Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Вроде бы в компьютер вшился вирус (http://forum.oszone.net/showthread.php?t=209260)

Fem33 17-06-2011 19:10 1696579
Вроде бы в компьютер вшился вирус
 
Вложений: 2
Привет.Ко мне пришел на почту спам там было сказано"Что бы посмотреть видео надо скачать Flash player ." Я скачал и установил, потом появилась табличка " Nod32 усиленный режим"

Farger 17-06-2011 19:16 1696581
Здравствуйте,

Сейчас посмотрю логи.

Farger 17-06-2011 20:09 1696610
У вас Windows сборка?

Ваш провайдер - ISP: Republican Association BELTELECOM?


1. Скачайте ATF Cleaner на рабочий стол.
Запустите ATF Cleaner, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected;
- нажмите No, если вы хотите оставить ваши сохраненные пароли;
- если вы используете Opera, нажмите Opera - Select All - Empty Selected;
- нажмите No, если вы хотите оставить ваши сохраненные пароли.

2. Отключите:
Антивирус/Файерволл

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\TEMP\7951215.exe','');
QuarantineFile('C:\Windows\services32.exe','');
QuarantineFile('C:\windows\update.1\svchost.exe','');
QuarantineFile('C:\windows\update.3\svchost.exe','');
QuarantineFile('C:\Windows\update.tray-3-0\svchost.exe','');
QuarantineFile('C:\WINDOWS\iecheck_iplist.txt','');
QuarantineFile('C:\WINDOWS\ddh_iplist.txt','');
QuarantineFile('C:\WINDOWS\iplist.txt','');
QuarantineFile('C:\WINDOWS\front_ip_list.txt','');
QuarantineFile('C:\Windows\winlog-ids.txt','');
 QuarantineFile('C:\Windows\winlog-dirs.txt','');
QuarantineFile('C:\Windows\loader2.exe_ok','');
QuarantineFile('C:\Windows\update.2\svchost.exe','');
DeleteFile('C:\Windows\update.2\svchost.exe');
DeleteFile('C:\windows\update.3\svchost.exe');
DeleteFile('C:\Windows\update.tray-3-0\svchost.exe');
DeleteFile('C:\Windows\loader2.exe_ok');
DeleteFile('C:\Windows\winlog-ids.txt');
 DeleteFile('C:\Windows\winlog-dirs.txt');
DeleteFile('C:\WINDOWS\front_ip_list.txt');
DeleteFile('C:\WINDOWS\iplist.txt');
DeleteFile('C:\WINDOWS\ddh_iplist.txt');
DeleteFile('C:\WINDOWS\iecheck_iplist.txt');
 DeleteFile('C:\WINDOWS\TEMP\7951215.exe');
 DeleteFile('services32.exe');
DeleteFile('C:\windows\update.1\svchost.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','7951215.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico1');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico2');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico3');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico4');
RegKeyParamWrite('HKLM','SYSTEM\CurrentControlSet\Control\SafeBoot','AlternateShell','REG_SZ', 'cmd.exe');
DeleteFileMask('C:\windows\update.1','*.*', true);
DeleteDirectory('C:\windows\update.1');
DeleteFileMask('C:\windows\update.2','*.*', true);
DeleteDirectory('C:\windows\update.2');
DeleteFileMask('C:\Windows\av_ico','*.*', true);
DeleteDirectory('C:\Windows\av_ico');
DeleteFileMask('C:\Windows\update.tray-3-0','*.*', true);
DeleteDirectory('C:\Windows\update.tray-3-0');
DeleteFileMask('C:\windows\update.3','*.*', true);
DeleteDirectory('C:\windows\update.3');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:
begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой формы
В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

3. Пофиксить в HJT

Код:
O4 - HKLM\..\Run: [7951215.exe] "C:\WINDOWS\TEMP\7951215.exe"
4. Обновите Malwarebytes’, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

5. Загрузите SecurityCheck by screen317 отсюда или отсюда
Сохраните на Рабочий стол.
Запустите от имени администратора
Когда увидите консоль, нажмите любую клавишу для продолжения сканирования
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования и вы увидите лог в блокноте с именем checkup.txt;
Прикрепите его тоже в ваше следующее сообщение.

6. Обновите AVZ и повторите логи AVZ+RSIT

Fem33 18-06-2011 00:10 1696739
Вложений: 4
Windows сборка от "Zver dvd".Да это мой провайдер .Проблема с табличкой о Nod 32 "Усиленный режим "пропала . Но не заходит на сайты социальных сетей . Результат от лаборатории Касперского не приходил .

Farger 18-06-2011 00:37 1696754
TeamViewer сами установили?

C:\WINDOWS\system32\Com - что в папке?

Отключите:
Антивирус/Файерволл

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".


Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\windows\update.1\svchost.exe','');
QuarantineFile('C:\windows\update.2\svchost.exe','');
QuarantineFile('C:\windows\update.3\svchost.exe','');
QuarantineFile('C:\Windows\update.tray-3-0\svchost.exe','');
QuarantineFile('C:\WINDOWS\w_distrib_iplist.txt','');
DeleteFile('C:\WINDOWS\w_distrib_iplist.txt');
DeleteFile('C:\Windows\update.1\svchost.exe');
DeleteFile('C:\Windows\update.tray-3-0\svchost.exe');
DeleteFile('C:\Windows\update.2\svchost.exe');
DeleteFile('C:\Windows\update.3\svchost.exe');
DeleteFileMask('C:\windows\update.1','*.*', true);
DeleteDirectory('C:\windows\update.1');
DeleteFileMask('C:\windows\update.2','*.*', true);
DeleteDirectory('C:\windows\update.2');
DeleteFileMask('C:\Windows\update.tray-3-0','*.*', true);
DeleteDirectory('C:\Windows\update.tray-3-0');
DeleteFileMask('C:\windows\update.3','*.*', true);
DeleteDirectory('C:\windows\update.3');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Повторите лог RSIT

Fem33 18-06-2011 01:07 1696771
Вложений: 3
TeamViewer-да

zirreX 18-06-2011 13:52 1696957
Отлючите защитное ПО (Антивирус/Файерволл)!

• Выполните скрипт AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\update.1\svchost.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\update.2\svchost.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\update.3\svchost.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\update.tray-3-0\svchost.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\services32.exe');
DeleteFileMask('C:\WINDOWS\update.tray-3-0-lnk','*.*', true);
DeleteDirectory('C:\WINDOWS\update.tray-3-0-lnk');
DeleteFileMask('C:\WINDOWS\TEMP\', '*.*', true);
DeleteFileMask(GetEnvironmentVariable ('Temp'), '*.*', true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(13);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!

Сделайте новые логи RSIT.

Сайты открываются?

Обновите Java до последней версии.


Время: 22:46.

Время: 22:46.
© OSzone.net 2001-