Требуется помощь - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

- - Требуется помощь (http://forum.oszone.net/showthread.php?t=144064)

Требуется помощь

В браузере появилось окно отправить смс, затем на этом месте появилось сообщение что НЕВОЗМОЖНО НАЙТИ УДАЛЕННЫЙ СЕРВЕР. Сделал все как написано в инструкции. И это окно и в опере и в IE и в FF присутствует. Вот логи

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin

 SearchRootkit(true, true);

 SetAVZGuardStatus(true);

 QuarantineFile('C:\WINDOWS\system32\SiteAccess.dll','');

 QuarantineFile('C:\WINDOWS\system32\nvshell.dll','');

 QuarantineFile('C:\Program Files\Mozilla Firefox\components\browserdirprovider.dll','');

 DeleteFile('C:\WINDOWS\system32\SiteAccess.dll');

 BC_ImportALL;

 ExecuteSysClean;

 BC_Activate;

 RebootWindows(true);

end.

После выполнения скрипта компьютер перезагрузится.

Код:

begin

 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

Пофиксить в HijackThis следующие строчки

Код:

O20 - AppInit_DLLs: C:\WINDOWS\system32\SiteAccess.dll

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

Обновите базы AVZ и повторите логи.

Карантин получил... разослал по вирлабам.

тыц

В присланном Вами файле обнаружено новое вредоносное программное обеспечение.
Его детектирование будет включено в очередное обновление антивирусных баз.
Благодарим за оказанную помощь.
Trojan-Ransom.Win32.SMSer.en

Malwarebytes' Anti-Malware 1.38
Версия базы данных: 2368
Windows 5.1.2600 Service Pack 3

03.07.2009 19:43:35
mbam-log-2009-07-03 (19-43-35).txt

Тип проверки: Полная (C:\|D:\|)
Проверено объектов: 125670
Прошло времени: 18 minute(s), 58 second(s)

Заражено процессов в памяти: 0
Заражено модулей в памяти: 0
Заражено ключей реестра: 1
Заражено значений реестра: 0
Заражено параметров реестра: 3
Заражено папок: 0
Заражено файлов: 1

Заражено процессов в памяти:
(Вредоносные программы не обнаружены)

Заражено модулей в памяти:
(Вредоносные программы не обнаружены)

Заражено ключей реестра:
HKEY_CURRENT_USER\SOFTWARE\ByteLinker (Pup.BitSpirit) -> Quarantined and deleted successfully.

Заражено значений реестра:
(Вредоносные программы не обнаружены)

Заражено параметров реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Заражено папок:
(Вредоносные программы не обнаружены)

Заражено файлов:
c:\program files\WinRAR\original\RAR Slayer v1.1.exe (Malware.Tool) -> Quarantined and deleted successfully.

После обновления базы AVZ повторяю логи

Это карантин, уберите. Прикрепите архивы, как в первом сообщении.

вот финальные логи

Пофиксить в HijackThis следующие строчки

Код:

O20 - AppInit_DLLs: C:\WINDOWS\system32\SiteAccess.dll

Проблемы еще наблюдаются?

дело в том что у меня в HijackThis нет указанной строчки и следовательно я не могу ее отметить. Если данную операцию выполнять не обязательно, то большое спасибо за помощь!

Madm, в предоставленном вами логе данная строка присутствует, поэтому akok и просил ее пофиксить:

Похоже, просто лог выложен старый (размер до безобразия совпадает)

thyrex, очень похоже на то :)