Решена - Вирус "зафиксирована рассылка спама"

Добрый день!

История, пордобная многим:

"С вашего почтового ящика зафиксирована рассылка спама, поэтому мы были вынуждены его заблокировать.
Для восстановления работы необходимо сменить пароль в ящике на более сложный и указать номер мобильного телефона..."

Аналогичное - на поисковиках. Стандартными методами (типа замены hosts-файла) не лечится. Через китайские прокси - заходит, проблем нет.

логи здесь:
UVS http://zalil.ru/34411547
AVZ http://zalil.ru/34411556
Hijackthis http://zalil.ru/34411571

Спасибо.

 

Здравствуйте!

скачайте дистрибутив с uVS отсюда - http://rghost.ru/44955544 и выполните следующий скрипт:
- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
- копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);

Код:

;;uVS v3.77.12 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

delall DEL
deltmp
delnfr
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\_UNINST_97285305.LNK
regt 14
delref HTTP://KIPISTART.RU
EXEC cmd /c ren %windir%\system32\dllcache\rpcss.dll rpcss.dll.old
EXEC cmd /c ren %windir%\system32\rpcss.dll rpcss.dll.old
EXEC cmd /c copy store\nt51\rpcss.dll %windir%\system32\rpcss.dll
EXEC cmd /c copy store\nt51\rpcss.dll %windir%\system32\dllcache\rpcss.dll
restart

- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится.
- после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда. ссылку на лог выложить сюда.

 

Сделал.
лог Mbam: http://zalil.ru/34489571

 

Удалить найденное и перезагрузиться.

Если проблема решена, то:
При наличии на ПК доступа в интернет выполните следующий скрипт в AVZ:

Код:

begin
 if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt');
 If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt')
 Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
 if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false)
 else MessageDlg('Часто используемые уязвимости не обнаружены.', mtInformation, mbOk, 0);
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player.

 

Нет, проблема не решена.
Может, стоит сделать полную проверку?

 

нет, не стоит. скрипт точно выполнили? дистрибутив скачали что я писал в первом своем сообщении?

 

Во втором? Вот этот: uvs_v377_rpcss.zip?
Да, конечно. Выполнил. Но dll-ки тождественны, старая и новая. Только даты разные.


Ну могу еще раз попробовать. Стоит?

 

нет, не стоит.
сделайте новый образ автозапуска

 

http://zalil.ru/34489706

 

выполняем скрипт

 

Да, это помогло. Спасибо.
Уязвимости сейчас проверю.

Хотелось бы понять причину.
Две игрушки - маловероятно, китайский прокси - тоже, он подключен уже после слова вируса...
Получается dll-ка в файрфоксе?

==============================================

Поиск критических уязвимостей
Уязвимость общих элементов управления Windows делает возможным удаленное выполнение кода
http://www.microsoft.com/downloads/...FamilyID=fd9626f7-4265-48ae-94b2-68243605db6b
Для установки этого обновления требуется установить SP3 для Office 2003
http://www.microsoft.com/downloads/...FamilyID=e25b7049-3e13-433b-b9d2-5e3c1132f206

Обнаружено уязвимостей: 1

==============================================

Я надеюсь, это не дюже критично. Комп очень старый - и не мой, к сети не подключен. Развалится от таких обновлений...

 

да, вирус Mayachok (Cidox)
Mozilla - это просто папка куда он копируется. Браузер не виноват.