Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] mybackdoor.net и вы выйграли 50 смс (http://forum.oszone.net/showthread.php?t=249910)

haty 25-12-2012 01:20 2052881
mybackdoor.net и вы выйграли 50 смс
 
Вложений: 2
добрый вечер.по глупости поймал гадость на свой комп.
при заходе через оперу или хром перекидывает на сайт mybackdoor.net ,или появляется баннер с выгрышом 50 смс,или просто не грузиться сайт.буду вам очень благодарен если поможете решить эту проблему

alex_sev 25-12-2012 09:26 2052990
Это Ваш провайдер?

Цитата:
IP 37.157.255.150
Хост: 37.157.255.150
Город: Не определен
Страна: Germany
IP диапазон: 37.157.255.128 - 37.157.255.255
Название провайдера: webtropia dedicated Server by http://www.webtropia.com
Если нет то, "Пофиксите" в HijackThis:
Код:
O17 - HKLM\System\CCS\Services\Tcpip\..\{3C770256-4009-4F87-AEAB-B96E7505A581}: NameServer = 37.157.255.150
O17 - HKLM\System\CCS\Services\Tcpip\..\{846ee342-7039-11de-9d20-806e6f6e6963}: NameServer = 37.157.255.150
O17 - HKLM\System\CS1\Services\Tcpip\..\{3C770256-4009-4F87-AEAB-B96E7505A581}: NameServer = 37.157.255.150
O17 - HKLM\System\CS2\Services\Tcpip\..\{3C770256-4009-4F87-AEAB-B96E7505A581}: NameServer = 37.157.255.150
Внимание!!! После фикса может пропасть доступ к сети интернет, если такое произошло, введите заново в настройках сети адреса DNS-серверов, данные Вам провайдером.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\вася\Documents\Iterra\gjxnyng.dll','');
 DeleteFile('C:\Users\вася\Documents\Iterra\gjxnyng.dll');
 DeleteFileMask('C:\Users\вася\Documents\Iterra\', '*.*', true);
 DeleteDirectory('C:\Users\вася\Documents\Iterra\');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
ExecuteSysClean;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O20 - AppInit_DLLs: C:\Users\вася\Documents\Iterra\gjxnyng.dll
Сделайте новый комплект логов AVZ и RSIT и прикрепите к следующему сообщению новые логи virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt



Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве

haty 25-12-2012 12:22 2053070
Вложений: 1
"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):


Код:
O20 - AppInit_DLLs: C:\Users\вася\Documents\Iterra\gjxnyng.dll
данной строки не было.
сейчас еще загружу фалы

alex_sev 25-12-2012 12:39 2053081
quarantine.zip - удалите из сообщения и залейте сюда:

Цитата:
Цитата alex_sev
Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. »
а это
Цитата:
Цитата alex_sev
Это Ваш провайдер? »
и это
Цитата:
Цитата alex_sev
Скачайте Malwarebytes' Anti-Malware или с зеркала, »

haty 25-12-2012 12:45 2053086
нет не мой.мой провайдер http://www.onlime.ru/ .сейчас как раз и делаеться скан Malwarebytes' Anti-Malware

отправил на почту

alex_sev 25-12-2012 12:49 2053092
Отлично, тогда проверьте чтобы настройки сети соответствовали:

http://www.onlime.ru/abonents/help_and_settings/

если подключаетесь через роутер то проверьте и его настройки

haty 25-12-2012 12:51 2053096
Вложений: 1
фаил info.ini не обновился,после запуска RSIT.его удалить и запустить рсит повторно?

alex_sev 25-12-2012 12:55 2053100
Цитата:
Цитата haty
RSIT.его удалить и запустить рсит повторно? »
Не надо

Как самочувствие системы?

+

попросил же
Цитата:
Цитата alex_sev
quarantine.zip - удалите из сообщения »

haty 25-12-2012 12:59 2053101
удалил)спасибо большое вроде все нормально работает))

Большое вам спасибо)все работает хорошо))ставть галочку что проблема решена?или будут еще указания?)

alex_sev 25-12-2012 13:24 2053108
Уязвимости вижу уже прошлый раз закрывали, можете повторно сделать и проверится:
  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Скопируйте содержимое файла в свое следующее сообщение.
Подробнее читайте в этом руководстве.

haty 25-12-2012 13:38 2053120
Security Check by glax24 version 0.1.5.49 rc1
WebSite: www.safezone.cc
DataLog 25.12.2012 13:37:42
Program directory: C:\Users\вася\AppData\Local\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True
XML File - VersionInet=1.9
__________________________________________________

WIN_7(6.1) Build 7601 (x64) Enterprise Lang: Russian(0419)
Service Pack 1
Internet Explorer 9.0.8112.16421
-------------Windows------------------------------
Контроль учётных записей пользователя отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Уведомлять о загрузке и установке обновлений
Дата установки обновлений: 2012-12-14 05:37:14
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
-------------Antivirus_WMI------------------------
Norton Internet Security
-------------Firewall_WMI-------------------------
Norton Internet Security
-------------AntiSpyware_WMI----------------------
Windows Defender
Norton Internet Security
-------------AntiVirusFirewallInstall-------------
Norton Internet Security v.19.9.0.9
-------------OtherUtilities-----------------------
Malwarebytes Anti-Malware, версия 1.65.1.1000 v.1.65.1.1000
-------------Java---------------------------------
Java 7 Update 10 (64-bit) v.7.0.100
Java 7 Update 10 v.7.0.100
-------------AdobeProduction----------------------
Adobe Flash Player 11 ActiveX v.11.5.502.135
Adobe Flash Player 11 Plugin v.11.5.502.135
Adobe Shockwave Player 11.6 v.11.6.8.638
-------------Browser------------------------------
Google Chrome v.23.0.1271.97
Opera 12.12 v.12.12.1707
-------------RunningProcess-----------------------
C:\Program Files (x86)\Opera\opera.exe v.12.12.1707.0
C:\Program Files\Internet Explorer\iexplore.exe v.9.0.8112.16457
-------------EndLog-------------------------------

alex_sev 25-12-2012 13:41 2053123
Цитата:
Цитата haty
Контроль учётных записей пользователя отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^ »
+

Рекомендации после лечения:

http://forum.oszone.net/post-1838507-9.html

haty 25-12-2012 13:48 2053131
сделал.еще раз спасибо вам)


Время: 19:56.

Время: 19:56.
© OSzone.net 2001-