Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   появился плагин в IE (http://forum.oszone.net/showthread.php?t=143923)

Варежка 01-07-2009 14:39 1156416
появился плагин в IE
 
Вложений: 1
Цитата:
Цитата Никса
Помогите, пожалуйста! У меня появился плагин в IE, открывая любую страницу, выскакивает "отправить смс ..." . Вот... Но вчера я что-то сделала и теперь вместо этой картинки выскакивает IE не может отобразить эту веб-страницу. И что мне теперь делать? Странички открываются, но вверху все закрывает эта "картинка". Ее можно убрать?
Точно такая же ситуация была, но после выполнения инструкции по созданию логов, все пропало.....все равно прикрепляю то, что получилось, чтобы мою работу чайника проверил профи.

Drongo 01-07-2009 15:01 1156432
Варежка, здравствуйте. :) Выполните несколько рекомендаций.
  1. Очистите временные файлы.

    Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
    - скачайте ATF Cleaner или с зеркала, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
    - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли
    - если вы используете Opera, нажмите Opera - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли.

  2. Восстановление системы. Создание новой контрольной точки восстановления и очистка предыдущих.
    • Создание новой точки восстановления: Нажмите Пуск => Программы => Стандартные => Служебные => Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать
    • Очистка всех предыдущих точек восстановления: Нажмите Пуск => Программы => Стандартные => Служебные => Очистка диска, выберите системный диск, на вкладке Дополнительно => Восстановление системы нажмите Очистить, нажмите Да для очистки всех точек восстановления, кроме последней.

      Как это сделать, можно подробно прочитать здесь.

* Подробнее можно прочитать в этой теме.

Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
 DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После всех процедур выполните скрипт
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip Вышлите полученный файл quarantine.zip на newvirus@kaspersky.com. Результаты ответа, сообщите здесь, в теме.

Или используем SDFix
Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте текст из C:\Report.txt и вставьте в следующее сообщение или запакуйте файл C:\Report.txt и прикрепите к сообщению
Описание SDFix есть здесь.

1) Запускаем SDFix.exe - программа распакуется на c:/SDFix
2) Заходим в безопасный режим, запускаем RunThis.bat с c:/SDFix
3) Нажимаем при запросе "Y"
4) Сканируется 10 минут и просит нажать любую кнопку для перезагрузки
5) После перезагрузки в обычном режиме программа допроверяет процессы (при этом ярлыков на рабочем столе не будет видно)
6) После окончания проверки будет создан файл отчета, о чем будет сообщение.
7) Заходим в проводник у спокойно удаляем ntos.exe
При этом программа исправит описанные измененные значения реестра.



Потом повторите логи AVZ

akok 01-07-2009 15:13 1156443
Проверьте на www.virustotal.com

C:\WINDOWS\system32\gpprefcl.dll
C:\WINDOWS\system32\gptext.dll

Результаты сообщите.

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

Drongo 01-07-2009 15:18 1156446
akok, Один они чистые, я проверял
Цитата:
Цитата akok
C:\WINDOWS\system32\gpprefcl.dll »
gpprefcl.dll.
Цитата:
Цитата akok
C:\WINDOWS\system32\gptext.dll »
gptext.dll

Варежка 01-07-2009 15:30 1156454
Drongo, спасибо за ответ, пошла выполнять :)

akok 01-07-2009 15:32 1156457
Drongo, старовата проверка. :)

Цитата:
2009.02.25 07:46:30
Ну и после SDFix этим проверьте.


Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

Варежка 01-07-2009 16:01 1156473
akok, спасибо большое, пошла проверять :)

Варежка 01-07-2009 17:17 1156541
akok, вот что получилось

Цитата:
Malwarebytes' Anti-Malware 1.38
Версия базы данных: 2358
Windows 5.1.2600 Service Pack 3

01.07.2009 17:10:13
mbam-log-2009-07-01 (17-10-13).txt

Тип проверки: Полная (C:\|D:\|)
Проверено объектов: 146902
Прошло времени: 36 minute(s), 53 second(s)

Заражено процессов в памяти: 0
Заражено модулей в памяти: 0
Заражено ключей реестра: 0
Заражено значений реестра: 1
Заражено параметров реестра: 3
Заражено папок: 1
Заражено файлов: 2

Заражено процессов в памяти:
(Вредоносные программы не обнаружены)

Заражено модулей в памяти:
(Вредоносные программы не обнаружены)

Заражено ключей реестра:
(Вредоносные программы не обнаружены)

Заражено значений реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Quarantined and deleted successfully.

Заражено параметров реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Заражено папок:
C:\WINDOWS\system32\wsnpoem (Trojan.Agent) -> Quarantined and deleted successfully.

Заражено файлов:
c:\WINDOWS\system32\wsnpoem\audio.dll (Trojan.Agent) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\wsnpoem\video.dll (Trojan.Agent) -> Quarantined and deleted successfully.
Drongo, вот что прислали в ответ

Цитата:
Здравствуйте,


bcqr00001.ini,
bcqr00002.ini

Вредоносный код в файлах не обнаружен.

Drongo 01-07-2009 18:34 1156610
Варежка, А SDFix выполняли? :)

Варежка 01-07-2009 19:25 1156648
Drongo, нет, вы же писали или, или....... пойду и его сделаю :)

Варежка 01-07-2009 22:57 1156803
Вложений: 1
Цитата:
Цитата Drongo
Варежка, А SDFix выполняли? »
сделала :)
не поняла что надо удалить в конце

Варежка 01-07-2009 23:30 1156832
а вот и логи:

thyrex 02-07-2009 01:08 1156871
Выложите, пожалуйста, нормальные логи AVZ, как это было сделано в сообщении №1

Drongo 02-07-2009 10:04 1157025
Варежка, Report чистый. Что с проблемой? Требует ещё sms? :)


Время: 13:37.

Время: 13:37.
© OSzone.net 2001-2025