Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Появился плагин в Opera и IE (http://forum.oszone.net/showthread.php?t=143949)

Zuxel 01-07-2009 18:47 1156620
Появился плагин в Opera и IE
 
Вложений: 1
Вы попытались получить доступ к адресу sex-bot.biz/plugin/showbanners.php..., который сейчас недоступен. Убедитесь, что веб-адрес (URL) введен правильно, и попытайтесь перезагрузить страницу. Вот что пишет при открытии в любых браузерах любой странички... как бороться? кстати немогу загрузить третий лог файл на сайт.

iskander-k 01-07-2009 20:17 1156688
Zuxel,
Здравствуйте
Во первых уберите ссылку на сайт из вашего сообщения. И попробуйте выложить и второй архив.
Чтобы загрузить третий файл из архива с HijackThis удалите программу HijackThis - оставьте только лог. Тогда сможете загрузить третий файл.

iskander-k 01-07-2009 20:43 1156707
Здравствуйте.


1. Отключите антивирус/фаервол, интернет;

2. Очистите и создайте новую контрольную точку восстановления :
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

Очистите временные файлы.
Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
- скачайте ATF Cleaner или с зеркала , запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли.[*]

Скопируйте и выполните, расположенный ниже, скрипт в AVZ.



1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать данный вам скрипт-- Нажать кнопку "Запустить".

Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\logonuiX.exe','');
 QuarantineFile('C:\WINDOWS\system32\aniram\m2r1n6.exe','');
 QuarantineFile('C:\WINDOWS\system32\SiteAccess.dll','');
 QuarantineFile('C:\WINDOWS\system32\mrn.exe','');
 DeleteFile('c:\windows\system32\mrn.exe');
 DeleteFile('C:\WINDOWS\system32\SiteAccess.dll');
 DeleteFile('C:\WINDOWS\system32\aniram\m2r1n6.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки выполните скрипт


Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine .zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip Вышлите полученный файл quarantine.zip на newvirus@kaspersky.com. Результаты ответа, сообщите здесь, в теме.



Обновите базы AVZ и сделайте новые логи.

Пофиксить в HijackThis.
Код:
O4 - Global Startup: Marina_216.lnk = C:\WINDOWS\system32\aniram\m2r1n6.exe
O4 - Global User Startup: Marina_216.lnk = C:\WINDOWS\system32\aniram\m2r1n6.exe
 O20 - AppInit_DLLs: wbsys.dll C:\WINDOWS\system32\SiteAccess.dll
1. Запустите HijackThis.
2. В главном окне программы нужно нажать кнопочку "Do a system scan only".
3. В открывшемся логе сканирования поставить галочки напротив указанных строк и нажать кнопку "Fix Checked". Затем следует перегрузить компьютер.

Примечание: У HijackThis есть возможность отмены сделанных с помощью него изменений в системе. Запустите HijackThis, нажмите кнопку "View the list of backups". Отметьте то, что хотите вернуть и нажмите "Restore".

Никогда не запускайте HijackThis из архивов иначе Вы, не сможете воспользоваться функцией Restore.


Рекомендация.

Для предотвращения заражения компьютера от переносных запоминающих устройств
Выполните в AVZ скрипт


Код:
begin
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.

Zuxel 02-07-2009 17:10 1157445
Вот мои новые логи...
Выражаю огромню благодарность "iskander-k" за спасение моего компьютера... УРА!

Zuxel 02-07-2009 17:13 1157448
только сейчас почему то не работаю flesh - приложения на страницах вконтакте.

Да и еще чуть не забыл теперь при выключении IE появляется табличка вот примерно с таким содержанием
Iexplore.exe - Ошибка приложения
Инструкция по адресу "0х66604761" обратилась к памяти "0х66604761" память не может быть "written".
и еще одна табичка появляется при загрузке ОС и IE
RegSvr32
Использование: regsvr32[/u][/s][/i[:строка_команд]] DLL-файл
..... и т.д.
Как с этим бороться?

iskander-k 02-07-2009 17:34 1157459
Цитата:
Цитата Zuxel
только сейчас почему то не работаю flesh »
Обновите флэш плеер

Цитата:
Цитата Zuxel
RegSvr32
Использование: regsvr32[/u][/s][/i[:строка_команд]] DLL-файл
..... и т.д.
Как с этим бороться? »
Статью прочитайте, должно помочь Средство Regsvr32 (Regsvr32.exe)

Так же попробуйте
Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные). Откройте лог и скопируйте в сообщение.
Цитата:
Цитата iskander-k
В результате выполнения скрипта будет сформирован карантин quarantine.zip Вышлите полученный файл quarantine.zip на newvirus@kaspersky.com. Результаты ответа, сообщите здесь, в теме. »
Что по этому пункту ? Какой ответ ?

Zuxel 16-07-2009 09:56 1169092
К сожалению ответ мне на посланные логи для лаборатории касперского так никто и не прислал, до сих пор, так что выложить ничего не могу. Зато появился очередной плагин с которым нужно опять поборотся

thyrex 16-07-2009 11:24 1169217
Тогда делайте очередные логи

Zuxel 16-07-2009 13:07 1169335
Вот логи с зараженного компа.

Zuxel 16-07-2009 13:36 1169369
Это вирус мне кажется того же рода что и был до этого только сейчас немного видоизменился и денег требует))) есть ли такая возможность защититься от такого рода вирусов насовсем?

thyrex 16-07-2009 15:26 1169457
На время выполнения скрипта отключите все защитное ПО (антивирус, файрволл). Включите брандмауэр Windows
Отключите восстановление системы

Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\System Volume Information\_restore{632534C9-1CC4-4C91-847A-5106325D5248}\RP4\A0000552.exe','');
 QuarantineFile('C:\System Volume Information\_restore{632534C9-1CC4-4C91-847A-5106325D5248}\RP3\A0000430.exe','');
 DelBHO('{9D64F819-9380-8473-DAB2-702FCB3D7A3E}');
 QuarantineFile('%USERPROFILE%\Application Data\msmedia.dll','');
 QuarantineFile('C:\WINDOWS\atidgllk.sys','');
 DeleteFile('%USERPROFILE%\Application Data\msmedia.dll');
 DeleteFile('C:\System Volume Information\_restore{632534C9-1CC4-4C91-847A-5106325D5248}\RP3\A0000430.exe');
 DeleteFile('C:\System Volume Information\_restore{632534C9-1CC4-4C91-847A-5106325D5248}\RP4\A0000552.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

Выполнить скрипт в AVZ.
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

Пофиксить в HiJack
Код:
O2 - BHO: (no name) - {88888888-8888-8888-8888-888888888888} - (no file)
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
Обновите базы AVZ
Сделайте новые логи

Zuxel 16-07-2009 16:03 1169503
Вот новые логи, не помогло(((

thyrex 16-07-2009 16:19 1169524
Не помогло в обоих браузерах?

Zuxel 16-07-2009 17:14 1169590
точно не помголо ни в одном из браузеров

iskander-k 16-07-2009 18:30 1169673
Цитата:
Цитата Zuxel
от такого рода вирусов насовсем? »
- не работать за компьютером с правами администратора
- не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендую использовать Firefox c плагином NoScript)

thyrex 16-07-2009 18:41 1169687
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('atidgllk');
 DeleteFile('C:\WINDOWS\atidgllk.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Не выполнено
Цитата:
Цитата thyrex
Пофиксить в HiJack
Код:
O2 - BHO: (no name) - {88888888-8888-8888-8888-888888888888} - (no file)
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
Обновите базы AVZ »
Не выполнено
Цитата:
Цитата thyrex
Обновите базы AVZ »
Сделайте новые логи

akok 16-07-2009 21:58 1169850
Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

И сразу новые логи.

Zuxel 17-07-2009 10:43 1170286
В IE исчезло а в опере нет.

Zuxel 17-07-2009 11:01 1170309
Вот после того как выполнил все инструкции.

Zuxel 17-07-2009 11:05 1170313
Вот еще лог, который просили сделать.

thyrex 17-07-2009 12:11 1170397
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('vjtbwqgb.sys','');
 DeleteFile('vjtbwqgb.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Выполнить скрипт в AVZ.
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

Сделать новые логи

В Опера сделать
Инструменты - Настройки - Дополнительно - Содержимое - Настроить JavaScript...

Внизу найти окно Папка пользовательских скриптов
Если оно непустое, можно поискать в этой папке неизвестный Вам скрипт или просто очистить папку

Zuxel 19-07-2009 14:22 1171881
После того как в ручную нашел и очистил папочку оперы со скриптами, то в опере тоже исчезло)))
Вот новые логи надеюсь уже сейчас чистые.

thyrex 19-07-2009 20:06 1172133
Ничего плохого в логах

Создайте новую контрольную точку восстановления и очистите предыдущие:
- Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно – Восстановление системы нажмите Очистить
- Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать

Очистите временные файлы через Пуск – Программы – Стандартные – Служебные – Очистка диска или с помощью ATF Cleaner
– скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
– если вы используете Firefox, нажмите Firefox – Select All – Empty Selected
– нажмите No, если вы хотите оставить ваши сохраненные пароли
– если вы используете Opera, нажмите Opera – Select All – Empty Selected
– нажмите No, если вы хотите оставить ваши сохраненные пароли

Цитата:
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Проверка завершена
9. Мастер поиска и устранения проблем
>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носителей
Советую отключить то, что не требуется (можно скриптом, если скажете, что не требуется)

Для предотвращения заражения, рекомендую не работать за компьютером с правами администратора, не использовать Internet Explorer или отключить в нем ActiveX, использовать DropMyRights см. здесь и здесь или SanboxIE, пользоваться браузером Firefox c плагином NoScript и AdBlock Plus
Регулярно устанавливаете обновления - http://windowsupdate.microsoft.com и обновляйте антивирусные базы
По проблемам и вопросам, связанным с защитой ПК, советую посетить раздел Защита компьютерных систем

Обновите JavaRE

Дополнительно можете протестировать и настроить безопасность с помощью Belarc Advisor доп. см. здесь
И проверить программное обеспечения на безопасность и наличие обновлений с помощью Secunia Online Software Inspector (OSI)
Советую прочитать
Безопасный Интернет. Универсальная защита для Windows ME - Vista,
Базовая концепция системы безопасности ОС Windows семейства NT
Вы можете оказать помощь в сборе и пополнении базы чистых файлов AVZ
Чистого Вам Интернета!

Zuxel 20-07-2009 09:28 1172512
Цитата:
Цитата thyrex
Советую отключить то, что не требуется (можно скриптом, если скажете, что не требуется) »
я не совсем компетентен в этих вопросах, я могу рассказать чем эта машина занимается...
вобщем этот компьютер напрямую подключен к интеренету, через него не подключаются другие устройства и компьютеры, несколько раз в месяц (1-2) с него скачивают нужную информацию по локальной сети. удаленно к этому компьютеру тоже никто не подключается.


Цитата:
Цитата thyrex
Обновите JavaRE »
выполнил

Цитата:
Цитата thyrex
оздайте новую контрольную точку восстановления и очистите предыдущие:
- Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно – Восстановление системы нажмите Очистить
- Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать
Очистите временные файлы через Пуск – Программы – Стандартные – Служебные – Очистка диска или с помощью ATF Cleaner
– скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
– если вы используете Firefox, нажмите Firefox – Select All – Empty Selected
– нажмите No, если вы хотите оставить ваши сохраненные пароли
– если вы используете Opera, нажмите Opera – Select All – Empty Selected
– нажмите No, если вы хотите оставить ваши сохраненные пароли »
выполнил

Zuxel 16-10-2009 20:38 1244876
Проверьте пожалуйста, что то не так с моим компьютером...

thyrex 16-10-2009 21:30 1244921
c:\windows\felix.exe - это кот, лазающий по рабочему столу?

Логи сделаны старой версией. Уже есть версия 4.32

Zuxel 16-10-2009 22:21 1244956
нет felix это программа для удобного доступа в интернет (она от провайдера предоставляется "видное.нЭт")
а для тех кто на бронепоезде етсь ссылка для скачивания нового "авз"

iskander-k 16-10-2009 23:20 1244996
Цитата:
Цитата Zuxel
а для тех кто на бронепоезде етсь ссылка для скачивания нового "авз" »
Для тех кто на бронепоезде - по ссылке в требовании есть ссылка на закачку свежего АВЗ.
Выложите логи в соответствии с этими инструкциями.

И читать правила надо в начале раздела Вам нужна помощь? Нам нужны ваши логи! ...


Время: 09:17.

Время: 09:17.
© OSzone.net 2001-