Показать полную графическую версию : [решено] вирус "Вы выиграли бонус! Получите 50 бесплатных смс и 15 минут общения во всех сетя"
Firmware
07-11-2012, 15:36
Цепляю эту гадость уже дважды (пару месяцев назад поймал на нетбуке с Windows XP, сейчас ноутбук с 7кой). До этого пришлось переустанавливать систему, ничем не смог удалить(
Симптомы: всплывающее желтое окно во всех браузерах с текстом "Вы выиграли бонус! Получите 50 бесплатных смс и 15 минут общения во всех сетях.", периодическое открытие страниц в виде исходного кода, установка домашней страницы с заголовком "speed2", долгая загрузка страниц
Пожалуйста, помогите в этот раз
P.S. при открытии страниц в любом браузере идет перенаправление на сайт softofficial.ком/?sid=232 с предложением обновить браузер, якобы из-за нахождения уязвимости в текущей версии
Firmware
07-11-2012, 15:38
вот логи
alex_sev
07-11-2012, 16:30
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/forum/showthread.php?t=18577).
Выполните скрипт в АВЗ (http://safezone.cc/forum/showthread.php?t=10) (Файл - Выполнить скрипт):
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\system32\iprgdod.dll','');
DeleteFile('C:\Windows\system32\iprgdod.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы (http://www.oszone.net/virusnet/) или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
"Пофиксите" в HijackThis (http://safezone.cc/forum/showthread.php?t=9) (некоторые строки могут отсутствовать):
O20 - AppInit_DLLs: C:\Windows\system32\iprgdod.dll
Сделайте новый комплект логов AVZ и RSIT и прикрепите к следующему сообщению новые логи virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Скачайте Malwarebytes' Anti-Malware (http://malwarebytes.org/mbam-download-exe-random.php) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. (http://data.mbamupdates.com/tools/mbam-rules.exe)
Подробнее читайте в руководстве (http://safezone.cc/forum/showthread.php?t=16050)
Firmware
07-11-2012, 19:29
проверка MBAM пока идет, по окончании выложу лог
Malwarebytes Anti-Malware (Пробная версия) 1.65.1.1000
www.malwarebytes.org
Версия базы данных: v2012.11.07.03
Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
Вадим :: SVISTOK52 [администратор]
Защитный модуль : Отключен
07.11.2012 18:48:38
mbam-log-2012-11-07 (19-34-48).txt
Тип сканирования: Полное сканирование (C:\|)
Опции сканирования включены: Память | Запуск | Реестр | Файловая система | Эвристика/Дополнительно | Эвристика/Шурикен | PUP | PUM
Опции сканирования отключены: P2P
Просканированные объекты: 328788
Времени прошло: 45 минут , 55 секунд
Обнаруженные процессы в памяти: 0
(Вредоносных программ не обнаружено)
Обнаруженные модули в памяти: 0
(Вредоносных программ не обнаружено)
Обнаруженные ключи в реестре: 0
(Вредоносных программ не обнаружено)
Обнаруженные параметры в реестре: 0
(Вредоносных программ не обнаружено)
Объекты реестра обнаружены: 0
(Вредоносных программ не обнаружено)
Обнаруженные папки: 0
(Вредоносных программ не обнаружено)
Обнаруженные файлы: 2
C:\Program Files1\Total Commander\Plugins\arc\Default.sfx (Malware.Packer.Gen) -> Действие не было предпринято.
C:\Program Files1\Total Commander\Utils\fitW\fitW.exe (Malware.Packer.Gen) -> Действие не было предпринято.
(конец)
alex_sev
08-11-2012, 09:13
Как самочувствие системы?
Загрузите SecurityCheck by screen317 отсюда (http://screen317.spywareinfoforum.org/SecurityCheck.exe) или отсюда (http://screen317.changelog.fr/SecurityCheck.exe) и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7) Когда увидите консоль, нажмите любую клавишу для продолжения сканирования Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем checkup.txt; Прикрепите файл к следующему сообщению.Подробнее читайте в руководстве (http://safezone.cc/forum/showthread.php?t=17023).
Firmware
09-11-2012, 19:16
Проблема не проявлялась более суток, думаю тему можно закрыть. Огромное спасибо! :-)
где запрошенные логи MBAM и SecurityCheck ?
Firmware
10-11-2012, 00:34
где запрошенные логи MBAM и SecurityCheck ?
логи MBAM под спойлером в пред посте, а обе ссылки на SecurityCheck не открываются...мб битые?
© OSzone.net 2001-2012
vBulletin v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.