Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Вирус подмены соц сетей (http://forum.oszone.net/showthread.php?t=265792)

OlegJ 08-08-2013 11:25 2198341
Вирус подмены соц сетей
 
Вложений: 4
Здравствуйте,

Каждый день в 11 активируется вирус который подменяет ссылки соц сетей. После ввода пароля просит отправить сообщение на 4 значный номер, после этого снимаются деньги с мобильника ок 300 рублей... Дальше по моему паролю входят на мою страничку и начинают спамить....
Помогите пожалуйста излечить комп от этой заразы....
Во вложении логи согласно вашей инструкции...

Sandor 08-08-2013 11:36 2198347
Здравствуйте!

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
  if not IsWOW64
  then
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    end;
 QuarantineFile('C:\Users\oem\AppData\Local\Temp\1086100130aq','');
 DeleteFile('C:\Users\oem\AppData\Local\Temp\1086100130aq');
 DeleteFile('C:\Windows\system32\Tasks\At1.job','32');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 ExecuteRepair(1);
 ExecuteRepair(13);
 ExecuteWizard('SCU',2,3,true);
 RebootWindows(true);
end.
Компьютер перезагрузится.

2. После перезагрузки, выполните такой скрипт:
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

3. Через Установку/Удаление программ удалите Babylon toolbar как потенциально нежелательное ПО.

4. Пофиксите в HijackThis (если останутся) следующие строчки:
Код:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.babylon.com/?affID=120297&babsrc=HP_ss&mntrId=18F9B4749FC68AB2
O1 - Hosts: 37.10.117.103 m.odnoklassniki.ru wap.odnoklassniki.ru vk.com my.mail.ru odnoklassniki.ru m.vk.com www.odnoklassniki.ru
O2 - BHO: Babylon toolbar helper - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.8.11.10\bh\BabylonToolbar.dll
O2 - BHO: (no name) - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - (no file)
O18 - Protocol: dssrequest - {5513F07E-936B-4E52-9B00-067394E91CC5} - (no file)
O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - (no file)
5.
Цитата:
Внимание !!! База поcледний раз обновлялась 12.07.2013 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
После обновления баз повторите логи AVZ (стандартный скрипт 2) и RSIT.

OlegJ 08-08-2013 12:35 2198375
Спасибо, всё сделал как вы сказали... Остаётся дождаться 11:00...

Sandor 08-08-2013 12:52 2198385
Цитата:
Цитата Sandor
После обновления баз повторите логи AVZ (стандартный скрипт 2) и RSIT. »
Это можете сделать, не дожидаясь 11:00 ))

OlegJ 08-08-2013 14:01 2198418
Вложений: 3
Упс запустил а логи не скинул.... щас вот...

OlegJ 08-08-2013 14:03 2198419
Файл 102660

Файл 102661

Файл 102662

Цитата:
Цитата Sandor
Цитата Sandor:
Это можете сделать, не дожидаясь 11:00 )) »
А как проверить ? перевести часы.....?

Sandor 08-08-2013 14:56 2198451
Вы запускали AVZ от имени администратора?
Запустите еще раз (правой кнопкой - от имени администратора) и повторите только первый скрипт из этого сообщения.
Компьютер перезагрузится.
После повторите лог AVZ (стандартный скрипт 2).
Цитата:
Сканирование запущено в 08.08.2013 12:36:39
У вас разве еще не наступило 11:00?

thyrex 08-08-2013 17:22 2198536
Просто удалите файл C:\Windows\Tasks\At1.job

OlegJ 08-08-2013 17:22 2198537
Ок всё сделал.
У меня вирус обычно активировался в районе 11 каждый день, т.к. сегодня его убрали то только завтра в 11 будет понятно выжил ли он или нет.

OlegJ 09-08-2013 16:16 2199085
Здравствуйте, в 11:00 вирус не вышел на контакт, значит его нет в живых!!!! Большое, большое Вам спасибо!!!

Sandor 09-08-2013 16:40 2199095
Отлично!

Для профилактики повторных заражений скачайте и запустите SecurityCheck by glax24, когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности.
Скачайте и установите обновления по ссылкам.

Рекомендации после лечения.


Время: 05:00.

Время: 05:00.
© OSzone.net 2001-