Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   РОСТЕЛЕКОМ Спасите SOS ...---... (http://forum.oszone.net/showthread.php?t=212783)

mitia54 07-08-2011 20:15 1727423
РОСТЕЛЕКОМ Спасите SOS ...---...
 
Вложений: 2
Проблема -вирус ростелеком.

SolarSpark 07-08-2011 20:41 1727442
Почему лог RSIT не полный?

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('C:\Windows\system32\wmzspwc.dll','');
 DeleteFile('C:\Windows\system32\wmzspwc.dll');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', '');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 DeleteFileMask('C:\WINDOWS\TEMP\', '*.*', true);
 DeleteFileMask(GetEnvironmentVariable ('Temp'), '*.*', true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой формы. В теле письма укажите свой ник на форуме и ссылку на тему

Пофиксить в HijackThis следующие строчки:
Код:
        O20 - AppInit_DLLs: C:\Windows\system32\wmzspwc.dll
Сделайте повторные логи AVZ + RSIT

Внимание !!! База поcледний раз обновлялась 25.08.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM

mitia54 07-08-2011 23:21 1727537
Почему лог RSIT не полный?
пишет какую-то ошибку.

alex_sev 08-08-2011 09:13 1727671
Лог MBAM сделайте потом поглядим!

mitia54 08-08-2011 13:09 1727820
AVZ- закрывается после ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');


пишет вот что

Сигнатура проблемы:
Имя события проблемы: APPCRASH
Имя приложения: avz.exe
Версия приложения: 4.35.0.1
Отметка времени приложения: 2a425e19
Имя модуля с ошибкой: advapi32.dll
Версия модуля с ошибкой: 6.1.7600.16385
Отметка времени модуля с ошибкой: 4a5bd97e
Код исключения: c0000096
Смещение исключения: 00022a53
Версия ОС: 6.1.7600.2.0.0.256.1
Код языка: 1049
Дополнительные сведения 1: c396
Дополнительные сведения 2: c396f6d0bf25ca718fa81ec7f959a449
Дополнительные сведения 3: c396
Дополнительные сведения 4: c396f6d0bf25ca718fa81ec7f959a449


Что делать. Помогите, пжлст

alex_sev 08-08-2011 13:25 1727827
Попробуйте выполнить скрипт в безопасном режиме.

Или:

Скачайте RKill by Grinler на рабочий стол по одной из этих ссылок

Отключите антивирусное ПО и запустите программу.
Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Дождитесь окончания работы программы и формирования лога который будет находиться по адресу C:\rkill.log. Прикрепите его к своему сообщению.

Не перезагружая компьютер выполните скрипт в АВЗ.

Код:
begin
SetAVZGuardStatus(True);
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('C:\Windows\system32\wmzspwc.dll','');
 DeleteFile('C:\Windows\system32\wmzspwc.dll');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', '');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 DeleteFileMask('C:\WINDOWS\TEMP\', '*.*', true);
 DeleteFileMask(GetEnvironmentVariable ('Temp'), '*.*', true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Далее выполняйте из первого ответа консультанта.

mitia54 08-08-2011 13:43 1727839
спасибо

mitia54 08-08-2011 19:29 1728117
в HijackThis нет строчки:
Код:
O20 - AppInit_DLLs: C:\Windows\system32\wmzspwc.dll

что делать?

mitia54 08-08-2011 20:23 1728139
результат Malwarebytes' Anti-Malware

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Версия базы данных: 7410

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

08.08.2011 20:15:10
mbam-log-2011-08-08 (20-14-36).txt

Тип сканирования: Полное сканирование (C:\|D:\|)
Просканированные объекты: 224662
Времени прошло: 40 минут, 2 секунд

Зараженные процессы в памяти: 0
Зараженные модули в памяти: 0
Зараженные ключи в реестре: 0
Зараженные параметры в реестре: 1
Объекты реестра заражены: 3
Зараженные папки: 0
Зараженные файлы: 3

Зараженные процессы в памяти:
(Вредоносных программ не обнаружено)

Зараженные модули в памяти:
(Вредоносных программ не обнаружено)

Зараженные ключи в реестре:
(Вредоносных программ не обнаружено)

Зараженные параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceClassicControlPan el (Hijack.ControlPanelStyle) -> Value: ForceClassicControlPanel -> No action taken.

Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Зараженные папки:
(Вредоносных программ не обнаружено)

Зараженные файлы:
c:\Users\администратор\downloads\rћr±rѕrѕrіrёs‚sњ_directx_11_windows_7.exe (Trojan.Downloader) -> No action taken.
c:\Windows\System32\CPLDAPU\ProduKey.exe (PUP.PSWTool.ProductKey) -> No action taken.
c:\Users\администратор\Desktop\eXplorer.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.

alex_sev 08-08-2011 20:51 1728162
Удалите в MBAM только следующее:

Код:
c:\Users\администратор\downloads\rћr±rѕrѕrіrёs‚sњ_directx_11_windows_7.exe (Trojan.Downloader) -> No action taken.
Сделайте повторные логи AVZ и RSIT.

mitia54 08-08-2011 20:53 1728165
удалил все! поздно... надеюсь ничего страшного?

alex_sev 08-08-2011 21:07 1728179
Ну в принципе ничего, разве, что чуть-чуть сбили настройки системы (отображение предупреждений об отключенном антивирусе или файрволле), некоторые настройки ускорения меню Пуск.

Программку Produkey либо восстановите на вкладке карантин, либо переустановите.

Остальное нестрашно))

Ждем запрошенные логи. Подчистим оставшийся, так сказать мусор)))

mitia54 08-08-2011 22:02 1728212
вот

alex_sev 08-08-2011 22:10 1728223
Удалите из сообщения quarantine.zip и virusinfo_cure.zip отправьте их с помощью этой формы:
http://www.oszone.net/virusnet/

Попробуйте выполнить лог RSIT

mitia54 09-08-2011 13:02 1728508
rsit не работает

alex_sev 09-08-2011 13:17 1728523
Для своей версии Windows качаете?


Время: 11:53.

Время: 11:53.
© OSzone.net 2001-