[решено] Заражение Win7 - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

- - [решено] Заражение Win7 (http://forum.oszone.net/showthread.php?t=227569)

Заражение Win7

На компьютере установлена ось - Win7, обновления вроде бы капают (иначе бы не обратились - система затребовала активацию), восстановление отключено напрочь, KAV2011 установлен скорее для самоуспокоения, т.к. не активирован, стало быть бесполезен с базами прошлогодней давности. Пока не появился черный экран вместо привычного рабочего стола и не пропал интернет(!!!), люди продолжали активно использовать комп в своих целях и 46 зараженных объектов, обнаруженных при помощи KRD, им, наверное, не мешали. Пришлось взять грех на душу (это я про активацию) и наладить сетевое соединение (настройки были сбиты кем-то или чем-то), но осталось вычистить то, что осталось. MBAM регулярно блокирует доступ к некоторым сайтам, значит радоваться рано.

привет

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

SearchRootkit(true, true);

SetAVZPMStatus(false);

QuarantineFile('C:\Users\maks\AppData\Roaming\zarchive\zarchive.exe','');

QuarantineFile('C:\Users\maks\AppData\Roaming\mziparch\mziparch.exe','');

DeleteFile('C:\Users\maks\AppData\Roaming\zarchive\zarchive.exe');

DeleteFile('C:\Users\maks\AppData\Roaming\mziparch\mziparch.exe');

DeleteFile('C:\Windows\system32\A4E9.tmp');

 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);

 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);

 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);

 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);

 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);

RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','winsmartzip');

RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','archiveprozip');

BC_ImportALL;

ExecuteRepair(10);

ExecuteSysClean;

BC_Activate;

ExecuteWizard('SCU',2,3,true);

RebootWindows(true);

end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin

 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой формы. В теле письма укажите свой ник на форуме и ссылку на тему

Пофиксить в HijackThis следующие строчки:

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxxi.biz

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxxi.biz

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxxi.biz

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxxi.biz

Обновите Internet Explorer до IE9

Сделайте повторные логи AVZ + RSIT

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

что с проблемой?

В первом приближении нормально. Остались некоторые непонятки, сейчас буду ими заниматься. А почему спрашиваете? В логах что-ли чисто?

Цитата:

Цитата rzdpasha

А почему спрашиваете? В логах что-ли чисто? »

Чтобы знать -оставить жить или дальше мучать. :)

Машина отдана людям (уроки позарез надо учить. А в наше время по-другому никак? :))). Посему ставим точку. Вопрос в том, насколько. На Касперского как мог уговорил раскошелиться.

Цитата:

Цитата rzdpasha

Вопрос в том, насколько. »

Главный вредитель для компьютера и слабое место в защите - это сам пользователь и его шаловливые ручки. :)