Показать полную графическую версию : [решено] I need help!
boroda_gres
11-04-2013, 10:45
Случилась беда!!!! При открытии гугла выходит сообщение "Мы зарегистрировали подозрительный трафик, исходящий из вашей сети.
С помощью этой страницы мы сможем определить, что запросы отправляете именно вы, а не робот.
Чтобы продолжить поиск, пожалуйста, введите свой номер телефона в поле ввода и нажмите «Отправить»."
На яндексе "ой...
Нам очень жаль, но запросы, поступившие с вашего IP-адреса, похожи на автоматические. По этой причине мы вынуждены временно заблокировать доступ к поиску.
Чтобы продолжить поиск, пожалуйста, введите свой номер телефона в поле ввода и нажмите «Отправить»."
Так же не пускает в почту на mail.ru
Прошу срочной помощи!!!
Здравствуйте!
Скачайте Universal Virus Sniffer (http://dsrt.dyndns.org/uvsfiles.htm) (uVS)
Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив иначе это будет необходимо сделать вам вручную. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да". Подробнее читайте в руководстве Как подготовить лог UVS (http://safezone.cc/forum/showpost.php?p=79351&postcount=1)
boroda_gres
11-04-2013, 11:21
Сделал как Вы сказали.
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/forum/showthread.php?t=18577). Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите правой кнопкой мыши и скопируйте следующий скрипт в буфер обмена:
;uVS v3.77.8 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
breg
; C:\PROGRAMDATA\MOZILLA\EKDNKEH.DLL
bl 6E4F1D8DA890B0D50D16272F2C284781 58368
addsgn A7679BCB3DF64D720BBEAE4E7144B305350F3C828EC9DF914CC3C5BC05D330702317C61602559D4C6ABC849F435775FA7DDA A94E55DAB56D1177A42A863A2273 64 Trojan.WebSpoof.Gen.AK
zoo %SystemDrive%\PROGRAMDATA\MOZILLA\EKDNKEH.DLL
zoo %SystemRoot%\COPYFSTQ.EXE
delall C:\PROGRAMDATA\MOZILLA\EKDNKEH.DLL
chklst
delvir
czoo
restart В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2011-06-30_22-04-27.7z)
Если архив отсутствует, то заархивруйте папку ZOO (http://safezone.cc/forum/showthread.php?t=19310) с паролем virus. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Подробнее читайте в этом руководстве (http://safezone.cc/forum/showpost.php?p=79352&postcount=1).
Повторите лог uVS.
boroda_gres
11-04-2013, 12:22
Всё сделал как Вы описали, лог приложить не могу из-за ограничений на вложения на Вашем форуме.
Удалите первые логи и выложите последний.
boroda_gres
11-04-2013, 12:37
Всё сделал, старый удалил, новый вложил. На электронку отправил.
В безопасном режиме (http://safezone.cc/forum/showthread.php?t=19645) выполните:
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/forum/showthread.php?t=18577). Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите правой кнопкой мыши и скопируйте следующий скрипт в буфер обмена:
;uVS v3.77.8 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
breg
; C:\PROGRAMDATA\MOZILLA\EKDNKEH.DLL
addsgn A7679BCB3DF64D720BBEAE4E7144B305350F3C828EC9DF914CC3C5BC05D330702317C61602559D4C6ABC849F435775FA7DDA A94E55DAB56D1177A42A863A2273 64 Trojan.WebSpoof.Gen.AK
bl 6E4F1D8DA890B0D50D16272F2C284781 58368
delall %SystemDrive%\PROGRAMDATA\MOZILLA\EKDNKEH.DLL
chklst
delvir
restart В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2011-06-30_22-04-27.7z)
Если архив отсутствует, то заархивруйте папку ZOO (http://safezone.cc/forum/showthread.php?t=19310) с паролем virus. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Подробнее читайте в этом руководстве (http://safezone.cc/forum/showpost.php?p=79352&postcount=1).
Повторите лог uVS.
boroda_gres
11-04-2013, 13:36
Всё сделал, папа ZOO или одноимённый архив не появились.
Повторите лог uVS. »
Что с проблемой?
boroda_gres
11-04-2013, 14:24
Проблема осталась, лог прикрутил
Попробуем еще так:
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/forum/showthread.php?t=18577).
Выполните скрипт в АВЗ (http://forum.oszone.net/post-1430637-4.html) (Файл - Выполнить скрипт):
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\ProgramData\Mozilla\ekdnkeh.dll','');
DeleteFile('C:\ProgramData\Mozilla\ekdnkeh.dll');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_ImportAll;
ExecuteSysClean;
BC_DeleteFile('C:\ProgramData\Mozilla\ekdnkeh.dll');
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end. Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы (http://www.oszone.net/virusnet/) или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Повторите логи AVZ.
boroda_gres
12-04-2013, 07:09
Всё сделал, архив отправил с помощью формы, логи прикрепил.
boroda_gres
12-04-2013, 08:27
Решение нашлось! К сожалению с помошью Ваших скриптов удалить заразу не получилось, даже не знаю почему. Но в этих скриптах я увидел какой файл нужно удалить. Запустив утилиту uvs_v377, при запуске она сканирует и выдаёт список подозрительных файлов, я увидел нужный мне(заражённый) файл. Нажав правую клавишу мыши на нужном мне файле я выбрал пункт "Удалить все связи вместе с файлом", далее я соглашался со всеми закрытиями процессов. После данной процедуры вешло окно предлагающее перезагрузить ПК. После перезагрузки всё заработало. Спасибо запомощь и уделённое время!
Для уверенности сделайте еще раз лог с помощью uVS.
Для профилактики повторных заражений скачайте и запустите SecurityCheck by glax24 (http://tools.safezone.cc/glax24/SecurityCheck/SecurityCheck.exe), когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности. Скачайте и установите обновления по ссылкам.
Рекомендации после лечения (http://forum.oszone.net/post-1838507-9.html).
boroda_gres
12-04-2013, 10:13
Вот лог и прикрепил лог uVS
"Security Check by glax24 version 0.1.6.54 rc1
WebSite: www.safezone.cc
DataLog 12.04.2013 12:11:17
Program directory: C:\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True
XML File - VersionLocal=3.8
Диск C:\ ФС: NTFS Емкость: (232.8 Гб) Занято: (180.9 Гб) Свободно: (51.9 Гб)
__________________________________________________
WIN_7(6.1) Build 7601 (x64) Ultimate Lang: Russian(0419)
Дата установки ОС: 14.10.2012 17:24:51
Статус лицензии: Windows(R) 7, Ultimate edition Постоянная активация прошла успешно.
Service Pack 1
Internet Explorer 9.0.8112.16421
-------------Windows------------------------------
Контроль учётных записей пользователя отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Запрос на повышение прав для администраторов отключен
Запрос на повышение прав для обычных пользователей отключен
Автоматическое обновление отключено
Центр обновления Windows (wuauserv) - Служба остановлена
Центр обеспечения безопасности (wscsvc) - Служба работает
-------------Antivirus_WMI------------------------
Symantec Endpoint Protection
-------------Firewall_WMI-------------------------
Symantec Endpoint Protection
-------------AntiSpyware_WMI----------------------
Windows Defender
Symantec Endpoint Protection
-------------AntiVirusFirewallInstall-------------
Symantec Endpoint Protection v.11.0.5002.333
-------------Java---------------------------------
Java(TM) 6 Update 35 v.6.0.350 Внимание! Скачать обновления (http://www.oracle.com/technetwork/java/javase/downloads/jdk6downloads-1902814.html)
^Удалите старую версию и установите новую (jdk-6u43-windows-i586.exe)^
-------------AppleProduction----------------------
Bonjour v.2.0.5.0 Внимание! Скачать обновления (http://www.apple.com/ru/support/bonjour/)
QuickTime v.7.69.80.9 Внимание! Скачать обновления (http://www.apple.com/ru/quicktime/)
Служба Bonjour (Bonjour Service) - Служба работает
-------------AdobeProduction----------------------
Adobe Flash Player 11 ActiveX v.11.6.602.180 Внимание! Скачать обновления (http://download.macromedia.com/get/flashplayer/current/licensing/win/install_flash_player_11_active_x.exe)
Adobe Flash Player 11 Plugin v.11.6.602.180 Внимание! Скачать обновления (http://download.macromedia.com/get/flashplayer/current/licensing/win/install_flash_player_11_plugin.exe)
Adobe Reader 9.2 - Russian v.9.2.0 Внимание! Скачать обновления (http://get.adobe.com/reader/)
-------------Browser------------------------------
Yandex v.22.0.1106.241
Mozilla Firefox 16.0.2 (x86 ru) v.16.0.2 Внимание! Скачать обновления (http://www.mozilla.org/ru/firefox/fx)
Opera 12.11 v.12.11.1661 Внимание! Скачать обновления (http://www.opera.com/browser/)
-------------RunningProcess-----------------------
C:\Program Files (x86)\Opera\opera.exe v.12.11.1661.0
-------------EndLog-------------------------------
"
Последний раз (почистим "хвосты"):
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/forum/showthread.php?t=18577). Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите правой кнопкой мыши и скопируйте следующий скрипт в буфер обмена:
;uVS v3.77.8 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
breg
delall %SystemDrive%\PROGRAMDATA\MOZILLA\SBMYHOC.EXE
chklst
delvir
restart В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
Обновляйтесь по ссылкам из вашего сообщения и
Рекомендации после лечения (http://forum.oszone.net/post-1838507-9.html).
boroda_gres
12-04-2013, 10:58
Огромное спасибо за помощь!!!!
© OSzone.net 2001-2012
vBulletin v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.