Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Неизвестный вирус (http://forum.oszone.net/showthread.php?t=238459)

MAx86 12-07-2012 15:02 1950639
Неизвестный вирус
 
Добрый день!

Где-то с пол-года назад поймал интересного "зверя" - запускаешь любой браузер, тут же затеняется вкладка и выдается всплывающее окошко - то на одноклассниках, то на вк у меня сообщения (хотя меня ни там, ни там нет), то имитирует бурную деятельность по обнаружению вирусов - жить не мешает, но достал, гад, уже. Искал его по-всякому как умею - никаких следов. Кто знает что это? Помогите, плиз! =)

P.S. Ни Avast Internet Sec, ни CureIt так и не смог его обнаружить за всё это время

alex_sev 12-07-2012 15:03 1950641
Подготовьте логи по правилам

MAx86 24-07-2012 01:11 1957553
Подготовил логи по правилам, предварительно убив ещё одного вымогателя, везет мне на них... =)

SolarSpark 24-07-2012 08:39 1957637
Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\витек\AppData\Local\Temp\1jfuweif.exe','');
 QuarantineFile('C:\Users\витек\0.8464569611692296.exe','');
 DeleteFile('C:\Users\витек\0.8464569611692296.exe');
 DeleteFile('C:\Users\витек\AppData\Local\Temp\1jfuweif.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','1jfuweif.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
ExecuteRepair(10);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой формы. В теле письма укажите свой ник на форуме и ссылку на тему

Пофиксить в HijackThis следующие строчки:
Код:
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.net
O2 - BHO: (no name) - AutorunsDisabled - (no file)
O4 - HKCU\..\Run: [1jfuweif.exe] C:\Users\витек\AppData\Local\Temp\1jfuweif.exe

Сделайте повторные логи AVZ + RSIT

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Затем, выполните сканирование. Лог приложите

MAx86 24-07-2012 13:21 1957813
Огромное спасибо за поддержку!

Выполнил рекомендации, прикладываю файлы.

МВАМ нашел папку winxrar в папке %user%\AppData\Roaming\, но не обнаружил в соседней папке winxzip ничего - её я удалил самостоятельно.

thyrex 24-07-2012 13:46 1957827
Что сейчас с проблемой?

MAx86 24-07-2012 13:52 1957831
Цитата:
Цитата thyrex
Что сейчас с проблемой? »
ИМХО, проблема устранена, дальше будем посмотреть.

PS Меня интересует такая вещь - неужели нет способа ограничить запуск полноэкранных приложений во время старта Windows?

alex_sev 24-07-2012 14:46 1957860
Как говорится: Если преступник смог выполнить вредоносный код на Вашем компьютере - то это уже не Ваш компьютер.

Задача: снизить на сколько возможно вероятность этого выполнения, ознакомьтесь с этими рекомендациями .
  • Загрузите SecurityCheck by screen317 отсюда или отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Когда увидите консоль, нажмите любую клавишу для продолжения сканирования
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем checkup.txt;
  • Прикрепите файл к следующему сообщению.
Подробнее читайте в руководстве.


Время: 21:11.

Время: 21:11.
© OSzone.net 2001-