Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Лечение_Вирусов (http://forum.oszone.net/showthread.php?t=240504)

gluckpilz 13-08-2012 14:48 1969489
Лечение_Вирусов
 
Как сказать....короче решил обновить ДиректХ, скачал а он в конце установки требует отправить смс, вот у меня теперь у меня подозрение на вирусы. Включал AVZ ничего не находит. а в мозиле и эксплоере появился спутник майл ру, хотя его не должно было быть. Я как раз хотел винду переставлять и не успел скопировать все файлы, в придачу в тот момент когда я устанавливал Директ все флешки были в компе. Можете проверить на комп вирусы, и заразились ли флешки ?

P.S. Можете исправить ошибку в названии темы ?

alex_sev 13-08-2012 15:08 1969504
Вируса нет есть вот это

Подготовьте лог OTL by OldTimer

+

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве

gluckpilz 13-08-2012 15:16 1969507
Цитата:
Цитата alex_sev
Подготовьте лог OTL by OldTimer »
скачал но там в программе несколько кнопок не совподает с тем что написано на сайте.

alex_sev 13-08-2012 15:17 1969508
Заскриньте

gluckpilz 13-08-2012 15:20 1969510
Цитата:
Цитата alex_sev
Заскринте »

alex_sev 13-08-2012 15:22 1969513
Ну отличается одной галочкой, ничего страшного, ставьте оставшиеся галочки вставляйте нужный текст и сканируйте

gluckpilz 13-08-2012 15:25 1969515
я сначала запустил Malwarebytes' Anti-Malware, меня там еще кое что смутило, где блок modules написано usesavelist а у меня no companyname

alex_sev 13-08-2012 15:27 1969517
Версии обновляются

gluckpilz 13-08-2012 15:30 1969518
а Malwarebytes' Anti-Malware долго сканирует? просто кис сканирует где то 1 час, если Malwarebytes' Anti-Malware так же будет то я успею сбегать по делам....

alex_sev 13-08-2012 15:47 1969529
бегите))

gluckpilz 13-08-2012 17:20 1969575
немного не в тему, но вдруг знаете. раньше на компе стояли дрова (на видеокарту) которые шли вместе с самим компом, то есть очень древние. решил поставить новые 2010 года, разницы не заметил, вернул старые дрова, терь в игры не поиграть сразу монитор гаснет. в чём может быть проблема ?

alex_sev 13-08-2012 17:39 1969586
Цитата:
Цитата gluckpilz
в чём может быть проблема ? »
По моему Вы ответили сами на свой вопрос.
Сносите старые дрова полностью и ставьте последней версии

gluckpilz 13-08-2012 18:04 1969604
И при старых дровах все работало идеально и ПБ и КС. а щас когда после новых дров поставил старые нифига.

P.S. в архиве лежит 3 лога. сами по себе они не влезли.

iskander-k 13-08-2012 19:40 1969648
Цитата:
Цитата gluckpilz
И при старых дровах все работало идеально и ПБ и КС. а щас когда после новых дров поставил старые нифига. »
С сайта производителя скачайте утилиту для полного удаления драйверов. Запустите удалите всё что найдет утилита и установите заново драйвера . Собственные деинсталлятор не удаляет полностью драйвера -остается еще много мусора....

В МБАМ запустите снова полное сканирование и удалите
Код:
C:\Documents and Settings\kot-7\Local Settings\Application Data\Mozilla\Firefox\Profiles\5ic6o18o.default\Cache\9\16\686BFd01 (Trojan.Agent) -> Действие не было предпринято.

gluckpilz 13-08-2012 19:46 1969657
iskander-k, а на счет "нечести" что ? или ждать alex_sev

alex_sev 13-08-2012 20:14 1969669
  • Запустите повторно OTL by OldTimer или OTL.com или OTL.scr.

    Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  • В окно Custom Scans/Fixes скопируйте следующую информацию:

    Код:
    :processes

    :OTL
    IE - HKU\S-1-5-21-57989841-448539723-1606980848-1003\..\URLSearchHook: {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll (@Mail.Ru)
    FF - prefs.js..browser.search.defaultenginename: "http://www.mail.ru/"
    FF - prefs.js..browser.search.defaulturl: "http://go.mail.ru/search?fr=fftb&utf8in&q="
    FF - prefs.js..browser.search.selectedEngine: "Википедия (ru)"
    FF - prefs.js..keyword.URL: "http://go.mail.ru/search?utf8in=1&fr=fftbUFix&q="
    [2012.08.13 13:54:32 | 000,001,533 | ---- | M] () -- C:\Documents and Settings\kot-7\Application Data\Mozilla\Firefox\Profiles\5ic6o18o.default\searchplugins\mailru---.xml
    CHR - homepage: http://www.mail.ru/cnt/9516
    O2 - BHO: (MailRuBHO Class) - {8984B388-A5BB-4DF7-B274-77B879E179DB} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll (@Mail.Ru)
    O3 - HKLM\..\Toolbar: (Спутник@Mail.Ru) - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll (@Mail.Ru)
    [2012.08.13 12:52:16 | 000,000,000 | ---D | C] -- C:\Program Files\Mail.Ru
    [2012.08.13 12:52:15 | 000,000,000 | ---D | C] -- C:\Documents and Settings\kot-7\Local Settings\Application Data\Mail.Ru
    [2012.08.13 12:59:12 | 000,001,777 | ---- | M] () -- C:\Documents and Settings\kot-7\Application Data\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk
    [2012.08.13 12:59:12 | 000,000,211 | ---- | M] () -- C:\Documents and Settings\kot-7\Рабочий стол\Искать в Интернете.url
    :Services

    :Files
    C:\Documents and Settings\kot-7\Local Settings\Application Data\Mozilla\Firefox\Profiles\5ic6o18o.default\Cache\9\16\686BFd01
    C:\Program Files\Mail.Ru\
    C:\Documents and Settings\kot-7\Local Settings\Application Data\Mail.Ru\
    autorun.inf /alldrives
    recycler /alldrives
    ipconfig /flushdns /c
    :Reg
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
    "C:\Program Files\Mail.Ru\Sputnik\SputnikFlashPlayer.exe" =-
    :Commands
    [EMPTYJAVA]
    [EMPTYFLASH]
    [purity]
    [Reboot]
  • Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку "Run Fix"
  • Компьютер перезагрузится.
  • После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

gluckpilz 13-08-2012 20:37 1969679
Что делать то это -
Цитата:
Цитата iskander-k
В МБАМ запустите снова полное сканирование и удалите
Код:
C:\Documents and Settings\kot-7\Local Settings\Application Data\Mozilla\Firefox\Profiles\ »
или это -
Цитата:
Цитата alex_sev
Запустите повторно OTL by OldTimer или OTL.com или OTL.scr.
Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
В окно Custom Scans/Fixes скопируйте следующую информацию:
Код:
:processes
:OTL
IE - HKU\S-1-5-21-57989841-448539723-1606980848-1003\..\URLSearchHook: {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll (@Mail.Ru)
FF - prefs.js..browser.search.defaultenginename: "http://www.mail.ru/"
FF - prefs.js..browser.search.defaulturl: "http://go.mail.ru/search?fr=fftb&utf8in&q="
FF - prefs.js..browser.search.selectedEngine: "Википедия (ru)"
FF - prefs.js..keyword.URL: "http://go.mail.ru/search?utf8in=1&fr=fftbUFix&q="
[2012.08.13 13:54:32 | 000,001,533 | ---- | M] () -- C:\Documents and Settings\kot-7\Application Data\Mozilla\Firefox\Profiles\5ic6o18o.default\searchplugins\mailru---.xml
CHR - homepage: http://www.mail.ru/cnt/9516
O2 - BHO: (MailRuBHO Class) - {8984B388-A5BB-4DF7-B274-77B879E179DB} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll (@Mail.Ru)
O3 - HKLM\..\Toolbar: (Спутник@Mail.Ru) - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll (@Mail.Ru)
[2012.08.13 12:52:16 | 000,000,000 | ---D | C] -- C:\Program Files\Mail.Ru
[2012.08.13 12:52:15 | 000,000,000 | ---D | C] -- C:\Documents and Settings\kot-7\Local Settings\Application Data\Mail.Ru
[2012.08.13 12:59:12 | 000,001,777 | ---- | M] () -- C:\Documents and Settings\kot-7\Application Data\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk
[2012.08.13 12:59:12 | 000,000,211 | ---- | M] () -- C:\Documents and Settings\kot-7\Рабочий стол\Искать в Интернете.url
:Services
:Files
C:\Documents and Settings\kot-7\Local Settings\Application Data\Mozilla\Firefox\Profiles\5ic6o18o.default\Cache\9\16\686BFd01
C:\Program Files\Mail.Ru\
C:\Documents and Settings\kot-7\Local Settings\Application Data\Mail.Ru\
autorun.inf /alldrives
recycler /alldrives
ipconfig /flushdns /c
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\Standard Profile\AuthorizedApplications\List]
"C:\Program Files\Mail.Ru\Sputnik\SputnikFlashPlayer.exe" =-
:Commands
[EMPTYJAVA]
[EMPTYFLASH]
[purity]
[Reboot]
Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку "Run Fix"
Компьютер перезагрузится.
После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение. »

alex_sev 13-08-2012 20:40 1969680
Раз первое еще не сделали делайте второе, я продублировал удаление

gluckpilz 13-08-2012 20:46 1969682
а настройки такие же как здесь ?

alex_sev 13-08-2012 20:49 1969683
Я же не просил настраивать, если бы попросил написал бы, прочитайте внимательно пост со скриптом и выполните

gluckpilz 13-08-2012 21:03 1969690
1 лог, когда я настроил OTL, 2 лог без настроек.
Код:
========== PROCESSES ========== ========== OTL ========== Registry value HKEY_USERS\S-1-5-21-57989841-448539723-1606980848-1003\Software\Microsoft\Internet Explorer\URLSearchHooks\\{09900DE8-1DCA-443F-9243-26FF581438AF} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{09900DE8-1DCA-443F-9243-26FF581438AF}\ deleted successfully. C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll moved successfully. Prefs.js: "http://www.mail.ru/" removed from browser.search.defaultenginename Prefs.js: "http://go.mail.ru/search?fr=fftb&utf8in&q=" removed from browser.search.defaulturl Prefs.js: "Википедия (ru)" removed from browser.search.selectedEngine Prefs.js: "http://go.mail.ru/search?utf8in=1&fr=fftbUFix&q=" removed from keyword.URL C:\Documents and Settings\kot-7\Application Data\Mozilla\Firefox\Profiles\5ic6o18o.default\searchplugins\mailru---.xml moved successfully. Use Chrome's Settings page to change the HomePage. Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8984B388-A5BB-4DF7-B274-77B879E179DB}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8984B388-A5BB-4DF7-B274-77B879E179DB}\ deleted successfully. File C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll not found. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{09900DE8-1DCA-443F-9243-26FF581438AF} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{09900DE8-1DCA-443F-9243-26FF581438AF}\ not found. File C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll not found. C:\Program Files\Mail.Ru\Sputnik folder moved successfully. C:\Program Files\Mail.Ru folder moved successfully. C:\Documents and Settings\kot-7\Local Settings\Application Data\Mail.Ru\Sputnik folder moved successfully. C:\Documents and Settings\kot-7\Local Settings\Application Data\Mail.Ru folder moved successfully. C:\Documents and Settings\kot-7\Application Data\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk moved successfully. C:\Documents and Settings\kot-7\Рабочий стол\Искать в Интернете.url moved successfully. ========== SERVICES/DRIVERS ========== ========== FILES ========== C:\Documents and Settings\kot-7\Local Settings\Application Data\Mozilla\Firefox\Profiles\5ic6o18o.default\Cache\9\16\686BFd01 moved successfully. Folder C:\Program Files\Mail.Ru not found. Folder C:\Documents and Settings\kot-7\Local Settings\Application Data\Mail.Ru not found. autorun.inf not found in C:\ autorun.inf not found in D:\ C:\RECYCLER\S-1-5-21-57989841-448539723-1606980848-1003 folder moved successfully. C:\RECYCLER folder moved successfully. D:\RECYCLER\S-1-5-21-57989841-448539723-1606980848-1003 folder moved successfully. D:\RECYCLER folder moved successfully. < ipconfig /flushdns /c > No captured output from command... C:\лечение\cmd.bat deleted successfully. ========== REGISTRY ========== Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\\C:\Program Files\Mail.Ru\Sputnik\SputnikFlashPlayer.exe deleted successfully. ========== COMMANDS ==========  [EMPTYJAVA]  User: All Users  User: Default User  User: kot-7  User: LocalService  User: NetworkService  Total Java Files Cleaned = 0,00 mb    [EMPTYFLASH]  User: All Users  User: Default User  User: kot-7 ->Flash cache emptied: 1785 bytes  User: LocalService  User: NetworkService  Total Flash Files Cleaned = 0,00 mb    OTL by OldTimer - Version 3.2.57.0 log created on 08132012_205227


Код:
========== PROCESSES ========== ========== OTL ========== Registry value HKEY_USERS\S-1-5-21-57989841-448539723-1606980848-1003\Software\Microsoft\Internet Explorer\URLSearchHooks\\{09900DE8-1DCA-443F-9243-26FF581438AF} not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{09900DE8-1DCA-443F-9243-26FF581438AF}\ not found. File C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll not found. Prefs.js: "http://www.mail.ru/" removed from browser.search.defaultenginename Prefs.js: "http://go.mail.ru/search?fr=fftb&utf8in&q=" removed from browser.search.defaulturl Prefs.js: "Википедия (ru)" removed from browser.search.selectedEngine Prefs.js: "http://go.mail.ru/search?utf8in=1&fr=fftbUFix&q=" removed from keyword.URL File C:\Documents and Settings\kot-7\Application Data\Mozilla\Firefox\Profiles\5ic6o18o.default\searchplugins\mailru---.xml not found. Use Chrome's Settings page to change the HomePage. Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8984B388-A5BB-4DF7-B274-77B879E179DB}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8984B388-A5BB-4DF7-B274-77B879E179DB}\ not found. File C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll not found. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{09900DE8-1DCA-443F-9243-26FF581438AF} not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{09900DE8-1DCA-443F-9243-26FF581438AF}\ not found. File C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll not found. Folder C:\Program Files\Mail.Ru\ not found. Folder C:\Documents and Settings\kot-7\Local Settings\Application Data\Mail.Ru\ not found. File C:\Documents and Settings\kot-7\Application Data\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk not found. File C:\Documents and Settings\kot-7\Рабочий стол\Искать в Интернете.url not found. ========== SERVICES/DRIVERS ========== ========== FILES ========== File\Folder C:\Documents and Settings\kot-7\Local Settings\Application Data\Mozilla\Firefox\Profiles\5ic6o18o.default\Cache\9\16\686BFd01 not found. Folder C:\Program Files\Mail.Ru not found. Folder C:\Documents and Settings\kot-7\Local Settings\Application Data\Mail.Ru not found. autorun.inf not found in C:\ autorun.inf not found in D:\ recycler not found in C:\ recycler not found in D:\ < ipconfig /flushdns /c > No captured output from command... C:\лечение\cmd.bat deleted successfully. ========== REGISTRY ========== Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\\C:\Program Files\Mail.Ru\Sputnik\SputnikFlashPlayer.exe not found. ========== COMMANDS ==========  [EMPTYJAVA]  User: All Users  User: Default User  User: kot-7  User: LocalService  User: NetworkService  Total Java Files Cleaned = 0,00 mb    [EMPTYFLASH]  User: All Users  User: Default User  User: kot-7 ->Flash cache emptied: 0 bytes  User: LocalService  User: NetworkService  Total Flash Files Cleaned = 0,00 mb    OTL by OldTimer - Version 3.2.57.0 log created on 08132012_205827

alex_sev 13-08-2012 21:11 1969699
Как самочувствие системы?

gluckpilz 13-08-2012 21:15 1969703
в смысле ? Ну по крайне мере 2 ярлыка удалилось, и надстройки в експлоере удалились. а спутник майл.ру в мазиле я сам еще до обращения сюда удалил.

gluckpilz 13-08-2012 22:06 1969740
Цитата:
Цитата gluckpilz
и заразились ли флешки ? »
вопрос актуальный.

alex_sev 13-08-2012 22:07 1969741
никаких следов авторановых червей не видно

gluckpilz 13-08-2012 22:18 1969747
а он вообще что делает то ? В той теме ни слова про это. И оболочка не такая, а обычная как будто на самом деле устанавливаешь Директ, только в конце просит отправить смс.
просто деньги вымогает что ли ?

alex_sev 13-08-2012 22:23 1969752
ну почему еще ради своего профита ставит различные тулбары - например тот же спутник

gluckpilz 13-08-2012 22:27 1969753
то есть данные с клавы те читает, пароли не тырит, файлы на ярлыки ведущие к вирусу не заменяет а сами файлы делает невидимыми ? Ну и.т.п.

alex_sev 13-08-2012 22:31 1969755
конечно, это обычный платный архив, такого много можно найти. Троян который бы крал пароли явно не ставил бы вам спутник, а наоборот бы вел себя тихо-тихо

gluckpilz 13-08-2012 22:35 1969757
Ок, Спасибо ! :)


Время: 19:03.

Время: 19:03.
© OSzone.net 2001-