Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] На Комьпьютере Вирус (http://forum.oszone.net/showthread.php?t=231016)

Garrick 22-03-2012 15:52 1884712
На Комьпьютере Вирус
 
захожу в браузер открывается сайт http://www.smaxxi.biz/ не могу удалить

вот логи

iskander-k 22-03-2012 20:35 1884910
Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\762fb7fe00c4e824.exe','');
 DeleteFile('C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\762fb7fe00c4e824.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','32459');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
HiJackThis. Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis
Код:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxxi.biz
O4 - HKLM\..\Policies\Explorer\Run: [32459] C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\762fb7fe00c4e824.exe
• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

P.S.Garrick, за дублирование тем можете быть наказаны лишением доступа к форуму

Garrick 23-03-2012 03:36 1885085
Malwarebytes Anti-Malware
Код:
(Пробная версия) 1.60.1.1000
www.malwarebytes.org

Версия базы данных:  v2012.03.22.04

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Admin :: GARRICK [администратор]

Защитный модуль : Включен

23.03.2012 1:02:58
mbam-log-2012-03-23 (03-34-53).txt

Тип сканирования:  Полное сканирование
Опции сканирования включены: Память | Запуск | Реестр | Файловая система | Эвристика/Дополнительно | Эвристика/Шурикен | PUP | PUM
Опции сканирования отключены: P2P
Просканированные объекты:  251422
Времени прошло:  2 часов , 31 минут , 14 секунд

Обнаруженные процессы в памяти:  0
(Вредоносных программ не обнаружено)

Обнаруженные модули в памяти:  0
(Вредоносных программ не обнаружено)

Обнаруженные ключи в реестре:  2
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SETUP.EXE (Rootkit.Dropper) -> Действие не было предпринято.
HKLM\System\CurrentControlSet\Services\XPROTECTOR (Backdoor.Trojan) -> Действие не было предпринято.

Обнаруженные параметры в реестре:  2
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|VertZip (PUP.SmsPay) -> Параметры: "C:\Documents and Settings\Admin\Application Data\worlduarchive\worlduarchive.exe" autstr_148  -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|32459 (Trojan.Agent) -> Параметры: C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\762fb7fe00c4e824.exe -> Действие не было предпринято.

Объекты реестра обнаружены:  3
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.

Обнаруженные папки:  2
C:\Program Files\RelevantKnowledge (Spyware.MarketScore) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Главное меню\Программы\RelevantKnowledge (Spyware.MarketScore) -> Действие не было предпринято.

Обнаруженные файлы:  31
C:\Documents and Settings\Admin\Application Data\worlduarchive\worlduarchive.exe (PUP.SmsPay) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\worlduarchive\viewmerik.exe (Trojan.FakeSMS) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Chrome\User Data\Temp\scoped_dir_26342\CRX_INSTALL\plugins\rlcm.dll (Adware.RelevantKnowledge) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Мои документы\MediaGet2.exe (PUP.BundleInstaller.MG) -> Действие не было предпринято.
C:\Grizli777\Adobe Photoshop CS4 beta 01 rus\40000024000002i\AdobeUpdater.exe (Rootkit.Dropper) -> Действие не было предпринято.
C:\Grizli777\Adobe Photoshop CS4 beta 01 rus\10000001b00002i\msiexec.exe (Rootkit.Dropper) -> Действие не было предпринято.
C:\Grizli777\Adobe Photoshop CS4 beta 01 rus\1000000600002i\svchost.exe (Rootkit.Dropper) -> Действие не было предпринято.
C:\Grizli777\Adobe Photoshop CS4 beta 01 rus\1000000b00002i\rundll32.exe (Rootkit.Dropper) -> Действие не было предпринято.
C:\Grizli777\Adobe Photoshop CS4 beta 01 rus\4000001c0200002i\ColorCommon190.exe (Rootkit.Dropper) -> Действие не было предпринято.
C:\Grizli777\Adobe Photoshop CS4 beta 01 rus\4000001e1300002i\ExtendScriptToolkit2.0.2_new.exe (Rootkit.Dropper) -> Действие не было предпринято.
C:\Grizli777\Adobe Photoshop CS4 beta 01 rus\40000024900002i\AdobeUpdater.exe (Rootkit.Dropper) -> Действие не было предпринято.
C:\Grizli777\Adobe Photoshop CS4 beta 01 rus\40000029c00002i\Setup.exe (Rootkit.Dropper) -> Действие не было предпринято.
C:\Grizli777\Adobe Photoshop CS4 beta 01 rus\4000002a600002i\Setup.exe (Rootkit.Dropper) -> Действие не было предпринято.
C:\Grizli777\Adobe Photoshop CS4 beta 01 rus\400000413400002i\DC.exe (Rootkit.Dropper) -> Действие не было предпринято.
C:\Grizli777\Adobe Photoshop CS4 beta 01 rus\4000005700003i\mDNSResponder.exe (Rootkit.Dropper) -> Действие не было предпринято.
C:\Grizli777\Adobe Photoshop CS4 beta 01 rus\4000005c000002i\VC_client_310_1.exe (Rootkit.Dropper) -> Действие не было предпринято.
C:\Grizli777\Adobe Photoshop CS4 beta 01 rus\40000090600002i\assetservices_310.exe (Rootkit.Dropper) -> Действие не было предпринято.
C:\Grizli777\Adobe Photoshop CS4 beta 01 rus\400000a500003i\FNPLicensingService.exe (Rootkit.Dropper) -> Действие не было предпринято.
C:\Grizli777\Adobe Photoshop CS4 beta 01 rus\400000f00003i\Patch.exe (Rootkit.Dropper) -> Действие не было предпринято.
C:\Grizli777\Adobe Photoshop CS4 beta 01 rus\f000000a700003i\ntvdm.exe (Rootkit.Dropper) -> Действие не было предпринято.
C:\Program Files\Alwil Software\Avast4\DATA\moved\UnAl.exe.vir (Malware.Packer.Gen) -> Действие не было предпринято.
C:\Program Files\Rovio\Angry Birds Rio\NFOviewer.exe (Malware.Packer.Krunchy) -> Действие не было предпринято.
C:\Program Files\WinRAR\patch.exe (Malware.Packer.Gen) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.
C:\WINDOWS\system32\drivers\Oreans.sys (Backdoor.Trojan) -> Действие не было предпринято.
C:\Program Files\RelevantKnowledge\asmcf.dat (Spyware.MarketScore) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Главное меню\Программы\RelevantKnowledge\About RelevantKnowledge.lnk (Spyware.MarketScore) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Главное меню\Программы\RelevantKnowledge\Privacy Policy and User License Agreement.lnk (Spyware.MarketScore) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Главное меню\Программы\RelevantKnowledge\Support.lnk (Spyware.MarketScore) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Главное меню\Программы\RelevantKnowledge\Uninstall Instructions.lnk (Spyware.MarketScore) -> Действие не было предпринято.

(конец)

alex_sev 23-03-2012 08:55 1885137
Повторите сканирование в MBAM и удалите только следующее:

Код:
Обнаруженные ключи в реестре: 2
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SETUP.EXE (Rootkit.Dropper) -> Действие не было предпринято.
HKLM\System\CurrentControlSet\Services\XPROTECTOR (Backdoor.Trojan) -> Действие не было предпринято.

Обнаруженные параметры в реестре: 2
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|VertZip (PUP.SmsPay) -> Параметры: "C:\Documents and Settings\Admin\Application Data\worlduarchive\worlduarchive.exe" autstr_148 -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|32459 (Trojan.Agent) -> Параметры: C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\762fb7fe00c4e824.exe -> Действие не было предпринято.

Обнаруженные папки: 2
C:\Program Files\RelevantKnowledge (Spyware.MarketScore) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Главное меню\Программы\RelevantKnowledge (Spyware.MarketScore) -> Действие не было предпринято.

Обнаруженные файлы: 31
C:\Documents and Settings\Admin\Application Data\worlduarchive\worlduarchive.exe (PUP.SmsPay) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\worlduarchive\viewmerik.exe (Trojan.FakeSMS) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Chrome\User Data\Temp\scoped_dir_26342\CRX_INSTALL\plugins\rlcm.dll (Adware.RelevantKnowledge) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.
C:\WINDOWS\system32\drivers\Oreans.sys (Backdoor.Trojan) -> Действие не было предпринято.
C:\Program Files\RelevantKnowledge\asmcf.dat (Spyware.MarketScore) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Главное меню\Программы\RelevantKnowledge\About RelevantKnowledge.lnk (Spyware.MarketScore) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Главное меню\Программы\RelevantKnowledge\Privacy Policy and User License Agreement.lnk (Spyware.MarketScore) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Главное меню\Программы\RelevantKnowledge\Support.lnk (Spyware.MarketScore) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Главное меню\Программы\RelevantKnowledge\Uninstall Instructions.lnk (Spyware.MarketScore) -> Действие не было предпринято.

Tiare 23-03-2012 18:17 1885427
Garrick,

+ к вышесказанному


После удаления в Malwarebytes' Anti-Malware указанных строк, откройте лог и прикрепите его к вашему сообщению.


+ удалите папку C:\Documents and Settings\Admin\Application Data\worlduarchive

+ повторите логи Random's System Information Tool (RSIT)

+
  • Загрузите SecurityCheck by screen317 отсюда или отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Когда увидите консоль, нажмите любую клавишу для продолжения сканирования
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем checkup.txt;
  • Прикрепите файл к следующему сообщению.

Garrick 25-03-2012 01:28 1886106
вот логи

thyrex 25-03-2012 10:40 1886205
Пофиксите в HiJack
Код:
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxxi.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxxi.biz
Сделайте новые логи RSIT

Garrick 26-03-2012 00:59 1886740
вот логи !

Tiare 26-03-2012 12:14 1886975
Теперь чисто.


- деинсталлируйте Malwarebytes' Anti-Malware

- обновите Java до актуальной версии



Рекомендации после лечения

Garrick 27-03-2012 01:10 1887414
спасибо все чисто


Время: 18:42.

Время: 18:42.
© OSzone.net 2001-