Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] вирус "Вы выиграли бонус! Получите 50 бесплатных смс и 15 минут общения во всех сетя" (http://forum.oszone.net/showthread.php?t=246409)

Firmware 07-11-2012 15:36 2020849
вирус "Вы выиграли бонус! Получите 50 бесплатных смс и 15 минут общения во всех сетя"
 
Цепляю эту гадость уже дважды (пару месяцев назад поймал на нетбуке с Windows XP, сейчас ноутбук с 7кой). До этого пришлось переустанавливать систему, ничем не смог удалить(
Симптомы: всплывающее желтое окно во всех браузерах с текстом "Вы выиграли бонус! Получите 50 бесплатных смс и 15 минут общения во всех сетях.", периодическое открытие страниц в виде исходного кода, установка домашней страницы с заголовком "speed2", долгая загрузка страниц
Пожалуйста, помогите в этот раз

P.S. при открытии страниц в любом браузере идет перенаправление на сайт softofficial.ком/?sid=232 с предложением обновить браузер, якобы из-за нахождения уязвимости в текущей версии

Firmware 07-11-2012 15:38 2020850
Вложений: 2
вот логи

alex_sev 07-11-2012 16:30 2020888
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Windows\system32\iprgdod.dll','');
 DeleteFile('C:\Windows\system32\iprgdod.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O20 - AppInit_DLLs: C:\Windows\system32\iprgdod.dll
Сделайте новый комплект логов AVZ и RSIT и прикрепите к следующему сообщению новые логи virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt


Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве

Firmware 07-11-2012 19:29 2021047
Вложений: 2
проверка MBAM пока идет, по окончании выложу лог
читать дальше »
Malwarebytes Anti-Malware (Пробная версия) 1.65.1.1000
www.malwarebytes.org

Версия базы данных: v2012.11.07.03

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
Вадим :: SVISTOK52 [администратор]

Защитный модуль : Отключен

07.11.2012 18:48:38
mbam-log-2012-11-07 (19-34-48).txt

Тип сканирования: Полное сканирование (C:\|)
Опции сканирования включены: Память | Запуск | Реестр | Файловая система | Эвристика/Дополнительно | Эвристика/Шурикен | PUP | PUM
Опции сканирования отключены: P2P
Просканированные объекты: 328788
Времени прошло: 45 минут , 55 секунд

Обнаруженные процессы в памяти: 0
(Вредоносных программ не обнаружено)

Обнаруженные модули в памяти: 0
(Вредоносных программ не обнаружено)

Обнаруженные ключи в реестре: 0
(Вредоносных программ не обнаружено)

Обнаруженные параметры в реестре: 0
(Вредоносных программ не обнаружено)

Объекты реестра обнаружены: 0
(Вредоносных программ не обнаружено)

Обнаруженные папки: 0
(Вредоносных программ не обнаружено)

Обнаруженные файлы: 2
C:\Program Files1\Total Commander\Plugins\arc\Default.sfx (Malware.Packer.Gen) -> Действие не было предпринято.
C:\Program Files1\Total Commander\Utils\fitW\fitW.exe (Malware.Packer.Gen) -> Действие не было предпринято.

(конец)

alex_sev 08-11-2012 09:13 2021349
Как самочувствие системы?
  • Загрузите SecurityCheck by screen317 отсюда или отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Когда увидите консоль, нажмите любую клавишу для продолжения сканирования
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем checkup.txt;
  • Прикрепите файл к следующему сообщению.
Подробнее читайте в руководстве.

Firmware 09-11-2012 19:16 2022494
Проблема не проявлялась более суток, думаю тему можно закрыть. Огромное спасибо! :-)

regist 09-11-2012 22:19 2022611
где запрошенные логи MBAM и SecurityCheck ?

Firmware 10-11-2012 00:34 2022669
Цитата:
где запрошенные логи MBAM и SecurityCheck ?
логи MBAM под спойлером в пред посте, а обе ссылки на SecurityCheck не открываются...мб битые?


Время: 11:36.

Время: 11:36.
© OSzone.net 2001-