...Среда, 25.12.2024, 20:04



Приветствую Вас Гость | RSS
Главная
[ Обновленные темы · Новые сообщения · Участники · Правила форума · Поиск · RSS ]
  • Страница 1 из 2
  • 1
  • 2
  • »
Лечение от вируса internet.com
edino-kolikДата: Вторник, 06.12.2011, 14:16 | Сообщение # 1
Группа: Удаленные





Вирус internet.com

http://rghost.ru/32984471
 
PROSVETOVДата: Вторник, 06.12.2011, 14:16 | Сообщение # 2
Группа: Удаленные





1. Отключите антивирус/файрволл.

2. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли

3. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)
Code
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически   закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера   подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
  DeleteFile('C:\Windows\system32\fowcgna.dll');
  RegKeyStrParamWrite('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', '');
BC_ImportAll;
  ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

после выполнения скрипта компьютер перезагрузится.

4. Сделайте новые логи AVZ.

5. Cделайте лог MBAM (подробнее) и дайте ссылку на файл лога.

После выполнения всех пунктов (1 по 5) проверьте, остался ли вирус?

- (Желающим отблагодарить, поддержать форум.)
 
edino-kolikДата: Вторник, 06.12.2011, 14:17 | Сообщение # 3
Группа: Удаленные





Спасибо за отклик.
А подскажите пожалуйста чайнику как сделать пункт 4 и 5. Или есть ссылочки на инструкции.
За ранее спасибо
 
PROSVETOVДата: Вторник, 06.12.2011, 14:17 | Сообщение # 4
Группа: Удаленные





Пункт 5 содержит ссылку MBAM(подробнее) где описаны необходимые действия.
Пункт 4 - сделайте новый лог AVZ, по такому же принципу, как в вашем 1 сообщении.
 
edino-kolikДата: Вторник, 06.12.2011, 14:18 | Сообщение # 5
Группа: Удаленные





http://zalil.ru/32184405
пункт 4
 
edino-kolikДата: Вторник, 06.12.2011, 14:18 | Сообщение # 6
Группа: Удаленные





К стате помоему вирус больше не тревожит.
Подскажите пожалуйста как точно проверить ...
 
PROSVETOVДата: Вторник, 06.12.2011, 14:18 | Сообщение # 7
Группа: Удаленные





В логе активного заражения не найдено.
Сделайте лог MBAM (как сделать лог)
 
edino-kolikДата: Вторник, 06.12.2011, 14:19 | Сообщение # 8
Группа: Удаленные





Ок. Сканируется. Ща выложу
 
PROSVETOVДата: Вторник, 06.12.2011, 14:19 | Сообщение # 9
Группа: Удаленные





Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Версия базы данных: 8292

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

02.12.2011 22:48:09
mbam-log-2011-12-02 (22-48-09).txt

Тип сканирования: Полное сканирование (C:\|D:\|)
Просканированные объекты: 232345
Времени прошло: 14 минут, 16 секунд

Зараженные процессы в памяти: 0
Зараженные модули в памяти: 0
Зараженные ключи в реестре: 0
Зараженные параметры в реестре: 0
Объекты реестра заражены: 0
Зараженные папки: 0
Зараженные файлы: 0

Зараженные процессы в памяти:
(Вредоносных программ не обнаружено)

Зараженные модули в памяти:
(Вредоносных программ не обнаружено)

Зараженные ключи в реестре:
(Вредоносных программ не обнаружено)

Зараженные параметры в реестре:
(Вредоносных программ не обнаружено)

Объекты реестра заражены:
(Вредоносных программ не обнаружено)

Зараженные папки:
(Вредоносных программ не обнаружено)

Зараженные файлы:
(Вредоносных программ не обнаружено)

Так нормально, или залить в файлообменник надо??
 
edino-kolikДата: Вторник, 06.12.2011, 14:20 | Сообщение # 10
Группа: Удаленные





Нормально.

Выполните следующий скрипт в AVZ:
Code
begin
if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt');
If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt')
Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false);
ExitAVZ;
end.

После того как скрипт отработает, если будут найдены уязвимости, то в блокноте откроется файл avz_log.txt со ссылками на обновления, которые нужно загрузить и установить. Если ничего обновлять не надо, AVZ просто закроется.

В остальном чисто. Лечение завершено.
 
PROSVETOVДата: Вторник, 06.12.2011, 14:21 | Сообщение # 11
Группа: Удаленные





Обнаружено уязвимостей: 4
А в какую папку сохранять по ссылкам???
 
edino-kolikДата: Вторник, 06.12.2011, 14:21 | Сообщение # 12
Группа: Удаленные





прикрепите к сообщению.
 
PROSVETOVДата: Вторник, 06.12.2011, 14:21 | Сообщение # 13
Группа: Удаленные





Поиск критических уязвимостей
Уязвимости в протоколе SMB делают возможным удаленное выполнение кода
http://www.microsoft.com/downloads/d...D-BE80859B757C

[микропрограмма лечения]> изменен параметр Compatibility Flags ключа HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E55B-0000-0000-C000-000000000046}
[микропрограмма лечения]> изменен параметр Compatibility Flags ключа HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E559-0000-0000-C000-000000000046}
Накопительное обновление безопасности для браузера Internet Explorer
http://www.microsoft.com/downloads/d...e-d6fe96606c9e

Уязвимость оболочки Windows делает возможным удаленное выполнение кода
http://www.microsoft.com/downloads/d...A-8BD2D70D0A0A

Уязвимости в Adobe Flash Player для Firefox/Safari/Opera
http://fpdownload.macromedia.com/pub...ugin_32bit.exe

Обнаружено уязвимостей: 4
 
edino-kolikДата: Вторник, 06.12.2011, 14:22 | Сообщение # 14
Группа: Удаленные





Скачивайте обновления по ссылкам и устанавливайте.

На этом лечение завершено.
 
PROSVETOVДата: Вторник, 06.12.2011, 14:22 | Сообщение # 15
Группа: Удаленные





А Путь сохранения в любую папку??
 
PROSVETOVДата: Вторник, 06.12.2011, 14:22 | Сообщение # 16
Группа: Удаленные





ВСе сделал. Огромное спасибо за помощь.
Вирус не тревожит все ок)))))))
С яндекс и мани деньги не дружу, поэтому пишите в личку номер тел, отблагадорю Вас!!!
fhvrj@rambler.ru
 
edino-kolikДата: Вторник, 06.12.2011, 14:23 | Сообщение # 17
Группа: Удаленные





Quote (PROSVETOV)
ВСе сделал. Огромное спасибо за помощь.
Вирус не тревожит все ок)))))))
С яндекс и мани деньги не дружу, поэтому пишите в личку номер тел, отблагадорю Вас!!!
fhvrj@rambler.ru

Пожалуйста, обращайтесь.

Номер скинул в личку.
 
PROSVETOVДата: Вторник, 06.12.2011, 14:25 | Сообщение # 18
Группа: Удаленные





Похоже, что скачивая шрифт из интернета, словил вирус... Компьютер перезагрузился, после чего почти все программы не работали, давали сбой... Антивирусы не запускались... После возврата к предыдущей точке восстановления (на несколько суток ранее), программы стали работать. Утилита Dr.Web CureIt! показывает вирус RC=3221225477... Другие антивирусы сейчас его не находят... Помогите, пожалуйста, если можете! Ссылки на файлы: http://webfile.ru/5702473 и http://exfile.ru/233035
 
НильсДата: Вторник, 06.12.2011, 14:26 | Сообщение # 19
Генерал-лейтенант
Группа: Персонал
Сообщений: 226
Награды: 0
Репутация: 2
Замечания: 0%
Статус: Не в сети
Доброе время суток!

Где вы взяли лог AVZ, он был сделан 08 Мая 2011г. в 14:18:16.
Hijackthis тоже давний.

Это не ваши логи?

1. Отключите антивирус/файрволл.

2. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли

3. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)
[/code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearHostsFile;
TerminateProcessByName('c:\documents and settings\Саша\application data\lsass.exe');
DeleteFile('c:\documents and settings\Саша\application data\lsass.exe');
DeleteFile('C:\Documents and Settings\Саша\csrss.exe');
DeleteFile('C:\Программы\Новая папка\FinePrint.v6.03.Incl.Keymaker-ZWT.rar');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\', 'Userinit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
RegKeyParamDel('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'TaskMan');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(5);
RebootWindows(true);
end.[code]
после выполнения скрипта компьютер перезагрузится.

4. Пофиксите в HijackThis следующие строчки:

Внимание: некоторые строки могут отсутствовать, это нормально, просто сообщите какие не нашли при фиксе.

Код:

F2 - REG:system.ini: UserInit=userinit.exe

5. Сделайте новые логи AVZ.

6. Cделайте лог MBAM и дайте ссылку на файл лога.

После выполнения всех пунктов (1 по 6) проверьте, остался ли вирус? Если да, выполните следующее:


Мой сим MSFS2004
 
PROSVETOVДата: Вторник, 06.12.2011, 14:26 | Сообщение # 20
Группа: Удаленные





Странно, конечно... Лог avz делал сегодня... Да и Hijackthis тоже... Попробую по-новой... Скину...
 
НильсДата: Вторник, 06.12.2011, 14:26 | Сообщение # 21
Генерал-лейтенант
Группа: Персонал
Сообщений: 226
Награды: 0
Репутация: 2
Замечания: 0%
Статус: Не в сети
Проверьте дату на своем компьютере, соответствует реальной?

Мой сим MSFS2004
 
PROSVETOVДата: Вторник, 06.12.2011, 14:26 | Сообщение # 22
Группа: Удаленные





Дата на компьютере реальная... Теперь пробую запустить AVZ, так практически в самом начале выполнения скрипта, пишут программа "Антивирусная утилита AVZ" не работает... В протоколе программы видны процессы, типа: "Функция user32.dll:DefWindowProcA(1664) перехвачена, метод ProcAddressHijack.GetProcAddress..." и "Перехватчик user32.dll:DefWindowProcA(1664) нейтрализован"... Чертовщина какая-то получается...
 
НильсДата: Вторник, 06.12.2011, 14:26 | Сообщение # 23
Генерал-лейтенант
Группа: Персонал
Сообщений: 226
Награды: 0
Репутация: 2
Замечания: 0%
Статус: Не в сети
Попробую всё-равно сделать логи ещё раз...

Мой сим MSFS2004
 
PROSVETOVДата: Вторник, 06.12.2011, 14:26 | Сообщение # 24
Группа: Удаленные





Сделал новые логи... Должно быть на этот раз так точно...
http://webfile.ru/5703729
http://exfile.ru/234206
 
НильсДата: Вторник, 06.12.2011, 14:27 | Сообщение # 25
Генерал-лейтенант
Группа: Персонал
Сообщений: 226
Награды: 0
Репутация: 2
Замечания: 0%
Статус: Не в сети
Судя по всему, 3 пункт (скрипт в AVZ) был выполнен?

Скажите, осталась ли проблема?


Мой сим MSFS2004
 
  • Страница 1 из 2
  • 1
  • 2
  • »
Поиск:


Copyright MyCorp © 2024
Бесплатный конструктор сайтов - uCoz