Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Помогите с лечением вируса (http://forum.oszone.net/showthread.php?t=211668)

Dolin 22-07-2011 08:05 1717541
Помогите с лечением вируса
 
Вложений: 1
Около пол месяца назад, началась проблема с компьютером, точнее с браузерами, будь то Internet Explorer, либо Opera. В Opera пишет соединение закрыто удаленным сервером, а Internet Explorer - Internet Explorer не может отобразить эту старницу. В Opera иногда выходит исходный код. Сделал логи как описано на форуме в AVZ и RSIT, находятся они в прикрепленном файле Logs.rar
Помогите пожалуйста с решением данной проблемы.
Зарание благодарен всем откликнувшимся.

alex_sev 22-07-2011 08:12 1717547
Пролечитесь сначала так: http://support.kaspersky.ru/viruses/...?qid=208639609

Лог утилиты прикрепите к следующему сообщению.

После лога TDSSKiller

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\tunvhnl.dll','');
 QuarantineFile('C:\WINDOWS\system32\41.tmp','');
 DeleteFile('C:\WINDOWS\system32\tunvhnl.dll');
 DeleteFile('C:\WINDOWS\system32\41.tmp');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив отправьте с помощью этой формы с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Dolin 22-07-2011 09:18 1717579
Выполнил все что было описано, кроме
"Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту."

Помогло, только при открытии Internet Explorer при загрузке первой страницы выходит сообщение о присутствии в системе вредоносного ПО, затем сообщение о обновлении данного браузера, естественно я не согласился. По страницам ходит нормально, ошибок не пишет ни Opera ни Internet Explorer.
Спасибо огромное за помощь!!!

alex_sev 22-07-2011 09:36 1717584
Цитата:
Цитата Dolin
Помогло, только при открытии Internet Explorer при загрузке первой страницы выходит сообщение о присутствии в системе вредоносного ПО »
Это значит, что зловред еще в системе, предлагаю продолжать лечение с выполнением всех рекомендаций хелперов.

Логов TDSSKiller'a я так и не вижу.

Dolin 22-07-2011 12:30 1717745
Вложений: 1
Лог TDSSKiller

alex_sev 22-07-2011 12:36 1717748
Хорошо, сделайте для контроля лог MBAM а также

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению."

Dolin 22-07-2011 13:15 1717784
Вложений: 2
Лог Malwarebytes' Anti-Malware

alex_sev 22-07-2011 13:24 1717792
Еще подхватили зловреда (((

Удалите в MBAM:

Код:
c:\documents and settings\беломестнова\application data\lsass.exe (Spyware.Passwords.XGen) -> 1688 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.Userinit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\Беломестнова\Application Data\lsass.exe) Good: (Userinit.exe) -> No action taken.
c:\documents and settings\беломестнова\application data\lsass.exe (Spyware.Passwords.XGen) -> No action taken.
Выполните скрипт в AVZ:

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\documents and settings\беломестнова\application data\lsass.exe','');
 DeleteFile('c:\documents and settings\беломестнова\application data\lsass.exe');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив отправьте с помощью этой формы с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

После жду лог Combofix

Dolin 22-07-2011 13:31 1717800
Вложений: 2
Лог Combofix

Dolin 22-07-2011 13:46 1717808
Вложений: 2
Проделал все предложенные операции. Эта "скотина" все равно выдает соощение об обновлении вот скрин. Интернет работает.

alex_sev 22-07-2011 15:00 1717866
Закройте все программы

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner - скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected. - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected - нажмите No, если вы хотите оставить ваши сохраненные пароли - если вы используете Opera, нажмите Opera - Select All - Empty Selected - нажмите No, если вы хотите оставить ваши сохраненные пароли.

Повторите логи АВЗ и RSIT

alex_sev 22-07-2011 15:22 1717883
Еще несколько вопросов:

В хост-файл сами прописывали?
192.162.16.197 srvmail

Radmin сами устанавливали?

Стартовая страница Вашей сборки hxxp://lonerd.dreamprogs.net Вам так необходима?


Время: 02:32.

Время: 02:32.
© OSzone.net 2001-