Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   В системе обнаружен вирус. Использование интернета нежелательно (http://forum.oszone.net/showthread.php?t=212117)

kirill1212 28-07-2011 12:50 1721496
В системе обнаружен вирус. Использование интернета нежелательно
 
Вложений: 1
-----------------------------------------------------------------
http://freedonate.ru - халява в интернете:)
-----------------------------------------------------------------
Здравствуйте,
Иногда при переходе по ссылкам выскакивает хтмл код страницы, а сама страница не грузится
Часто бывает что переходит по ссылке rostelecom.ru где пишут
КАНАЛ ПЕРЕГРУЖЕН
Цитата:
Абонентская служба Ростелеком приносит свои извинения за доставленные неудоства.
Канал вашего района перегружен, и мы вынуждены ограничить загрузку некоторых сайтов на время пока канал не будет разгружен. Мы активно работаем над увеличением канала, однако это займет некоторое время.
Если работа в сети Интернет на текущий момент для вас критична, вы можете подключить резервный канал вашего района. Чтобы подтвердить намерение и крайнюю необходимость перейти на резервный канал ответьте на входящее SMS-сообщение. SMS и использование резервоного канала бесплатно.
Для подтверждения подлючения резервного канала введите свой номер мобильного телефона:
( Пример: 79261255333 )
В течение пару минут вы получите SMS для подтверждения, на которую нужно ответить.
После подтверждения нажмите сюда для автоматического перехода на резервный канал.
Пожалуйста, используйте резервный канал только в случае крайней необходимости, чтобы позволить другим людям решить срочные возникшие вопросы.
Но по орфографии видно что развод чистой воды- ошибки подчёркнуты

И выскакивает сообщение В системе обнаружен вирус. Использование интернета нежелательно
Логи

SolarSpark 28-07-2011 12:58 1721504
программу с животными вам удаляю. сами устанавливали?

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Program Files\VPets\VPets.exe','');
 QuarantineFile('C:\WINDOWS\system32\cryocde.dll','');
 DeleteFile('C:\WINDOWS\system32\cryocde.dll');
 DeleteFile('C:\Program Files\VPets\VPets.exe');
 DeleteFileMask('C:\Program Files\VPets', '*.*', true);
 DeleteDirectory('C:\Program Files\VPets');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', '');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','VPetsPlayer');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой формы. В теле письма укажите свой ник на форуме и ссылку на тему

Пофиксить в HijackThis следующие строчки:
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
O4 - HKCU\..\Run: [VPetsPlayer] C:\Program Files\VPets\VPets.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\cryocde.dll
Сделайте повторные логи AVZ + RSIT

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM

Farger 28-07-2011 12:59 1721505
*** Опоздал :) ***

kirill1212 28-07-2011 13:03 1721508
Цитата:
Цитата Farger
*** Опоздал *** »
)

SolarSpark 28-07-2011 13:14 1721522
kirill1212, смотрите мой пост выше, ответьте про программулину с животными)

kirill1212 28-07-2011 13:16 1721523
Цитата:
Цитата SolarSpark
После выполнения скрипта компьютер перезагрузится! »
Комп не перезагружается!
Цитата:
Цитата SolarSpark
kirill1212, смотрите мой пост выше, ответьте про программулину с животными) »
Дело в том что компьютер сестры, но вроде она сама загружала около 2 месецев назад

SolarSpark 28-07-2011 13:18 1721526
скрипт выполнился?, перегрузитесь вручную и сделайте новые логи

kirill1212 28-07-2011 13:28 1721539
Цитата:
Цитата SolarSpark
O4 - HKCU\..\Run: [VPetsPlayer] C:\Program Files\VPets\VPets.exe »
Такого нету
Цитата:
Цитата SolarSpark
O20 - AppInit_DLLs: C:\WINDOWS\system32\cryocde.dll »
и такого

SolarSpark 28-07-2011 13:31 1721543
Цитата:
Цитата kirill1212
Такого нету »
удалилось) делайте логи AVZ
+

Скачайте RSIT или c зеркала. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

kirill1212 28-07-2011 13:31 1721544
Цитата:
Цитата SolarSpark
Сделайте повторные логи RSIT »
что такое RSIT

SolarSpark 28-07-2011 13:34 1721545
kirill1212, читайте пост выше, мне нужен этот лог

kirill1212 28-07-2011 13:39 1721548
Вложений: 2
rsit:

kirill1212 28-07-2011 13:53 1721555
AVZ:

SolarSpark 28-07-2011 13:56 1721559
Код:
C:\Program Files\SMSDV
C:\Program Files\Matrix
ваше?

Код:
C:\VPets
видимо, лежит инсталлятор животных-переустановите прогу сестры

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\WINDOWS\nsreg.dat','');
 QuarantineFile('C:\WINDOWS\system32\2FB.tmp','');
 DeleteFile('C:\WINDOWS\nsreg.dat');
 DeleteFile('C:\WINDOWS\system32\2FB.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!


жду лог МВАМ

kirill1212 28-07-2011 14:04 1721565
Цитата:
Цитата SolarSpark
жду лог МВАМ »
что это?))

SolarSpark 28-07-2011 14:08 1721569
я писала в своем первом посте как его сделать

дубль два

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM

сделаете проверку,программу не закрывайте-напишу что удалить

kirill1212 28-07-2011 14:25 1721582
Начал сканирование 6 минут назад и кстати зачем писать по английски если изначально ставится русская версия)

SolarSpark 28-07-2011 14:35 1721589
форум многонационален, ставится не только русская, программа мультиязычная

kirill1212 28-07-2011 14:40 1721595
Цитата:
Цитата SolarSpark
программа мультиязычная »
знаю)

kirill1212 28-07-2011 15:06 1721613
что-то долго сканируется(

SolarSpark 28-07-2011 15:08 1721614
у кого как.. в среднем около 2 часов

по заражению: в карантине Trojan.Mayachok.1

kirill1212 28-07-2011 15:10 1721617
Цитата:
Цитата SolarSpark
программу с животными вам удаляю. сами устанавливали? »
сестра сказала она не знает от куда она появилась

Цитата:
Цитата SolarSpark
Trojan.Mayachok.1 »
Маячок- прикольное название))
А что он делает?

kirill1212 28-07-2011 15:17 1721626
Вложений: 1
Отсканировал

SolarSpark 28-07-2011 15:24 1721634
Цитата:
Цитата kirill1212
сестра сказала она не знает от куда она появилась »
тогда удалите папку VPets с корня диска С; хорошо, что зачистили остальное
Цитата:
Цитата kirill1212
А что он делает? »
маякует))
это бекдор с вредоносным функционалом..можете почитать у аналитиков каспера, они его детектируют как Backdoor.Win32.Agent.blkk

чисто, что с проблемой? МВАМ можете закрыть, там одни кряки вашей сестры

kirill1212 28-07-2011 15:32 1721646
Ммм...Типо тайна раскрыта тема закрыта?
спасибо!
И ростелеком теперь стал нормальной страницой!

SolarSpark 28-07-2011 15:38 1721652
пароли смените

Создайте новую контрольную точку восстановления и очистите предыдущие:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
  1. скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
  2. если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
  3. нажмите No, если вы хотите оставить ваши сохраненные пароли
  4. если вы используете Opera, нажмите Opera - Select All - Empty Selected
  5. нажмите No, если вы хотите оставить ваши сохраненные пароли
Для предотвращения заражения рекомендуется:
- не работать за компьютером с правами администратора
- не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендую использовать Firefox c плагином NoScript)
- регулярно устанавливать обновления windows и обновлять антивирусные базы.
- регулярно проверять систему антивирусными утилитами CureIT и AVPTool

никаких тайн) чистого инета!

kirill1212 28-07-2011 16:08 1721679
Цитата:
Цитата SolarSpark
- не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендую использовать Firefox c плагином NoScript) »
1.Использую firefox
2.Скрипт загружу

kirill1212 28-07-2011 16:27 1721691
ещё раз большое спасибо!

SolarSpark 28-07-2011 16:30 1721693
и вам не хворать


Время: 03:36.

Время: 03:36.
© OSzone.net 2001-