Решена - Всепоглощающий InterNet.com

Тема в разделе "Раздел по борьбе с вирусами", создана пользователем WhiteStar, 19 дек 2011.

  1. WhiteStar

    WhiteStar Newbie

  2. oleg

    oleg Expert Вирусоборец

    Доброе время суток!

    1. Отключите антивирус/файрволл.

    2. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
    - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли
    - если вы используете Opera, нажмите Opera - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли

    3. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически   закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера   подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Thinstall\Microsoft Office Enterprise 2007\300000003f00002i\CLVIEW.EXE','');
     DeleteFile('C:\WINDOWS\system32\wzdygcl.dll');
     DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\NOSEventMessages.dll');
     DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\NEventMessages.dll');
     DeleteFile('C:\WINDOWS\apppatch\yctxork.dat');
     DeleteFile('C:\Documents and Settings\Администратор\Application Data\Thinstall\Microsoft Office Enterprise 2007\300000003f00002i\CLVIEW.EXE');
     RegKeyStrParamWrite('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', '');
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\', 'Userinit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
    BC_ImportAll;
     ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    
    после выполнения скрипта компьютер перезагрузится.

    4. Пофиксите в HijackThis следующие строчки:

    Внимание: некоторые строки могут отсутствовать, это нормально, просто сообщите какие не нашли при фиксе.

    Код:
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.searchcompletion.com/?si=10197&home=1
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.searchcompletion.com/?si=10197&home=1
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.searchcompletion.com/?si=10197&home=1
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://search.searchcompletion.com/?si=10197&home=1
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\apppatch\yctxork.dat,
    O2 - BHO: Psy-music.ru Toolbar - {2f2c9f40-f361-451d-bf49-1184b985e767} - (no file)
    O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
    O2 - BHO: Update Timer - {963B125B-8B21-49A2-A3A8-E37092276531} - (no file)
    O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
    O20 - AppInit_DLLs: C:\WINDOWS\system32\wzdygcl.dll
    
    5. Сделайте новые логи AVZ.

    6. Cделайте лог MBAM и дайте ссылку на файл лога.

    После выполнения всех пунктов (1 по 6) проверьте, остался ли вирус?


    WhiteStar, если форум оказался полезен вам, пожалуйста, поддержите его -
     
  3. WhiteStar

    WhiteStar Newbie

    не было строк F2 и 020

    новые логи http://rghost.ru/35500942
    http://rghost.ru/35500944

    с MBAM ничего не выходит( закрылось,а при открытии программы пишет,что уже запущено.

    Но вроде вирус исчез)))
     
  4. oleg

    oleg Expert Вирусоборец

    В MBAM по завершению сканирования нажмите Показать Результаты, сохраните отчет, и дайте на него ссылку.
     
  5. WhiteStar

    WhiteStar Newbie

    MBAM

    Malwarebytes' Anti-Malware 1.51.2.1300
    www.malwarebytes.org

    Версия базы данных: 8399

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 6.0.2900.5512

    20.12.2011 12:47:13
    mbam-log-2011-12-20 (12-47-07).txt

    Тип сканирования: Полное сканирование (C:\|D:\|)
    Просканированные объекты: 266652
    Времени прошло: 12 часов, 19 минут, 20 секунд

    Зараженные процессы в памяти: 0
    Зараженные модули в памяти: 0
    Зараженные ключи в реестре: 1
    Зараженные параметры в реестре: 0
    Объекты реестра заражены: 3
    Зараженные папки: 0
    Зараженные файлы: 6

    Зараженные процессы в памяти:
    (Вредоносных программ не обнаружено)

    Зараженные модули в памяти:
    (Вредоносных программ не обнаружено)

    Зараженные ключи в реестре:
    HKEY_LOCAL_MACHINE\SOFTWARE\StimulProfit (Adware.Agent) -> No action taken.

    Зараженные параметры в реестре:
    (Вредоносных программ не обнаружено)

    Объекты реестра заражены:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

    Зараженные папки:
    (Вредоносных программ не обнаружено)

    Зараженные файлы:
    c:\documents and settings\администратор\local settings\application data\Google\Chrome\user data\Default\Cache\f_0033ea (Trojan.Vundo) -> No action taken.
    c:\documents and settings\администратор\рабочий стол\avz4\quarantine\2011-12-19\avz00001.dta (Trojan.Agent) -> No action taken.
    c:\program files\alcohol soft\alcohol 120\Langs\AX_RU.dll (Malware.Packer.GenX) -> No action taken.
    c:\WINDOWS\system32\calc.exe (Trojan.Dropper) -> No action taken.
    d:\МОЁ\Progs\3po.ru_setup.exe (Trojan.Clicker) -> No action taken.
    d:\alcohol 120\Langs\AX_RU.dll (Malware.Packer.GenX) -> No action taken.
     
  6. oleg

    oleg Expert Вирусоборец

    Удалите в MBAM следующие строки:
    Выполните следующий скрипт в AVZ:
    После того как скрипт отработает, если будут найдены уязвимости, то в блокноте откроется файл avz_log.txt со ссылками на обновления, которые нужно загрузить и установить. Если ничего обновлять не надо, AVZ просто закроется.

    В остальном чисто. На этом лечение завершено.

    WhiteStar, если форум оказался полезен вам и вашему компьютеру, пожалуйста, поддержите его работу удобным для вас способом -
     
  7. WhiteStar

    WhiteStar Newbie

    Спасибо огромное)):)
     
  8. oleg

    oleg Expert Вирусоборец

    В карман не положишь =)
    Но, тем не менее, пожалуйста, обращайтесь.
    По возможности поддержите нас -
     

Поделиться этой страницей