Решена - Достал intenet.com, помогите избавиться от переадресации

Yulik · 20 дек 2011

Здравствуйте, замучил intenet.com. помогите избавиться.
Вот логи
http://zalil.ru/32324958 - hijackthis.log
http://zalil.ru/32325180 - virusinfo_syscure.zip

oleg · 20 дек 2011

Анализирую логи, ждите. И хватит создавать одинаковые темы!

Yulik · 20 дек 2011

Извините, выкинуло несколько раз, не видела, что тема создана)

oleg · 20 дек 2011

Доброе время суток!

1. Отключите антивирус/файрволл.

2. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли

3. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически   закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера   подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\servises.exe','');
 QuarantineFile('C:\Documents and Settings\Home\Application Data\winzipsoft\wzipstart.exe','');
 DeleteFile('C:\Documents and Settings\Home\Application Data\winzipsoft\wzipstart.exe');
 DeleteFile('C:\WINDOWS\system32\servises.exe');
 DeleteFile('C:\WINDOWS\system32\egopzta.dll');
 RegKeyStrParamWrite('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', '');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','servises');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','servises');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','servises');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','servises');
BC_ImportAll;
 ExecuteSysClean;
BC_Activate;
 ExecuteRepair(17);
RebootWindows(true);
end.
после выполнения скрипта компьютер перезагрузится.

4. Пофиксите в HijackThis следующие строчки:

Внимание: некоторые строки могут отсутствовать, это нормально, просто сообщите какие не нашли при фиксе.
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.net
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxi.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxi.net
O4 - HKLM\..\Run: [servises] C:\WINDOWS\system32\servises.exe
O4 - HKCU\..\Run: [servises] C:\WINDOWS\system32\servises.exe
O4 - HKLM\..\Policies\Explorer\Run: [servises] C:\WINDOWS\system32\servises.exe
O4 - HKCU\..\Policies\Explorer\Run: [servises] C:\WINDOWS\system32\servises.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O20 - AppInit_DLLs: C:\WINDOWS\system32\egopzta.dll
5. Сделайте новые логи AVZ.

6. Cделайте лог MBAM (подробнее) и дайте ссылку на файл лога. *выполнять обязательно!

После выполнения всех пунктов (1 по 6) проверьте, остался ли вирус?

Yulik, если форум оказался полезен вам, пожалуйста, поддержите его работу -

Yulik · 20 дек 2011

Сделала пункты 1-3, -> написал "Скрит выполнен без ошибок" -> комп не перезагрузился, перезагрузить самой или продолжать дальше по пунктам?

oleg · 20 дек 2011

Стоп, слегка поправил скрипт, скопируйте его из пункта 3 еще раз и выполните в AVZ, компьютер должен сам перезагрузиться. После перезагрузки выполняйте оставшиеся пункты.

Yulik · 21 дек 2011

Вот что получилось
http://zalil.ru/32331505 - virusinfo_syscure
http://zalil.ru/32332297 - MBAM

И не было вот этих строчек в HijackThis
O4 - HKLM\..\Run: [servises] C:\WINDOWS\system32\servises.exe
O4 - HKCU\..\Run: [servises] C:\WINDOWS\system32\servises.exe
O4 - HKLM\..\Policies\Explorer\Run: [servises] C:\WINDOWS\system32\servises.exe
O4 - HKCU\..\Policies\Explorer\Run: [servises] C:\WINDOWS\system32\servises.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O20 - AppInit_DLLs: C:\WINDOWS\system32\egopzta.dll

Nod · 21 дек 2011

Удалите в MBAM только следующие строки:

Зараженные ключи в реестре:
HKEY_CURRENT_USER\Software\winxarj (Hoax.ArchSMS) -> No action taken.

Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Services\del (Malware.Trace) -> Value: del -> No action taken.

Зараженные папки:
c:\documents and settings\Home\application data\winzipsoft (Hoax.ArchSMS) -> No action taken.

Зараженные файлы:
c:\documents and settings\Home\local settings\Temp\flash_player_update.exe (Trojan.Vundo) -> No action taken.
c:\system volume information\_restore{874ba06f-b125-43b0-b251-733ed5175314}\RP720\A0090257.exe (Trojan.FakeSMS) -> No action taken.
c:\для очистки от вирусов\avz4\quarantine\2011-12-20\avz00001.dta (Trojan.FakeSMS) -> No action taken.
e:\system volume information\_restore{874ba06f-b125-43b0-b251-733ed5175314}\RP718\A0090104.exe (Trojan.Vundo) -> No action taken.
c:\WINDOWS\system32\_id.dat (Malware.Trace) -> No action taken.
c:\documents and settings\Home\file.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Home\application data\winzipsoft\_todel2.png (Hoax.ArchSMS) -> No action taken.
c:\documents and settings\Home\application data\winzipsoft\sb-scroll-back.png (Hoax.ArchSMS) -> No action taken.
c:\documents and settings\Home\application data\winzipsoft\a.htm (Hoax.ArchSMS) -> No action taken.
c:\documents and settings\Home\application data\winzipsoft\bander.png (Hoax.ArchSMS) -> No action taken.
c:\documents and settings\Home\application data\winzipsoft\dir.png (Hoax.ArchSMS) -> No action taken.
c:\documents and settings\Home\application data\winzipsoft\dot.gif (Hoax.ArchSMS) -> No action taken.
c:\documents and settings\Home\application data\winzipsoft\htmlayout.dll (Hoax.ArchSMS) -> No action taken.
c:\documents and settings\Home\application data\winzipsoft\logo.png (Hoax.ArchSMS) -> No action taken.
c:\documents and settings\Home\application data\winzipsoft\logo2.png (Hoax.ArchSMS) -> No action taken.
c:\documents and settings\Home\application data\winzipsoft\rubashka.css (Hoax.ArchSMS) -> No action taken.
c:\documents and settings\Home\application data\winzipsoft\sb-h-scroll-next.png (Hoax.ArchSMS) -> No action taken.
c:\documents and settings\Home\application data\winzipsoft\sb-h-scroll-prev.png (Hoax.ArchSMS) -> No action taken.
c:\documents and settings\Home\application data\winzipsoft\sb-scroll-base.png (Hoax.ArchSMS) -> No action taken.
c:\documents and settings\Home\application data\winzipsoft\sb-scroll-slider.png (Hoax.ArchSMS) -> No action taken.
c:\documents and settings\Home\application data\winzipsoft\sb-v-scroll-next.png (Hoax.ArchSMS) -> No action taken.
c:\documents and settings\Home\application data\winzipsoft\sb-v-scroll-prev.png (Hoax.ArchSMS) -> No action taken.
c:\documents and settings\Home\application data\winzipsoft\scroll.css (Hoax.ArchSMS) -> No action taken.
c:\documents and settings\Home\application data\winzipsoft\wfont.ttf (Hoax.ArchSMS) -> No action taken.
c:\documents and settings\Home\application data\winzipsoft\winzipv.exe (Hoax.ArchSMS) -> No action taken.
c:\documents and settings\Home\application data\winzipsoft\winzipvinfo (Hoax.ArchSMS) -> No action taken.
c:\documents and settings\Home\application data\winzipsoft\xsendexe.tmp (Hoax.ArchSMS) -> No action taken.
c:\documents and settings\Home\application data\winzipsoft\_todel.png (Hoax.ArchSMS) -> No action taken.
c:\documents and settings\Home\application data\winzipsoft\_todel3.png (Hoax.ArchSMS) -> No action taken.
c:\documents and settings\Home\application data\winzipsoft\_todel4.png (Hoax.ArchSMS) -> No action taken.
Нажмите, чтобы раскрыть...

Выполните следующий скрипт в AVZ:

begin
if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt');
If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt')
Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false);
ExitAVZ;
end.
Нажмите, чтобы раскрыть...

После того как скрипт отработает, если будут найдены уязвимости, то в блокноте откроется файл avz_log.txt со ссылками на обновления, которые нужно загрузить и установить. Если ничего обновлять не надо, AVZ просто закроется.

В остальном чисто. На этом лечение завершено.

Yulik, Если форум оказался полезен вам, пожалуйста, поддержите его -

Yulik · 21 дек 2011

Спасибо огромное!!!! вроде все нормально!!!!! Чуть позже обязательно SMS-ну!!! ведь наверняка еще придется обращаться)))))

oleg · 21 дек 2011

Всегда пожалуйста, обращайтесь.

Войти или зарегистрироваться

Решена - Достал intenet.com, помогите избавиться от переадресации

Yulik Junior User

oleg Expert Вирусоборец

Yulik Junior User

oleg Expert Вирусоборец

Yulik Junior User

oleg Expert Вирусоборец

Yulik Junior User

Nod Moderator

Yulik Junior User

oleg Expert Вирусоборец

Поделиться этой страницей

Войти или зарегистрироваться

Решена - Достал intenet.com, помогите избавиться от переадресации

Yulik Junior User

oleg Expert Вирусоборец

Yulik Junior User

oleg Expert Вирусоборец

Yulik Junior User

oleg Expert Вирусоборец

Yulik Junior User

Nod Moderator

Yulik Junior User

oleg Expert Вирусоборец

Поделиться этой страницей

Быстрый поиск