Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   злополучный ростелеком (http://forum.oszone.net/showthread.php?t=212282)

dzmoon 30-07-2011 20:47 1722944
злополучный ростелеком
 
Вложений: 2
такая же история http://forum.oszone.net/thread-212214.html
вот мои логи

alex_sev 30-07-2011 21:36 1722974
Смотрю логи, скоро отвечу

Monitor.Win32.KeyLogger - сами устанавливали?

Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\NOTEPAD.EXE','');
 QuarantineFile('C:\WINDOWS\system32\EDWiWtc.exe','');
 QuarantineFile('C:\WINDOWS\system32\1cvqTU5.exe','');
 QuarantineFile('C:\WINDOWS\system32\148E.tmp','');
 QuarantineFile('C:\Documents and Settings\User\Application Data\netprotdrvss.exe','');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\userinit.exe','');
 QuarantineFile('C:\WINDOWS\TEMP\mc21.tmp','');
 QuarantineFile('C:\WINDOWS\system32\rnbilml.dll','');
 DeleteFile('C:\WINDOWS\system32\rnbilml.dll');
 DeleteFile('C:\WINDOWS\TEMP\mc21.tmp');
 DeleteFile('C:\WINDOWS\system32\1cvqTU5.exe');
 DeleteFile('C:\WINDOWS\system32\EDWiWtc.exe');
 DeleteFile('C:\WINDOWS\system32\148E.tmp');
 DeleteFile('C:\Documents and Settings\User\Application Data\netprotdrvss.exe');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\userinit.exe');
 DelBHO('{8B2D996F-B7D1-4961-A929-414D9CF5BA7B}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Повторите логи AVZ и RSIT

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

dzmoon 30-07-2011 21:49 1722980
спасибо сейчаспопробую. насчет Monitor.Win32.KeyLogger не знаю, а что это м.б.?

dzmoon 30-07-2011 23:43 1723041
Вложений: 2
пока эти файлы. Malwarebytes' Anti-Malware ещё сканирует.

alex_sev 31-07-2011 00:26 1723057
Уже получше жду лога MBAM,
затем сделайте еще лог UVS

alex_sev 31-07-2011 00:51 1723059
1cvqTU5.exe - Trojan.Win32.Jorik.Shiz.gd
netprotdrvss.exe - Trojan.Win32.VBKrypt.efma
rnbilml.dll - Trojan.Win32.Mondere.hc

dzmoon 31-07-2011 11:30 1723142
Вложений: 2
я вчера сам так и не дождался пока MBAM всё отсканирует. слишком много мусора на компе, жаль, что нельзя сделать выборочное сканирование. поэтому шлю вам только часть лога, там он ругнулся на totalcmd. также прикрепляю лог UVS. спасибо!

alex_sev 31-07-2011 12:01 1723163
Выполните скрипт в UVS

Код:
;uVS v3.68 script [http://dsrt.dyndns.org]

delall %SystemRoot%\TEMP\MC22.TMP
deltmp
restart
Компьютер перезагрузится.

Как самочувствие системы?

dzmoon 31-07-2011 12:12 1723166
самочувствие нормально. проблема устранена. спасибо большое!!!

alex_sev 31-07-2011 12:25 1723169
Жду лога MBAM, затем будут даны окончательные рекомендации.

dzmoon 31-07-2011 12:40 1723177
к вечеру постараюсь сделать

alex_sev 31-07-2011 12:47 1723186
Хорошо, жду

dzmoon 31-07-2011 17:08 1723360
Вложений: 1
вот наконец-то. что скажите?

alex_sev 31-07-2011 17:16 1723368
Удалите в MBAM все кроме:

Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avz.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\hijackthis.exe (Security.Hijack) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Value: ForceClassicControlPanel -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
c:\Games\GTAIV\launchgtaiv.exe (Risktool.Crack) -> No action taken.
c:\WINDOWS\green fields.scr (Malware.Packer.Gen) -> No action taken.
Сделайте лог RSIT для контроля

dzmoon 31-07-2011 17:36 1723382
Вложений: 2
вот лог. правда punto switcher перестал работать, переустановлю сейчас.

alex_sev 31-07-2011 17:45 1723391
Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFileMask('C:\Documents and Settings\User\Application Data\winxzip', '*.*', true);
 DeleteDirectory('C:\Documents and Settings\User\Application Data\winxzip');
RebootWindows(true);
end.
Компьютер перезагрузится.

Внимание! Смените все пароли ICQ, Контакт, Почта итд

Необходимо очистить ранее созданную точку восстановления и создать новую:
1. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
2. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить


Для предотвращения заражения рекомендуется:
- не работать за компьютером с правами администратора
- не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендуется использовать Firefox c плагином NoScript)
- регулярно устанавливать обновления windows и антивирусного продукта (обновлять антивирусные базы и модули)

Обновите до последних версий:

Как самочувствие системы?

dzmoon 31-07-2011 18:11 1723403
выполнил все рекомендации. все работает!

alex_sev 31-07-2011 19:36 1723462
Желаю больше не болеть!

dzmoon 31-07-2011 21:13 1723521
спасибо за оперативную и профессиональную поддержку!
P.S. где скачать плагин NoScript к Firefox?

alex_sev 31-07-2011 21:39 1723543
Вот здесь

https://addons.mozilla.org/ru/firefox/addon/noscript/

Краткое пособие по плагину:

После установки плагина в углу появиться его значок
Теперь если при заходе на страницу интернета все нормально отображается действий не требуется
Если есть какие-либо проблемы (не качается файл, не играет музыка или видео), щелкаем по значку и разрешаем выполнение скриптов на этой странице
Будьте уверены в странице где разрешаете выполнение скриптов

dzmoon 31-07-2011 21:55 1723565
спасибо, установил


Время: 15:38.

Время: 15:38.
© OSzone.net 2001-