Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   злополучный ростелеком (http://forum.oszone.net/showthread.php?t=212282)

dzmoon 30-07-2011 20:47 1722944

злополучный ростелеком
 
Вложений: 2
такая же история http://forum.oszone.net/thread-212214.html
вот мои логи

alex_sev 30-07-2011 21:36 1722974

Смотрю логи, скоро отвечу

Monitor.Win32.KeyLogger - сами устанавливали?

Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\NOTEPAD.EXE','');
 QuarantineFile('C:\WINDOWS\system32\EDWiWtc.exe','');
 QuarantineFile('C:\WINDOWS\system32\1cvqTU5.exe','');
 QuarantineFile('C:\WINDOWS\system32\148E.tmp','');
 QuarantineFile('C:\Documents and Settings\User\Application Data\netprotdrvss.exe','');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\userinit.exe','');
 QuarantineFile('C:\WINDOWS\TEMP\mc21.tmp','');
 QuarantineFile('C:\WINDOWS\system32\rnbilml.dll','');
 DeleteFile('C:\WINDOWS\system32\rnbilml.dll');
 DeleteFile('C:\WINDOWS\TEMP\mc21.tmp');
 DeleteFile('C:\WINDOWS\system32\1cvqTU5.exe');
 DeleteFile('C:\WINDOWS\system32\EDWiWtc.exe');
 DeleteFile('C:\WINDOWS\system32\148E.tmp');
 DeleteFile('C:\Documents and Settings\User\Application Data\netprotdrvss.exe');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\userinit.exe');
 DelBHO('{8B2D996F-B7D1-4961-A929-414D9CF5BA7B}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Повторите логи AVZ и RSIT

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

dzmoon 30-07-2011 21:49 1722980

спасибо сейчаспопробую. насчет Monitor.Win32.KeyLogger не знаю, а что это м.б.?

dzmoon 30-07-2011 23:43 1723041

Вложений: 2
пока эти файлы. Malwarebytes' Anti-Malware ещё сканирует.

alex_sev 31-07-2011 00:26 1723057

Уже получше жду лога MBAM,
затем сделайте еще лог UVS

alex_sev 31-07-2011 00:51 1723059

1cvqTU5.exe - Trojan.Win32.Jorik.Shiz.gd
netprotdrvss.exe - Trojan.Win32.VBKrypt.efma
rnbilml.dll - Trojan.Win32.Mondere.hc

dzmoon 31-07-2011 11:30 1723142

Вложений: 2
я вчера сам так и не дождался пока MBAM всё отсканирует. слишком много мусора на компе, жаль, что нельзя сделать выборочное сканирование. поэтому шлю вам только часть лога, там он ругнулся на totalcmd. также прикрепляю лог UVS. спасибо!

alex_sev 31-07-2011 12:01 1723163

Выполните скрипт в UVS

Код:

;uVS v3.68 script [http://dsrt.dyndns.org]

delall %SystemRoot%\TEMP\MC22.TMP
deltmp
restart

Компьютер перезагрузится.

Как самочувствие системы?

dzmoon 31-07-2011 12:12 1723166

самочувствие нормально. проблема устранена. спасибо большое!!!

alex_sev 31-07-2011 12:25 1723169

Жду лога MBAM, затем будут даны окончательные рекомендации.

dzmoon 31-07-2011 12:40 1723177

к вечеру постараюсь сделать

alex_sev 31-07-2011 12:47 1723186

Хорошо, жду

dzmoon 31-07-2011 17:08 1723360

Вложений: 1
вот наконец-то. что скажите?

alex_sev 31-07-2011 17:16 1723368

Удалите в MBAM все кроме:

Код:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avz.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\hijackthis.exe (Security.Hijack) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Value: ForceClassicControlPanel -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
c:\Games\GTAIV\launchgtaiv.exe (Risktool.Crack) -> No action taken.
c:\WINDOWS\green fields.scr (Malware.Packer.Gen) -> No action taken.

Сделайте лог RSIT для контроля

dzmoon 31-07-2011 17:36 1723382

Вложений: 2
вот лог. правда punto switcher перестал работать, переустановлю сейчас.

alex_sev 31-07-2011 17:45 1723391

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFileMask('C:\Documents and Settings\User\Application Data\winxzip', '*.*', true);
 DeleteDirectory('C:\Documents and Settings\User\Application Data\winxzip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Внимание! Смените все пароли ICQ, Контакт, Почта итд

Необходимо очистить ранее созданную точку восстановления и создать новую:
1. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
2. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить


Для предотвращения заражения рекомендуется:
- не работать за компьютером с правами администратора
- не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендуется использовать Firefox c плагином NoScript)
- регулярно устанавливать обновления windows и антивирусного продукта (обновлять антивирусные базы и модули)

Обновите до последних версий:

Как самочувствие системы?

dzmoon 31-07-2011 18:11 1723403

выполнил все рекомендации. все работает!

alex_sev 31-07-2011 19:36 1723462

Желаю больше не болеть!

dzmoon 31-07-2011 21:13 1723521

спасибо за оперативную и профессиональную поддержку!
P.S. где скачать плагин NoScript к Firefox?

alex_sev 31-07-2011 21:39 1723543

Вот здесь

https://addons.mozilla.org/ru/firefox/addon/noscript/

Краткое пособие по плагину:

После установки плагина в углу появиться его значок
Теперь если при заходе на страницу интернета все нормально отображается действий не требуется
Если есть какие-либо проблемы (не качается файл, не играет музыка или видео), щелкаем по значку и разрешаем выполнение скриптов на этой странице
Будьте уверены в странице где разрешаете выполнение скриптов

dzmoon 31-07-2011 21:55 1723565

спасибо, установил


Время: 15:38.

Время: 15:38.
© OSzone.net 2001-