Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] комп в организации - 5 (http://forum.oszone.net/showthread.php?t=186041)

yarcev20071 20-09-2010 23:27 1500310
комп в организации - 5
 
Вложений: 1
Здравствуйте! давно уже у вас не был.....
вот такая вот проблемка у знакомого...
- блокируются 114 сайтов(как я понял) - выходит табличка в браузере(в любом), что типа доступ запрещен internet security(если поставить kis2011) , то доступ запрещен kis 2011.
-изначально перенаправляло на vkontakte, потом(после моего "лечения" - просто указывало на вредоносный url)
что было предпринято:
- удален и заново поставлен kis 2011(базы обновляются без проблем)
-просканировал avz(базы обновляются без проблем)- удалено 40 файлов тулбара и асктулбара(kis2011 во время проверки "поймал" только одного.
- проверен хост- подчищен.
- насколько смог подчистил темпы
- проверил shell и userinit- чисто.
-Appinit - был в vk-saver(удалена программа и почищен параметр)
- отключил все надстройки в браузерах
- сбросил сокет
-при сканировании hijackthis вышли строчки перенаправления в hosts на один адрес - 114 сайтов- "возимел наглость" их пофиксил.СРАЗУ ВОПРОС!- где это они прописаны , если файл hosts чистый?

впрочем, что я вам тут объясняю - вам по логам все будет ясно
:up:



аааааа!!!! блин..... как же низко они в hosts блокировку сайтов закинули....первый раз такое вижу

Drongo 21-09-2010 00:43 1500359
Привет. :)

Цитата:
Цитата yarcev20071
СРАЗУ ВОПРОС!- где это они прописаны , если файл hosts чистый? »
Он "не чистый"

Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\docume~1\c243~1\locals~1\temp\cdrmkaun.sys','');
 QuarantineFile('c:\windows\system32\sdra64.exe','');
 DeleteFile('c:\docume~1\c243~1\locals~1\temp\cdrmkaun.sys');
 DeleteFile('c:\windows\system32\sdra64.exe');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
 DeleteService('cdrmkaun');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(13);
RebootWindows(true);
end.
После всех процедур выполните скрипт
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте на quarantine<at>virusnet.info (at=@) с указанной ссылкой на тему. , в названии темы укажите - "Проверка карантина". В теле сообщения укажите адрес своей темы на форуме. Результаты ответа, сообщите здесь, в теме.


Повторите логи AVZ + MBAM.

• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в блокнот и выложите в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Что с проблемой после выполнения скрипта?

yarcev20071 21-09-2010 22:04 1501112
Вложений: 2
Цитата:
Цитата Drongo
Он "не чистый" »
Цитата:
Цитата yarcev20071
аааааа!!!! блин..... как же низко они в hosts блокировку сайтов закинули....первый раз такое вижу »
поздно заметил(hijackthis все равно делал после avz- так что уже чистый)
но все равно заменил его ради перестраховки со своего компьютера.

итак - выполнил скрипт - по нулям.
сделал новые логи avz(выкладываю) - просмотрел - вроде чисто....
прошелся MBAM(первый лог) - удалил все подчистую
чуть попозжа прошелся еще раз(второй лог) - все оставил на месте.
- прошелся curelt -чисто.
-прошелся tdss,sality,kido,zbotkiller -чисто.
-прошелся gmer(вроде чисто)
-еще раз прошелся kis2010- чисто.
(combofix использовать не стал- очень "тяжелая прога, часто после нее в системе глюки бывают)
- проверил при помощи anvirtask -ничего подозрительного
- удалил все adob-ы
- прошелся по системе разными "чистильщиками"
-еще раз сбросил настройки сети, вручную прописал dnc(пинги до сайтов всегда благополучно проходят)
- запускал браузеры в безопасном(защищенном режиме) и через зону безопасности каспера.

надоело....... поставил ie8 :) ..... инет стал чист..... :)


Время: 23:58.

Время: 23:58.
© OSzone.net 2001-