Решена - перекидывает на сайт internet.com

sanrou · 17 янв 2012

Помогите пожалуйста с вирусом.
сделал логи MBAM и hijackthis

oleg · 17 янв 2012

Доброе время суток!

1. Отключите антивирус/файрволл.

2. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли

3. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)
Код:
begin
 DeleteFile('C:\WINDOWS\system32\csrcs.exe');
 DeleteFile('C:\WINDOWS\system32\1.exe');
 RegKeyStrParamWrite('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', '');
BC_ImportAll;
 ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
после выполнения скрипта компьютер перезагрузится.

4. Пофиксите в HijackThis следующие строчки:

Внимание: некоторые строки могут отсутствовать, это нормально, просто сообщите какие не нашли при фиксе.
Код:
O2 - BHO: Ask Search Assistant BHO - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - (no file)
O4 - HKCU\..\Run: [GameXN (update)] "C:\Documents and Settings\All Users\Application Data\GameXN\GameXNGO.exe" /u
O4 - HKCU\..\Run: [GameXN (news)] "C:\Documents and Settings\All Users\Application Data\GameXN\GameXNGO.exe" /n
O4 - HKCU\..\Run: [GameXN] "C:\Documents and Settings\All Users\Application Data\GameXN\GameXNGO.exe" /silent
O4 - HKCU\..\Run: [Gikuka] C:\Documents and Settings\Администратор\Application Data\Gikuka.exe
O4 - HKCU\..\Run: [Kikuke] C:\Documents and Settings\Администратор\Application Data\Kikuke.exe
5. Удалите в MBAM только следующие строки:

Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28abc5c0-4fcb-11cf-aax5-81cx1c635612} (Generic.Bot.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{147a976f-eee1-4377-8ea7-4716e4cdd239} (Adware.MyWebSearch) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{28abc5c0-4fcb-11cf-aax5-81cx1c635612} (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\System32 (Backdoor.Bifrose) -> No action taken.

Зараженные папки:
C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811 (Trojan.Agent) -> No action taken.
C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1859 (Worm.AutoRun) -> No action taken.

Зараженные файлы:
C:\System Volume Information\_restore{8068785F-0530-498F-A18D-AE4343A8993D}\RP16\A0008242.sys (Worm.Bagle) -> No action taken.
C:\WINDOWS\system32\Green Fields.scr (Malware.Packer.Gen) -> No action taken.
C:\WINDOWS\system32\drivers\ute1mzk2.sys (Worm.Bagle) -> No action taken.
D:\Программы\Launcher\wc3ihandler.dll (Trojan.Downloader) -> No action taken.
D:\Программы\Nero v. 8.3.2.1\Keymaker\keygen.exe (Trojan.Agent) -> No action taken.
C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\Desktop.ini (Trojan.Agent) -> No action taken.
C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1859\Desktop.ini (Worm.AutoRun) -> No action taken.
C:\WINDOWS\system32\1.exe (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system32\csrcs.exe (Trojan.Agent) -> No action taken.
Нажмите, чтобы раскрыть...

После выполнения всех пунктов (1 по 5) проверьте, остался ли вирус?

sanrou, если форум оказался полезен вам, пожалуйста, поддержите его работу -

sanrou · 17 янв 2012

Сейчас попробую.
Хотя,как то странно.....после того как сделал эти логи, включил инет... и браузер вроде норм работает. Ни каких html-кодов ни каково Internet.com.

oleg · 17 янв 2012

Сделайте, то что написано.

sanrou · 17 янв 2012

Удалил в MBAM то что написано, но осталось еще 5ть зараженных объектов. Их тоже удалять??

oleg · 17 янв 2012

Нет, их удалять не нужно.

Выполните следующий скрипт в AVZ:

begin
if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt');
If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt')
Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false);
ExitAVZ;
end.
Нажмите, чтобы раскрыть...

После того как скрипт отработает, если будут найдены уязвимости, то в блокноте откроется файл avz_log.txt со ссылками на обновления, которые нужно загрузить и установить. Если ничего обновлять не надо, AVZ просто закроется.

В остальном чисто. На этом лечение завершено.

Если форум оказался полезен вам и вашему компьютеру, пожалуйста, поддержите его -

sanrou · 17 янв 2012

Большое спасибо))

Войти или зарегистрироваться

Решена - перекидывает на сайт internet.com

sanrou Junior User

Вложения:

mbam-log-2012-01-17 (16-04-22).txt

hijackthis.txt

oleg Expert Вирусоборец

sanrou Junior User

oleg Expert Вирусоборец

sanrou Junior User

Вложения:

mbam-log-2012-01-17 (18-21-45) 4.txt

hijackthis 4.txt

oleg Expert Вирусоборец

sanrou Junior User

Поделиться этой страницей

Войти или зарегистрироваться

Решена - перекидывает на сайт internet.com

sanrou Junior User

Вложения:

mbam-log-2012-01-17 (16-04-22).txt

hijackthis.txt

oleg Expert Вирусоборец

sanrou Junior User

oleg Expert Вирусоборец

sanrou Junior User

Вложения:

mbam-log-2012-01-17 (18-21-45) 4.txt

hijackthis 4.txt

oleg Expert Вирусоборец

sanrou Junior User

Поделиться этой страницей

Быстрый поиск