но агент до сих не работает и беспокоит, что было? хочется убить эту заразу, чтоб больше не возвращалась
     

    Вложения:

    • info.txt
      Размер файла:
      22,2 КБ
      Просмотров:
      0
    • log.txt
      Размер файла:
      15 КБ
      Просмотров:
      3
    • virusinfo_syscheck.zip
      Размер файла:
      23,6 КБ
      Просмотров:
      0
    • virusinfo_syscure.zip
      Размер файла:
      25 КБ
      Просмотров:
      4
    Последнее редактирование: 24 окт 2010
  2. Добро пожаловать!

    Вы обратились в раздел лечения форума Safezone.cc!

    Если Вы этого еще не сделали, выполните пожалуйста правила оформления запроса и прикрепите полученные логи к своему следующему сообщению.

    Ожидайте ответа консультанта.

    Помните, что помощь оказывается бесплатно в свободное от других занятий время.

    Благодарим за ожидание.

     
  3. icotonev

    icotonev Ассоциация VN

    Сообщения:
    1.424
    Симпатии:
    1.654
    Newi, Добро пожаловать на VirusNet..!

    Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
     
  4. Newi

    Newi Активный пользователь

    Сообщения:
    19
    Симпатии:
    0
    Спасибо!!! пока сканируется, можно вопрос ? ;-) по выше прикрепленным логам уже можно сделать какой-то вывод?
     
  5. akok

    akok Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    13.626
    Симпатии:
    14.716
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):
    begin
     ClearQuarantine;
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\System32\Drivers\TosIde.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\lbrtfdc.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\mrxcls.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\mrxnet.sys','');
     DeleteFile('C:\WINDOWS\system32\Drivers\mrxnet.sys');
     DeleteFile('C:\WINDOWS\system32\Drivers\mrxcls.sys');
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
     DeleteService('MRxNet');
     DeleteService('MRxCls');
     BC_ImportALL;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.

    Полученный архив отправьте при помощи этой формы

    Ждем лог MBAM.

    Добавлено через -1 минут -41 секунд
    Только косвенные.
     
    2 пользователям это понравилось.
  6. icotonev

    icotonev Ассоциация VN

    Сообщения:
    1.424
    Симпатии:
    1.654
    У меня есть сомнения ''Stuxnet ''....но я прошу вас быть терпеливыми..!
     
  7. Newi

    Newi Активный пользователь

    Сообщения:
    19
    Симпатии:
    0
    По поводу Stuxnet ... это, который по сети заражает winsta.exe и съедает всё свободное место на системном диске? да, было такое недавно, но как я думала, он был успешно излечен :-(

    Malawarebytes еще сканирует. Терплю :) спасибо, ВАМ !!!!
     
  8. Newi

    Newi Активный пользователь

    Сообщения:
    19
    Симпатии:
    0
    уфф.. доступ в интернет на том компьютере опять заблокировался, пишу с другого.

    вот лог от Malwarebytes ' Anti-Malware

    иду запускать AVZ и выполнять скрипт
     

    Вложения:

    Последнее редактирование: 24 окт 2010
  9. Newi

    Newi Активный пользователь

    Сообщения:
    19
    Симпатии:
    0
    скрипты выполнены, файл отправлен.
     
  10. icotonev

    icotonev Ассоциация VN

    Сообщения:
    1.424
    Симпатии:
    1.654
    Newi, Удалить следующие строки найдены МБАМ..:

    Код (Text):
    Зараженные ключи в реестре:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MRXCLS (Rootkit.TmpHider) -> No action taken.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MRXNET (Rootkit.TmpHider) -> No action taken.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxCls (Rootkit.TmpHider) -> No action taken.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxNet (Rootkit.TmpHider) -> No action taken.
    C:\WINDOWS\inf\mdmcpq3.PNF (Rootkit.TmpHider) -> No action taken.
    C:\WINDOWS\inf\mdmeric3.PNF (Rootkit.TmpHider) -> No action taken.
    C:\WINDOWS\inf\oem6C.PNF (Rootkit.TmpHider) -> No action taken.
    C:\сарафаны\klipart_-_jenskie_vechernie_platya-21335763.exe (Trojan.Dropper) -> No action taken.
    D:\change\winrar\wrar390b4ru.exe (Trojan.FakeAlert) -> No action taken.
    D:\DISTREB\windows\Zver CD SP3 New\WPI\Install\MD8\Rus.exe (Malware.Packer.Gen) -> No action taken.
    D:\DISTREB\проги для открытия exe\PEiD0.95\PEiD 0.95\Plugins\ExtOverlay.DLL (Trojan.Dropper.PGen) -> No action taken.
    D:\DISTREB\проги для открытия exe\PEiD0.95\PEiD 0.95\Plugins\Frant.dll (Malware.Packer.Gen) -> No action taken.
    D:\DISTREB\проги для открытия exe\PEiD0.95\PEiD 0.95\Plugins\IDToText.DLL (Trojan.Dropper.PGen) -> No action taken.
    D:\DISTREB\проги для открытия exe\PEiD0.95\PEiD 0.95\Plugins\OEP and Scan\oreansid.dat (Trojan.Agent) -> No action taken.
    D:\DISTREB\проги для открытия exe\PEiD0.95\PEiD 0.95\Plugins\OEP and Scan\oreansid.dll (Trojan.Dropper.PGen) -> No action taken.
    D:\DISTREB\проги для открытия exe\PEiD0.95\PEiD 0.95\Plugins\Pack\UPXScramb.dll (Trojan.KillAV) -> No action taken.
    Следуйте рекомендациям akoK..!
    Повторите логи..!:)
     
    Последнее редактирование: 24 окт 2010
    4 пользователям это понравилось.
  11. Newi

    Newi Активный пользователь

    Сообщения:
    19
    Симпатии:
    0
    то, что рекомендовал Акок, всё сделано или что-то не так или надо еще повторить? (карантин отправлен через форму в сообщении Акок).

    а как удалить строки, найденные MBAM? он ведь закрылся, когда комп перезагружался после выполнения скрипта.
     
  12. icotonev

    icotonev Ассоциация VN

    Сообщения:
    1.424
    Симпатии:
    1.654
  13. Newi

    Newi Активный пользователь

    Сообщения:
    19
    Симпатии:
    0
    В МВАМ во вкладке Отчеты у меня пусто :( и как написано в инструкции к МВАМ, я ничего не удаляла

    скрипты от акоК сейчас повторю. отправить с помощью той же формы? или перед повторением скриптов надо все-таки удалить строки в МВАМ?
     
    Последнее редактирование: 24 окт 2010
  14. icotonev

    icotonev Ассоциация VN

    Сообщения:
    1.424
    Симпатии:
    1.654
    шаг 1.Удаление строк в МБАМ..!
    шаг 2.Повторите логи с АВЗ....в соответствии с правилами..!

    Вы принесли его один раз .........?Повторение не нужно..!:)
     
  15. Newi

    Newi Активный пользователь

    Сообщения:
    19
    Симпатии:
    0
    Я правильно понимаю, мне нужно опять запустить МВАМ, удалить все строки (т.к. до этого я этого не делала и вкладка Отчеты у меня пустая), затем выполнить и скрипты от акоК и отправить ? :)
     
  16. akok

    akok Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    13.626
    Симпатии:
    14.716
    Да все правильно.

    Карантин пришел пустой.
     
  17. icotonev

    icotonev Ассоциация VN

    Сообщения:
    1.424
    Симпатии:
    1.654

    Newi, Вы принесли его один раз .........?Повторение не нужно..!Повторите логи с АВЗ..!
     
  18. icotonev

    icotonev Ассоциация VN

    Сообщения:
    1.424
    Симпатии:
    1.654
    Повторите логи с АВЗ..!
     
  19. Newi

    Newi Активный пользователь

    Сообщения:
    19
    Симпатии:
    0
    так, отчитываюсь.

    МВАМ был запущен по-новой, сканирование длилось 54 мин., лог не прилагаю. Все было найдено теперь удалено как надо, компьютер перезагружен, отчет сохранен.

    После этого выполнен скрипт

    комп перезагружен

    потом

    карантин отправляю заново, но похоже он опять пустой, так как 3 кб, как в прошлый раз. Делаю, все как описано выше или ...
     
  20. icotonev

    icotonev Ассоциация VN

    Сообщения:
    1.424
    Симпатии:
    1.654
    Повторите логи с АВЗ..! :)
     
  21. Newi

    Newi Активный пользователь

    Сообщения:
    19
    Симпатии:
    0
    какие? опять запустить АВЗ, "Файл=> Стандартные скрипты" выполнить Скрипт 3 - Перезагрузка, затем Скрипт 2 ? и переслать логи ?

    простите , не совсем понимаю :-(
     
    Последнее редактирование: 24 окт 2010
Загрузка...
Похожие темы - Заблокирован доступ интернет
  1. Jukeboxx
    Ответов:
    5
    Просмотров:
    1.799
  2. hoper
    Ответов:
    19
    Просмотров:
    2.690
  3. serafina
    Ответов:
    23
    Просмотров:
    2.644
  4. kopvalera
    Ответов:
    17
    Просмотров:
    2.992
  5. FMC
    Ответов:
    5
    Просмотров:
    1.744
  6. illayj
    Ответов:
    0
    Просмотров:
    1.992
Статус темы:
Закрыта.

Поделиться этой страницей