Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   вирус "Вы выиграли бонус! Получите 50 бесплатных смс и 15 минут общения во всех сетя" (http://forum.oszone.net/showthread.php?t=247981)

LexerON 29-11-2012 13:28 2035219
вирус "Вы выиграли бонус! Получите 50 бесплатных смс и 15 минут общения во всех сетя"
 
Вложений: 2
Данная гадость уже попадалась форумчанинам..

Симптомы: всплывающее желтое окно во всех браузерах с текстом "Вы выиграли бонус! Получите 50 бесплатных смс и 15 минут общения во всех сетях."
При переходе на некоторые сайты всплывает окно с предложением скачать какую-то супер антивирусную программу.
То пытается редиректить на mybackdoor.net/.......

Буду рад волшебному скрипту, решающему проблему.

Логи прилагаю.

alex_sev 29-11-2012 15:03 2035282
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\Bubnov\Application Data\Microsoft\taskhost.exe','');
 QuarantineFile('C:\Documents and Settings\Bubnov\Application Data\Microsoft\pwermss.exe','');
 QuarantineFile('C:\WINDOWS\system32\vxnqlvd.dll','');
 DeleteFile('C:\WINDOWS\system32\vxnqlvd.dll');
 DeleteFile('C:\Documents and Settings\Bubnov\Application Data\Microsoft\pwermss.exe');
 DeleteFile('C:\Documents and Settings\Bubnov\Application Data\Microsoft\taskhost.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Ncjy_Yudy');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Taskhost');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Сделайте новый комплект логов AVZ и RSIT и прикрепите к следующему сообщению новые логи virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt


Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве

LexerON 30-11-2012 10:06 2035746
Вложений: 3
Спасибо, чудотворец! )

quarantine.zip и virusinfo_cure.zip выслал через форму

virusinfo_syscure.zip
virusinfo_syscheck.zip
log.txt
info.txt
и
mbam-log-2012-11-29 (21-11-50)
прикрепляю.

SolarSpark 30-11-2012 11:29 2035805
Цитата:
Цитата LexerON
virusinfo_syscure.zip
virusinfo_syscheck.zip
log.txt
info.txt »
вы прикрепили старые логи, чудотворцу они не помогут

обновите логи, удалив из папки LOG старые
+
  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Скопируйте содержимое файла в свое следующее сообщение.
Подробнее читайте в этом руководстве.

LexerON 30-11-2012 18:47 2036107
Вложений: 2
прошу прощения, логи я специально сохранил в другую папку, а выслал старые по спешке...

SolarSpark 30-11-2012 19:00 2036113
меняем пароли

жду лог сканирования
Цитата:
Цитата SolarSpark
Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Скопируйте содержимое файла в свое следующее сообщение. »


Время: 06:35.

Время: 06:35.
© OSzone.net 2001-