Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Вирус, поисковики заблочены (http://forum.oszone.net/showthread.php?t=262791)

tigron2009 19-06-2013 22:01 2170933
Вирус, поисковики заблочены
 
Вложений: 4
Помогите справиться с вирусом пожалуйста, большинство поисковиков + вконтакте + одноклассники заблочены. Пишут :

Мы зарегистрировали подозрительный трафик, исходящий из вашей сети.
С помощью этой страницы мы сможем определить, что запросы отправляете именно вы, а не робот.
Чтобы продолжить поиск, пожалуйста, введите свой номер телефона в поле ввода и нажмите «Отправить».

Файлы приложены к письму. Log почему-то не загружался, сделал архивом.

thyrex 19-06-2013 22:27 2170947
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Администратор\0.6351325524854138.exe','');
 QuarantineFile('C:\PROGRA~3\Mozilla\goisqgn.dll','');
 DeleteFile('C:\PROGRA~3\Mozilla\goisqgn.dll');
 DeleteFile('C:\Users\Администратор\0.6351325524854138.exe');
DeleteFileMask('C:\PROGRA~3\Mozilla', '*.exe', false);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(8);
ExecuteRepair(17); 
RebootWindows(true);
end.
Компьютер перезагрузится.

Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
Отправьте c:\quarantine.zip при помощи этой формы

Сделайте новые логи + скриншот папки windows\system32\tasks

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt

tigron2009 20-06-2013 22:43 2171446
Вложений: 1
Спасибо за столь оперативное реагирование! Извините, что так долго не отвечал. На ночь оставил сканироваться, не дождался =) Все что вы просили в архиве, ничего не удалял, жду дальнейших указаний! Еще раз спасибо.
Подскажите где можно почитать и научиться так же круто понимать логи.

regist 20-06-2013 23:22 2171451
Повторите сканирование в MBAM если уже его закрыли, отметьте галочками всё кроме указанных ниже строчек - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).

Подробнее читайте в руководстве

Код:
C:\Program Files (x86)\W7Elegant Black Pearl\Resources\shared\Program Files\Windows Sidebar\Patch_sidebar.exe.exe (Trojan.FakeAlert) -> Действие не было предпринято.
C:\Program Files (x86)\W7Elegant Black Pearl\Resources\shared\Program Files (x86)\Windows Sidebar\Patch_sidebar.exe.exe (Trojan.FakeAlert) -> Действие не было предпринято.
C:\Program Files (x86)\W7Elegant Black Pearl\Resources\shared\Windows\ru-RU\Patch_helppane.exe.mui.exe (Trojan.FakeAlert) -> Действие не было предпринято.
C:\Program Files (x86)\W7Elegant Black Pearl\Resources\shared\Windows\ru-RU\Patch_regedit.exe.mui.exe (Trojan.FakeAlert) -> Действие не было предпринято.
C:\Program Files (x86)\W7Elegant Black Pearl\Resources\shared\Windows\System32\Patch_comctl32.dll.exe (Trojan.FakeAlert) -> Действие не было предпринято.
C:\Program Files (x86)\W7Elegant Black Pearl\Resources\shared\Windows\System32\Patch_credui.dll.exe (Trojan.FakeAlert) -> Действие не было предпринято.
C:\Program Files (x86)\W7Elegant Black Pearl\Resources\shared\Windows\System32\Patch_dmdskres.dll.exe (Trojan.FakeAlert) -> Действие не было предпринято.
C:\Program Files (x86)\W7Elegant Black Pearl\Resources\shared\Windows\System32\Patch_dsuiext.dll.exe (Trojan.FakeAlert) -> Действие не было предпринято.
C:\Program Files (x86)\W7Elegant Black Pearl\Resources\shared\Windows\System32\Patch_els.dll.exe (Trojan.FakeAlert) -> Действие не было предпринято.
C:\Program Files (x86)\W7Elegant Black Pearl\Resources\shared\Windows\System32\Patch_filemgmt.dll.exe (Trojan.FakeAlert) -> Действие не было предпринято.
C:\Program Files (x86)\W7Elegant Black Pearl\Resources\shared\Windows\System32\Patch_hhctrl.ocx.exe (Trojan.FakeAlert) -> Действие не было предпринято.
C:\Program Files (x86)\W7Elegant Black Pearl\Resources\shared\Windows\System32\Patch_ieaksie.dll.exe (Trojan.FakeAlert) -> Действие не было предпринято.
C:\Program Files (x86)\W7Elegant Black Pearl\Resources\shared\Windows\System32\Patch_mapi32.dll.exe (Trojan.FakeAlert) -> Действие не было предпринято.
C:\Program Files (x86)\W7Elegant Black Pearl\Resources\shared\Windows\System32\Patch_mmc.exe.exe (Trojan.FakeAlert) -> Действие не было предпринято.
C:\Program Files (x86)\W7Elegant Black Pearl\Resources\shared\Windows\System32\Patch_mstsc.exe.exe (Trojan.FakeAlert) -> Действие не было предпринято.
C:\Program Files (x86)\W7Elegant Black Pearl\Resources\shared\Windows\System32\Patch_powercpl.dll.exe (Trojan.FakeAlert) -> Действие не было предпринято.
C:\Program Files (x86)\W7Elegant Black Pearl\Resources\shared\Windows\System32\Patch_scrptadm.dll.exe (Trojan.FakeAlert) -> Действие не было предпринято.
C:\Program Files (x86)\W7Elegant Black Pearl\Resources\shared\Windows\System32\Patch_taskmgr.exe.exe (Trojan.FakeAlert) -> Действие не было предпринято.
C:\Program Files (x86)\W7Elegant Black Pearl\Resources\shared\Windows\System32\Patch_wscript.exe.exe (Trojan.FakeAlert) -> Действие не было предпринято.
C:\Program Files (x86)\W7Elegant Black Pearl\Resources\shared\Windows\System32\ru-RU\Patch_iexpress.exe.mui.exe (Trojan.FakeAlert) -> Действие не было предпринято.
C:\Program Files (x86)\W7Elegant Black Pearl\Resources\shared\Windows\winsxs\amd64_microsoft-windows-shell-comctl32-v5_31bf3856ad364e35_6.1.7600.16385_none_959110a7f1a88a21\Patch_comctl32.dll.exe (Trojan.FakeAlert) -> Действие не было предпринято.
C:\Program Files (x86)\W7Elegant Black Pearl\Resources\shared\Windows\winsxs\x86_microsoft-windows-shell-comctl32-v5_31bf3856ad364e35_6.1.7600.16385_none_39727524394b18eb\Patch_comctl32.dll.exe (Trojan.FakeAlert) -> Действие не было предпринято.
C:\ProgramData\Mozilla\doitufl.exemkduqaa.tmp (Malware.Packer.95) -> Действие не было предпринято.
C:\ProgramData\Mozilla\doitufl.exewhhoqaa.tmp (Malware.Packer.95) -> Действие не было предпринято.
C:\Users\Администратор\AppData\Local\Temp\0.40619567981985916.exe (Trojan.Agent.PE5) -> Действие не было предпринято.
C:\Users\Администратор\AppData\Local\Temp\8338.tmp (Trojan.Agent.PE5) -> Действие не было предпринято.
C:\Users\Администратор\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\13\37788f4d-57d25688 (Trojan.Agent.PE5) -> Действие не было предпринято.
C:\Users\Администратор\Downloads\chistyie_blanki_doverennostey (1).zip (Malware.Packer.95) -> Действие не было предпринято.
C:\Users\Администратор\Downloads\chistyie_blanki_doverennostey (2).zip (Malware.Packer.95) -> Действие не было предпринято.
C:\Users\Администратор\Downloads\chistyie_blanki_doverennostey (3).zip (Malware.Packer.95) -> Действие не было предпринято.
C:\Users\Администратор\Downloads\chistyie_blanki_doverennostey (4).zip (Malware.Packer.95) -> Действие не было предпринято.
C:\Users\Администратор\Downloads\chistyie_blanki_doverennostey (5).zip (Malware.Packer.95) -> Действие не было предпринято.
C:\Users\Администратор\Downloads\chistyie_blanki_doverennostey (6).zip (Malware.Packer.95) -> Действие не было предпринято.
C:\Users\Администратор\Downloads\chistyie_blanki_doverennostey.zip (Malware.Packer.95) -> Действие не было предпринято.
C:\Users\Администратор\Downloads\move_maker_windows_7.exe (Trojan.FakeMS) -> Действие не было предпринято.
После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.


Проверьте эти файлы на virustotal
Код:
C:\ProgramData\Mozilla\doitufl.exemkduqaa.tmp
C:\ProgramData\Mozilla\doitufl.exewhhoqaa.tmp
C:\Users\Администратор\Downloads\chistyie_blanki_doverennostey (1).zip

кнопка Выбрать файл (Choose File) - ищите нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.


windows\system32\tasks\drllesn удалите вручную
  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  5. Подробнее читайте в руководстве Как подготовить лог UVS


-----------------
сделайте новый лог сканирования MBAM

-----------------------
+ Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Выполните обновление баз (Меню Файл - Обновление баз)
  3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт № 4 ("Скрипт сбора неопознанных и подозрительных файлов") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  5. Закачайте полученный архив, как описано на этой странице.
  6. Если размер архива превышает 20 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zalil, Dump.Ru или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

regist 21-06-2013 12:37 2171666
Цитата:
Цитата tigron2009
Подскажите где можно почитать и научиться так же круто понимать логи. »
http://safezone.cc/forum/showthread.php?t=1012


Время: 19:59.

Время: 19:59.
© OSzone.net 2001-