Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Всплывающее окно (http://forum.oszone.net/showthread.php?t=202027)

Abbat_Nikolas 15-03-2011 01:19 1635056
Всплывающее окно
 
Вложений: 1
Стало появляться окно

В системе обнаружен вирус. Использование интернета нежелательно. Браузер зафиксировал попытки внесения изменений в его работу.

Предлагается скачать критическое обновление против вируса trojan.win32.inject.aoho

Периодически открываются страницы в виде исходного кода. Браузер Мозилла 3.6.

Чужие скрипты не трогал.

SolarSpark 15-03-2011 07:28 1635115
Обновите Internet Explorer до IE8


Проверьте сами на http://www.virustotal.com файл

Код:
C:\PROGRA~1\Webteh\BSPLAY~1\mmkeybsupp.dll
C:\PROGRA~1\Yandex\PUNTOS~1\pshook.dll
c:\progra~1\hp\hpsoft~1\hpwusc~1.exe
C:\Program Files\NVIDIA Corporation\nView\nvshell.dll
ссылки на результаты запостите здесь

Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
StopService('PowerManager');
 QuarantineFile('C:\PROGRA~1\Webteh\BSPLAY~1\mmkeybsupp.dll','');
 QuarantineFile('C:\WINDOWS\svchost.com','');
 QuarantineFile('C:\System Volume Information\_restore{56E2DB1B-6AFE-49DD-965B-95B4568EFA26}\RP43\A0005837.com','');
 QuarantineFile('C:\Program Files\NVIDIA Corporation\nView\nvshell.dll','');
 QuarantineFile('C:\WINDOWS\svchost.exe','');
 QuarantineFile('C:\WINDOWS\system32\tukvpvi.dll','');
 QuarantineFile('C:\PROGRA~1\Yandex\PUNTOS~1\pshook.dll','');
 QuarantineFile('c:\progra~1\hp\hpsoft~1\hpwusc~1.exe','');
 DeleteFile('C:\WINDOWS\system32\tukvpvi.dll');
 DeleteFile('C:\WINDOWS\svchost.exe');
 DeleteFile('C:\System Volume Information\_restore{56E2DB1B-6AFE-49DD-965B-95B4568EFA26}\RP43\A0005837.com');
 DeleteFile('C:\WINDOWS\svchost.com');
 DeleteService('PowerManager');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', '');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(1);
 ExecuteRepair(16);
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой формы
В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

Пофиксить в HijackThis следующие строчки:
Код:
O20 - AppInit_DLLs: C:\WINDOWS\system32\tukvpvi.dll
Далее,

Цитата:
Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных
проверяемся Лечащей утилитой Dr.Web CureIt!® или Dr.Web LiveCD

и только после проверки CureIt скачиваем свежую версию AVZ, обновляем базы!!!

Цитата:
Внимание !!! База поcледний раз обновлялась 21.07.2008 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
+
делаем лог RSIR
+
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM.

и меняем все важные пароли!

Abbat_Nikolas 15-03-2011 13:48 1635378
Вложений: 2
1) Файлы.zip
2) Выполнил.

A0005837.com,
svchost.com - Virus.Win32.Neshta.a
tukvpvi.dll - Trojan.Win32.Zapchast.far

В настоящий момент эти файлы определяются антивирусом со свежими антивирусными базами.

mmkeybsupp.dll

Вредоносный код в файле не обнаружен.

pshook.dll

Файл в процессе обработки.


3) Пофиксил.
4) Лог что-сир? :)
5) mbam-log-2011-03-15 (13-42-02).zip

zirreX 15-03-2011 14:07 1635397
Удалите в MBAM:

Код:
Заражённые ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SETUP.EXE (Trojan.Agent) -> No action taken.

Заражённые файлы:
c:\documents and settings\Abbat\local settings\Temp\setup.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\Abbat\local settings\temporary internet files\Content.IE5\8CQZELI7\firefox%20setup%203.6.15[1].exe (Trojan.Agent) -> No action taken.
c:\documents and settings\Abbat\local settings\temporary internet files\Content.IE5\BW2QCGEF\readme[2].exe (Trojan.Agent) -> No action taken.
Прикрепите новые логи AVZ и RSIT

SolarSpark 15-03-2011 21:19 1635732
Abbat_Nikolas,
Цитата:
Цитата zirreX
Прикрепите новые логи AVZ и RSIT »
выполнять только
Цитата:
Цитата maniy77
после проверки CureIt »
лечим файловый вирус


Время: 23:05.

Время: 23:05.
© OSzone.net 2001-