Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Заблокировали поисковики Яндекс и Google (http://forum.oszone.net/showthread.php?t=262149)

kehtmupa 09-06-2013 19:44 2165032
Заблокировали поисковики Яндекс и Google
 
Вложений: 4
Здравствуйте. При заходе на поисковики мне выдают следущее сообщение
Цитата:
Мы зарегистрировали подозрительный трафик, исходящий из вашей сети.
С помощью этой страницы мы сможем определить, что запросы отправляете именно вы, а не робот.

Чтобы продолжить поиск, пожалуйста, введите свой номер телефона в поле ввода и нажмите «Отправить».
Сделал необходимые логи, надеюсь на вашу помощь.

thyrex 09-06-2013 20:57 2165069
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\PROGRA~3\Mozilla\kahkjjj.dll','');
 DeleteFile('C:\PROGRA~3\Mozilla\kahkjjj.dll');
DeleteFileMask('C:\PROGRA~3\Mozilla', '*.exe', false);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
Отправьте c:\quarantine.zip при помощи этой формы

Сделайте новые логи

+ сделайте скриншот содержимого папки windows\system32\tasks

kehtmupa 09-06-2013 22:00 2165108
Вложений: 5
quarantine.zip скинул по форме.
новые логи и скрин выкладываю сюда.

Все заработало, огромное спасибо!

S.R 10-06-2013 14:00 2165310
kehtmupa,
Откройте файл C:\windows\system32\tasks\frzolri блокнотом и напишите его содержимое здесь.

Удалите через панель управления - Программы и компоненты 111 222 333 444 555 666 777 888 999 000 - приложение.

Пофиксите с помощью HiJackThis:
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
Удалите файл C:\Users\КЕЙ\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\webalta-search.xml

Прикрепите файл C:\TDSSKiller.2.8.17.0_09.06.2013_14.27.43_log.txt к следующему сообщению.

Подготовьте лог полного сканирования Malwarebytes Anti-Malware (MBAM) => FAQ по работе с Malwarebytes Anti-Malware

kehtmupa 10-06-2013 22:54 2165582
Вложений: 2
Содержимое frzolri
Цитата:
<?xml version="1.0" encoding="UTF-16"?>
<Task version="1.2" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">
<RegistrationInfo />
<Triggers>
<LogonTrigger id="1">
<Enabled>true</Enabled>
<UserId>КЕЙ</UserId>
</LogonTrigger>
</Triggers>
<Settings>
<MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
<DisallowStartIfOnBatteries>true</DisallowStartIfOnBatteries>
<StopIfGoingOnBatteries>true</StopIfGoingOnBatteries>
<AllowHardTerminate>true</AllowHardTerminate>
<StartWhenAvailable>true</StartWhenAvailable>
<RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable>
<IdleSettings>
<Duration>PT10M</Duration>
<WaitTimeout>PT1H</WaitTimeout>
<StopOnIdleEnd>true</StopOnIdleEnd>
<RestartOnIdle>false</RestartOnIdle>
</IdleSettings>
<AllowStartOnDemand>true</AllowStartOnDemand>
<Enabled>true</Enabled>
<Hidden>false</Hidden>
<RunOnlyIfIdle>false</RunOnlyIfIdle>
<WakeToRun>false</WakeToRun>
<ExecutionTimeLimit>PT72H</ExecutionTimeLimit>
<Priority>7</Priority>
</Settings>
<Actions Context="Author">
<Exec>
<Command>C:\PROGRA~3\Mozilla\agkbydi.exe</Command>
<Arguments>-lvepcgj</Arguments>
</Exec>
</Actions>
<Principals>
<Principal id="Author">
<UserId>КЕЙ-ПК\КЕЙ</UserId>
<LogonType>InteractiveToken</LogonType>
<RunLevel>LeastPrivilege</RunLevel>
</Principal>
</Principals>
</Task>
Файл удалил. Логи прикрепил.

thyrex 11-06-2013 00:36 2165632
frzolri удалите

Запустите сканирование МВАМ, отметьте и удалите все найденное, кроме
Код:
Обнаруженные процессы в памяти:  1
C:\Windows\kmsem\KMService.exe (Trojan.FakeAlert) -> 2116 -> Действие не было предпринято.


C:\Windows\kmsem\KMService.exe (Trojan.FakeAlert) -> Действие не было предпринято.
C:\Program Files (x86)\FoxTabPDFConverter\Uninstall\Uninstall.exe (Adware.Agent) -> Действие не было предпринято.
C:\Program Files (x86)\Microsoft Office\activator.exe (PUP.Hacktool) -> Действие не было предпринято.
Смените все пароли

kehtmupa 12-06-2013 21:15 2166683
Все сделал. Большое спасибо!


Время: 08:15.

Время: 08:15.
© OSzone.net 2001-