Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Помогите пожалуйста!!! Заражен вирусом-шпионом... (http://forum.oszone.net/showthread.php?t=206873)

Evgen911 14-05-2011 21:39 1676426
Помогите пожалуйста!!! Заражен вирусом-шпионом...
 
Вложений: 8
С компьютерами на Вы поэтому не знаю что делать. ПОМОГИТЕ ПОЖАЛУЙСТА?!?!?! У меня два компьютера, на первом операционная система win xp sp3 (модифицировал с помощью этого сайта поэтому все функции дополнительного доступа типа удаленный рабочий стол и др. были убиты при установке твиками) на втором win7 ultimate. К логам добавил в имени xp и w7 соответственно с первого и второго компьютера.

I. На компьютере с winXP антивирусы работают и запускаются ни ничего не находят. Включил востановление системы на 1 месяц (до заражения) не помогло.В браузерах файлы спокойно скачиваются но не работают активные элементы вроде посылки сообщений в одноклассниках, и просмотр фотографий в контакте.... При завершении работы не хотят отключатся некоторые процессы, вылетает окошки с принудительным завершением:
Первое explorer.exe (вылетает 2 раза).
Второе connection trey (Интернет отключен).
Третье (в названии только часть) MSI confi.

II. На компьютере с win7 отключился антивирус и слетела лицензия, принес от друга Dr. web cureit, он запустился в безопасном режиме windows но ничего не нашел кроме модифицированного файла hosts, которому не нужные строки удалил.
Добавленые строки (Взял из карантина dr. web) -
"127.0.0.1 gosredirector.ea.com
127.0.0.1 blazeserver.blazeemu.org
127.0.0.1 gosgvaprod-qos01.ea.com
127.0.0.1 gosiadprod-qos01.ea.com
127.0.0.1 gossjcprod-qos01.ea.com
127.0.0.1 demangler.ea.com
127.0.0.1 vmp.tools.gos.ea.com"
После перезапуска компьютера антивирус (Microsoft Security Esentials) включился, но и он ничего не находит. В браузерах не дает скачивать файлы Но через orbit software пожалуйста (наверное не затронут). На всех сайтах не работает активные элементы вроде посылки сообщений в одноклассниках, и просмотр фотографий например в контакте...

Farger 15-05-2011 12:31 1676653
Здравствуйте,

Как правило практикуют, во избежания путаницы - одна тема - один компьютер. По порядку: я сейчас проверю логи с вашего ПК с XP на борту :)

Farger 15-05-2011 12:52 1676668
Для ПК с XP:

Что у вас в папке C:\Program Files\gidGORODA?

Диск I:/ это что у вас?

Отключите:
Антивирус/Файерволл

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:
begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2001', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!

Пофиксить в HJT

Код:
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

Загрузите SecurityCheck by screen317 отсюда или отсюда
Сохраните на Рабочий стол.
Запустите от имени администратора
Когда увидите консоль, нажмите любую клавишу для продолжения сканирования
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования и вы увидите лог в блокноте с именем checkup.txt;
Прикрепите его тоже в ваше следующее сообщение.

Evgen911 15-05-2011 18:17 1676806
Вложений: 2
Содержимое папки gidGORODA в скриншоте, это электронная карта и справочник с адресами и телефонами магазинов, автосервисов. у них даже одноименный сайт есть с приставкой .ru .
DISK I:/ - это DVDROM . Установочный диск(их бесплатно по конторам разносят, взял с работы) GidGORODA(6 mb) наверно единственный диск который там побывал.

Сделал все по инструкции, лог от "SecurityCheck by screen317" не появляется.

Активные элементы в браузерах работают, компьютер выключается нормально.

Farger 15-05-2011 20:44 1676875
Ок, значит с первым компьютером мы разобрались, я правильно понимаю?

Evgen911 15-05-2011 22:46 1676956
СПАСИБО БОЛЬШОЕ!!! Правда так и не понял что за файл подцепил, главное откуда, и что он натворил в системе... Теперь будем обратно пытаться защиту выставлять.
Второй компьютер сейчас на Kaspersky-911 , нашли с логов какой-то файл mbr.sys удалил его с помощью предоставленного ими скрипта. Лагов в данный момент не вижу,

= Farger СПАСИБО БОЛЬШОЕ ПРЕБОЛЬШОЕ = :up



P. S. А можно вопрос??? Можно ли узнать украли ли у меня какие пароли или нет???

Farger 15-05-2011 23:33 1676993
Пожалуйста :) У вас вируса как такого и не было. С помощью скрипта мы закрыли дыры в безопасности. Относительно паролей - проверьте, можете ли зайти на почту свою, страницы в соц. сетях но предпосылок для существования вируса, который бы воровал у вас пароли я в логах не увидел.


Время: 09:04.

Время: 09:04.
© OSzone.net 2001-