Лечение от вируса internet.com
|
|
edino-kolik | Дата: Вторник, 06.12.2011, 14:16 | Сообщение # 1 |
Группа: Удаленные
| Вирус internet.com
http://rghost.ru/32984471
|
|
| |
PROSVETOV | Дата: Вторник, 06.12.2011, 14:16 | Сообщение # 2 |
Группа: Удаленные
| 1. Отключите антивирус/файрволл.
2. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected. - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected - нажмите No, если вы хотите оставить ваши сохраненные пароли - если вы используете Opera, нажмите Opera - Select All - Empty Selected - нажмите No, если вы хотите оставить ваши сохраненные пароли
3. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.) Code begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\Windows\system32\fowcgna.dll'); RegKeyStrParamWrite('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', ''); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. после выполнения скрипта компьютер перезагрузится.
4. Сделайте новые логи AVZ.
5. Cделайте лог MBAM (подробнее) и дайте ссылку на файл лога.
После выполнения всех пунктов (1 по 5) проверьте, остался ли вирус?
- (Желающим отблагодарить, поддержать форум.)
|
|
| |
edino-kolik | Дата: Вторник, 06.12.2011, 14:17 | Сообщение # 3 |
Группа: Удаленные
| Спасибо за отклик. А подскажите пожалуйста чайнику как сделать пункт 4 и 5. Или есть ссылочки на инструкции. За ранее спасибо
|
|
| |
PROSVETOV | Дата: Вторник, 06.12.2011, 14:17 | Сообщение # 4 |
Группа: Удаленные
| Пункт 5 содержит ссылку MBAM(подробнее) где описаны необходимые действия. Пункт 4 - сделайте новый лог AVZ, по такому же принципу, как в вашем 1 сообщении.
|
|
| |
edino-kolik | Дата: Вторник, 06.12.2011, 14:18 | Сообщение # 5 |
Группа: Удаленные
| http://zalil.ru/32184405 пункт 4
|
|
| |
edino-kolik | Дата: Вторник, 06.12.2011, 14:18 | Сообщение # 6 |
Группа: Удаленные
| К стате помоему вирус больше не тревожит. Подскажите пожалуйста как точно проверить ...
|
|
| |
PROSVETOV | Дата: Вторник, 06.12.2011, 14:18 | Сообщение # 7 |
Группа: Удаленные
| В логе активного заражения не найдено. Сделайте лог MBAM (как сделать лог)
|
|
| |
edino-kolik | Дата: Вторник, 06.12.2011, 14:19 | Сообщение # 8 |
Группа: Удаленные
| Ок. Сканируется. Ща выложу
|
|
| |
PROSVETOV | Дата: Вторник, 06.12.2011, 14:19 | Сообщение # 9 |
Группа: Удаленные
| Malwarebytes' Anti-Malware 1.51.2.1300 www.malwarebytes.org
Версия базы данных: 8292
Windows 6.1.7600 Internet Explorer 8.0.7600.16385
02.12.2011 22:48:09 mbam-log-2011-12-02 (22-48-09).txt
Тип сканирования: Полное сканирование (C:\|D:\|) Просканированные объекты: 232345 Времени прошло: 14 минут, 16 секунд
Зараженные процессы в памяти: 0 Зараженные модули в памяти: 0 Зараженные ключи в реестре: 0 Зараженные параметры в реестре: 0 Объекты реестра заражены: 0 Зараженные папки: 0 Зараженные файлы: 0
Зараженные процессы в памяти: (Вредоносных программ не обнаружено)
Зараженные модули в памяти: (Вредоносных программ не обнаружено)
Зараженные ключи в реестре: (Вредоносных программ не обнаружено)
Зараженные параметры в реестре: (Вредоносных программ не обнаружено)
Объекты реестра заражены: (Вредоносных программ не обнаружено)
Зараженные папки: (Вредоносных программ не обнаружено)
Зараженные файлы: (Вредоносных программ не обнаружено)
Так нормально, или залить в файлообменник надо??
|
|
| |
edino-kolik | Дата: Вторник, 06.12.2011, 14:20 | Сообщение # 10 |
Группа: Удаленные
| Нормально.
Выполните следующий скрипт в AVZ: Code begin if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt'); If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt') Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false); ExitAVZ; end. После того как скрипт отработает, если будут найдены уязвимости, то в блокноте откроется файл avz_log.txt со ссылками на обновления, которые нужно загрузить и установить. Если ничего обновлять не надо, AVZ просто закроется.
В остальном чисто. Лечение завершено.
|
|
| |
PROSVETOV | Дата: Вторник, 06.12.2011, 14:21 | Сообщение # 11 |
Группа: Удаленные
| Обнаружено уязвимостей: 4 А в какую папку сохранять по ссылкам???
|
|
| |
edino-kolik | Дата: Вторник, 06.12.2011, 14:21 | Сообщение # 12 |
Группа: Удаленные
| прикрепите к сообщению.
|
|
| |
PROSVETOV | Дата: Вторник, 06.12.2011, 14:21 | Сообщение # 13 |
Группа: Удаленные
| Поиск критических уязвимостей Уязвимости в протоколе SMB делают возможным удаленное выполнение кода http://www.microsoft.com/downloads/d...D-BE80859B757C
[микропрограмма лечения]> изменен параметр Compatibility Flags ключа HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E55B-0000-0000-C000-000000000046} [микропрограмма лечения]> изменен параметр Compatibility Flags ключа HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E559-0000-0000-C000-000000000046} Накопительное обновление безопасности для браузера Internet Explorer http://www.microsoft.com/downloads/d...e-d6fe96606c9e
Уязвимость оболочки Windows делает возможным удаленное выполнение кода http://www.microsoft.com/downloads/d...A-8BD2D70D0A0A
Уязвимости в Adobe Flash Player для Firefox/Safari/Opera http://fpdownload.macromedia.com/pub...ugin_32bit.exe
Обнаружено уязвимостей: 4
|
|
| |
edino-kolik | Дата: Вторник, 06.12.2011, 14:22 | Сообщение # 14 |
Группа: Удаленные
| Скачивайте обновления по ссылкам и устанавливайте.
На этом лечение завершено.
|
|
| |
PROSVETOV | Дата: Вторник, 06.12.2011, 14:22 | Сообщение # 15 |
Группа: Удаленные
| А Путь сохранения в любую папку??
|
|
| |
PROSVETOV | Дата: Вторник, 06.12.2011, 14:22 | Сообщение # 16 |
Группа: Удаленные
| ВСе сделал. Огромное спасибо за помощь. Вирус не тревожит все ок))))))) С яндекс и мани деньги не дружу, поэтому пишите в личку номер тел, отблагадорю Вас!!! fhvrj@rambler.ru
|
|
| |
edino-kolik | Дата: Вторник, 06.12.2011, 14:23 | Сообщение # 17 |
Группа: Удаленные
| Quote (PROSVETOV) ВСе сделал. Огромное спасибо за помощь. Вирус не тревожит все ок))))))) С яндекс и мани деньги не дружу, поэтому пишите в личку номер тел, отблагадорю Вас!!! fhvrj@rambler.ru Пожалуйста, обращайтесь.
Номер скинул в личку.
|
|
| |
PROSVETOV | Дата: Вторник, 06.12.2011, 14:25 | Сообщение # 18 |
Группа: Удаленные
| Похоже, что скачивая шрифт из интернета, словил вирус... Компьютер перезагрузился, после чего почти все программы не работали, давали сбой... Антивирусы не запускались... После возврата к предыдущей точке восстановления (на несколько суток ранее), программы стали работать. Утилита Dr.Web CureIt! показывает вирус RC=3221225477... Другие антивирусы сейчас его не находят... Помогите, пожалуйста, если можете! Ссылки на файлы: http://webfile.ru/5702473 и http://exfile.ru/233035
|
|
| |
Нильс | Дата: Вторник, 06.12.2011, 14:26 | Сообщение # 19 |
Генерал-лейтенант
Группа: Персонал
Сообщений: 226
Награды: 0
Репутация: 2
Замечания: 0%
Статус: Не в сети
| Доброе время суток!
Где вы взяли лог AVZ, он был сделан 08 Мая 2011г. в 14:18:16. Hijackthis тоже давний.
Это не ваши логи?
1. Отключите антивирус/файрволл.
2. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected. - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected - нажмите No, если вы хотите оставить ваши сохраненные пароли - если вы используете Opera, нажмите Opera - Select All - Empty Selected - нажмите No, если вы хотите оставить ваши сохраненные пароли
3. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.) [/code]begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); ClearHostsFile; TerminateProcessByName('c:\documents and settings\Саша\application data\lsass.exe'); DeleteFile('c:\documents and settings\Саша\application data\lsass.exe'); DeleteFile('C:\Documents and Settings\Саша\csrss.exe'); DeleteFile('C:\Программы\Новая папка\FinePrint.v6.03.Incl.Keymaker-ZWT.rar'); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\', 'Userinit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); RegKeyParamDel('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'TaskMan'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(5); RebootWindows(true); end.[code] после выполнения скрипта компьютер перезагрузится.
4. Пофиксите в HijackThis следующие строчки:
Внимание: некоторые строки могут отсутствовать, это нормально, просто сообщите какие не нашли при фиксе.
Код:
F2 - REG:system.ini: UserInit=userinit.exe
5. Сделайте новые логи AVZ.
6. Cделайте лог MBAM и дайте ссылку на файл лога.
После выполнения всех пунктов (1 по 6) проверьте, остался ли вирус? Если да, выполните следующее:
Мой сим MSFS2004
|
|
| |
PROSVETOV | Дата: Вторник, 06.12.2011, 14:26 | Сообщение # 20 |
Группа: Удаленные
| Странно, конечно... Лог avz делал сегодня... Да и Hijackthis тоже... Попробую по-новой... Скину...
|
|
| |
Нильс | Дата: Вторник, 06.12.2011, 14:26 | Сообщение # 21 |
Генерал-лейтенант
Группа: Персонал
Сообщений: 226
Награды: 0
Репутация: 2
Замечания: 0%
Статус: Не в сети
| Проверьте дату на своем компьютере, соответствует реальной?
Мой сим MSFS2004
|
|
| |
PROSVETOV | Дата: Вторник, 06.12.2011, 14:26 | Сообщение # 22 |
Группа: Удаленные
| Дата на компьютере реальная... Теперь пробую запустить AVZ, так практически в самом начале выполнения скрипта, пишут программа "Антивирусная утилита AVZ" не работает... В протоколе программы видны процессы, типа: "Функция user32.dll:DefWindowProcA(1664) перехвачена, метод ProcAddressHijack.GetProcAddress..." и "Перехватчик user32.dll:DefWindowProcA(1664) нейтрализован"... Чертовщина какая-то получается...
|
|
| |
Нильс | Дата: Вторник, 06.12.2011, 14:26 | Сообщение # 23 |
Генерал-лейтенант
Группа: Персонал
Сообщений: 226
Награды: 0
Репутация: 2
Замечания: 0%
Статус: Не в сети
| Попробую всё-равно сделать логи ещё раз...
Мой сим MSFS2004
|
|
| |
PROSVETOV | Дата: Вторник, 06.12.2011, 14:26 | Сообщение # 24 |
Группа: Удаленные
| Сделал новые логи... Должно быть на этот раз так точно... http://webfile.ru/5703729 http://exfile.ru/234206
|
|
| |
Нильс | Дата: Вторник, 06.12.2011, 14:27 | Сообщение # 25 |
Генерал-лейтенант
Группа: Персонал
Сообщений: 226
Награды: 0
Репутация: 2
Замечания: 0%
Статус: Не в сети
| Судя по всему, 3 пункт (скрипт в AVZ) был выполнен?
Скажите, осталась ли проблема?
Мой сим MSFS2004
|
|
| |