Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Косяк при загрузке страниц. Перенаправление на ростелеком (http://forum.oszone.net/showthread.php?t=212192)

SaintDevil 29-07-2011 10:05 1722083
Косяк при загрузке страниц. Перенаправление на ростелеком
 
У меня пробелма полностью эдентичная той, что описанна в этой теме.
Прошу помочь.

alex_sev 29-07-2011 10:10 1722088
Смотрю логи скоро отвечу

Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\xdyuwbh.dll','');
 QuarantineFile('C:\WINDOWS\system32\189.tmp','');
 DeleteFile('C:\WINDOWS\system32\xdyuwbh.dll');
 DeleteFile('C:\WINDOWS\system32\189.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Пофиксите в HJT:

Код:
R3 - URLSearchHook: (no name) - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - (no file)
F2 - REG:system.ini: UserInit=userinit.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\xdyuwbh.dll
Повторите логи AVZ и RSIT

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Прокси сами настраивали?

alex_sev 29-07-2011 11:16 1722125
C:\WINDOWS\system32\xdyuwbh.dll - Trojan.MulDrop2.50825

SaintDevil 29-07-2011 12:12 1722163
Вложений: 2
в HJT не было строки O20 - AppInit_DLLs: C:\WINDOWS\system32\xdyuwbh.dll
лог от Malwarebytes' Anti-Malware не влазит сюда, весит 240кб
куда запихнуть/скинуть?

alex_sev 29-07-2011 12:37 1722174
Запакуйте в архив и прикрепите

Прокси сами настраивали?

SaintDevil 29-07-2011 13:40 1722216
Вложений: 1
на счет прокси нет, это комп на работе, и может настраивал человек который сидел тут до меня
если честно, то я как то даже не подозревал что где то на компе еще и прокси настроен

alex_sev 29-07-2011 13:52 1722227
Ок, повторите сканирование и удалите в MBAM все кроме этих строк:

Код:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Value: ForceClassicControlPanel -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
c:\program files\half-open\tools\CertMgr.Exe (Malware.Packer.Gen) -> No action taken.
c:\system volume information\_restore{9b2d4717-fba9-45e5-941c-296ef5ba483b}\RP29\A0076511.exe (PUP.PasswordView) -> No action taken.
c:\system volume information\_restore{9b2d4717-fba9-45e5-941c-296ef5ba483b}\RP29\A0076512.exe (Malware.Packer.Gen) -> No action taken.
c:\system volume information\_restore{9b2d4717-fba9-45e5-941c-296ef5ba483b}\RP29\A0076580.exe (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\greenfields.scr (Malware.Packer.Gen) -> No action taken.
c:\WINDOWS\system32\inetsrv\iissync.exe (Virus.Expiro) -> No action taken.
d:\dowload\программы\nero 7 premium edition 7.7.5.1\KEYGEN.exe (RiskWare.Tool.HCK) -> No action taken.
d:\system volume information\_restore{0e8be996-f7ae-4e74-9f9c-c03d54d2990d}\RP12\A0019020.exe (Rogue.CasinoTropez) -> No action taken.
d:\system volume information\_restore{0e8be996-f7ae-4e74-9f9c-c03d54d2990d}\RP12\A0019100.exe (PUP.Casino) -> No action taken.
c:\WINDOWS\system32\drivers\str.sys (Rootkit.Agent) -> No action taken.
c:\WINDOWS\system32\MRS.exe (Backdoor.Bot) -> No action taken.
Эти файлы запакуйте в архив с паролем virus

Код:
c:\WINDOWS\system32\inetsrv\iissync.exe (Virus.Expiro) -> No action taken.
c:\WINDOWS\system32\drivers\str.sys (Rootkit.Agent) -> No action taken.
Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Пофиксите в HJT:

Код:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
Повторите логи RSIT

SaintDevil 29-07-2011 14:09 1722238
Вложений: 2
готово

alex_sev 29-07-2011 14:13 1722241
Как самочувствие системы?

SaintDevil 29-07-2011 14:20 1722244
в данный момент дико тупит, MBAM чистит все что нашел(
а на счет инета, то кажется заработало, по крайней мере больше не перенаправляет) огромное спасибо за помощь
а где именно сидел то вирус?
просто как словил его я понял, вчера открыл exe'шный архив, и система сразу ушла в ребут, дальше началось перенаправление

alex_sev 29-07-2011 14:25 1722249
В посте №3 указал.

Как почистите в MBAM будет перезагрузка.

Пришлите архив, о котором я Вас просил.

Затем выполните скрипт в AVZ:

Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelBHO('{710EB7A1-45ED-11D0-924A-0020AFC7AC4D}');
 DelBHO('{8B2D996F-B7D1-4961-A929-414D9CF5BA7B}');
RebootWindows(true);
end.
Компьютер перезагрузится, затем отпишитесь о самочувствии

SaintDevil 29-07-2011 15:24 1722294
файл я отправил, там архив quarantine.zip
скрипт выполнил, вроде все нормально)
еще рекомендации будут?)

alex_sev 29-07-2011 16:16 1722332
Да, конечно:

Внимание! Смените все пароли ICQ, Контакт, Почта итд

Необходимо очистить ранее созданную точку восстановления и создать новую:
1. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
2. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить


Для предотвращения заражения рекомендуется:
- не работать за компьютером с правами администратора
- не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендуется использовать Firefox c плагином NoScript)
- регулярно устанавливать обновления windows и антивирусного продукта (обновлять антивирусные базы и модули)

Обновите до последних версий:
Карантин так к сожалению не пришел, отправьте мне на мыло: severnyj <at> mail.ru <at>=@

SaintDevil 30-07-2011 07:06 1722682
все сделал и файл выслал на указанное мыло


Время: 07:13.

Время: 07:13.
© OSzone.net 2001-