Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Помогите избавиться от напасти! (http://forum.oszone.net/showthread.php?t=250864)

akriz 07-01-2013 21:04 2061351
Помогите избавиться от напасти!
 
программа Аваст все блокирует!
Если его отрубить, то всплывают окна, которые просят телефон...
Логи прикрепляю. Спасибо

блин... даже логи загрузить не могу... все блокируется.. :(

regist 07-01-2013 23:23 2061448
Цитата:
Цитата akriz
даже логи загрузить не могу... все блокируется.. »
либо загрузите с другого компьютера. либо попробуйте сюда http://rghost.ru/

+ как avast обзывает вирус ?
Цитата:
Цитата akriz
программа Аваст все блокирует! »
я правильно понимаю, что он блокирует и ваши программы и запуск любых ваших файлов ?

akriz 08-01-2013 11:35 2061674
Вложений: 3
Наконец добрался до другого компьютера.
Вот логи

akriz 08-01-2013 11:47 2061684
Аваст ругается на вредоносную ссылку на htgreyza.com
Блокирует все действия в браузерах, даже если отрубаешь Аваст, то не дает отправлять файлы и вечно выскакивает всякая хрень а-ля "введи номер телефона для подтверждения" и окно "вы выиграли 50 смс и 15 минут" - или наоборот 50 мин и 15 смс.. не помню точно...
В остальном комп работает нормально, все программы работают нормально

SolarSpark 08-01-2013 11:47 2061685
логи RSIT забыли

1) уберите карантин из темы

2) Отключите:
Антивирус/Файерволл

3) AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
QuarantineFileF('C:\Users\1\Documents\Iterra',  '*', false, '', 0, 0);
QuarantineFile('C:\Users\1\Documents\Iterra\vxlzoxd.dll','');
 DeleteFile('C:\Users\1\Documents\Iterra\vxlzoxd.dll');
DeleteFileMask('C:\Users\1\Documents\Iterra', '*', true);
 DeleteDirectory('C:\Users\1\Documents\Iterra');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

4) После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
5) В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой формы. В теле письма укажите свой ник на форуме и ссылку на тему


6) Сделайте повторные логи AVZ + RSIT

7) В AVZ в меню Сервис - Поиск данных в реестре введите в строку поиска webalta. Нажмите Поиск и сохраните протокол. Приложите к следующему сообщению.

akriz 08-01-2013 13:33 2061730
Вложений: 2
Сделал все. Вот логи и ссылка на протокол http://rghost.ru/private/42826207/c5...a642691ea7de5e

SolarSpark 08-01-2013 13:52 2061747
в AVZ удалите все найденное от webalta


Пофиксить в HijackThis следующие строчки:
Код:
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://packardbell.msn.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://packardbell.msn.com
проверимся на уязвимости
  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Скопируйте содержимое файла в свое следующее сообщение.
Подробнее читайте в этом руководстве.


каково самочувствие?

akriz 08-01-2013 14:41 2061786
Security Check by glax24 version 0.1.5.49 rc1
WebSite: www.safezone.cc
DataLog 08.01.2013 14:38:49
Program directory: C:\Users\1\AppData\Local\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True
XML File - VersionInet=1.9
__________________________________________________

WIN_7(6.1) Build 7601 (x64) HomePremium Lang: Russian(0419)
Service Pack 1
Internet Explorer 9.0.8112.16421
-------------Windows------------------------------
Контроль учётных записей пользователя включен
Уведомлять о загрузке и установке обновлений
Дата установки обновлений: 2013-01-06 04:02:00
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
Восстановление системы отключено
-------------Antivirus_WMI------------------------
avast! Antivirus
Антивирус обновлен
-------------Firewall_WMI-------------------------
-------------AntiSpyware_WMI----------------------
avast! Antivirus
Windows Defender
-------------AntiVirusFirewallInstall-------------
avast! Free Antivirus v.7.0.1474.0
-------------OtherUtilities-----------------------
Malwarebytes Anti-Malware, версия 1.70.0.1100 v.1.70.0.1100
-------------Java---------------------------------
Java(TM) 6 Update 37 v.6.0.370 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-6u38-windows-i586.exe)^
-------------AppleProduction----------------------
##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Служба работает
-------------AdobeProduction----------------------
Adobe Flash Player 11 ActiveX v.11.5.502.135
Adobe Flash Player 11 Plugin v.11.5.502.135
Adobe Reader 9.5.2 MUI v.9.5.2 Внимание! Скачать обновления
-------------Browser------------------------------
Google Chrome v.23.0.1271.97
Mozilla Firefox 4.0.1 (x86 ru) v.4.0.1 Внимание! Скачать обновления
Opera 12.12 v.12.12.1707
-------------RunningProcess-----------------------
C:\Program Files (x86)\Opera\opera.exe v.12.12.1707.0
-------------EndLog-------------------------------

SolarSpark 08-01-2013 14:43 2061789
Java(TM) 6 Update 37 v.6.0.370 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-6u38-windows-i586.exe)
Adobe Reader 9.5.2 MUI v.9.5.2 Внимание! Скачать обновления
-------------Browser------------------------------
Google Chrome v.23.0.1271.97
Mozilla Firefox 4.0.1 (x86 ru) v.4.0.1 Внимание! Скачать обновления
Opera 12.12 v.12.12.1707

обновитесь по ссылкам

Цитата:
Цитата SolarSpark
каково самочувствие? »
проблема исчерпана?

akriz 08-01-2013 14:55 2061798
Вложений: 1
  • 222.jpg (29.80 KB, скачиваний: 15)
Огромное спасибо! Аваст угомонился. :)
но вот malwarebytes продолжает ругаться. Может его просто удалить?

SolarSpark 08-01-2013 14:57 2061799
akriz, деинсталлируйте malwarebytes)

Выполните рекомендации после лечения


Время: 19:29.

Время: 19:29.
© OSzone.net 2001-