Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] РОСТЕЛЕКОМ (http://forum.oszone.net/showthread.php?t=212667)

BUSTED 05-08-2011 15:02 1726414
РОСТЕЛЕКОМ
 
в браузерах Firefox и Opera постоянно перенаправляет на сайт rostelecom.ru, либо вылезает ошибка, что система заражена, рекомндуется установить обновление, либо страницы отображаются в html коде (странно еще что страницы поисковика google, google ответы и gmail не перенаправляет). А браузер Google Chrome вообще ничего не грузит.
Антивирус ничего не видит (пробовал NOD)

virusinfo_syscure.zip -----> http://exfile.ru/199727
virusinfo_syscheck.zip -----> http://exfile.ru/199730
log.txt -----> http://exfile.ru/199731
info.txt -----> http://exfile.ru/199732

alex_sev 05-08-2011 15:04 1726416
Внимательно прочитайте правила, и выполните: http://forum.oszone.net/thread-98169.html

alex_sev 05-08-2011 20:42 1726583
Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Windows\system32\tnramhl.dll','');
 QuarantineFile('C:\Windows\SYSWOW64\tnramhl.dll','');
 QuarantineFile('C:\Windows\SYSWOW64\9F5.tmp','');
 QuarantineFile('C:\Windows\SYSWOW64\5FE1.tmp','');
 DeleteFile('C:\Windows\system32\tnramhl.dll');
 DeleteFile('C:\Windows\SYSWOW64\tnramhl.dll');
 DeleteFile('C:\Windows\SYSWOW64\9F5.tmp');
 DeleteFile('C:\Windows\SYSWOW64\5FE1.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(13);
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end..
Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив отправьте с помощью этой формы с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Пофиксите в HJT:

Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ctel.ru/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxi.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=aafec0cb000000000000e0cb4e2fd0ba&tlver=1.4.19.19&affID=17160
O20 - AppInit_DLLs: C:\Windows\system32\tnramhl.dll
Повторите логи AVZ и RSIT

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

BUSTED 05-08-2011 21:28 1726596
Помогло!!! Делаю проверку Malwarebytes, файл карантин послал по форме

alex_sev 05-08-2011 21:40 1726602
Ждем))

BUSTED 05-08-2011 21:44 1726603
O20 - AppInit_DLLs: C:\Windows\system32\tnramhl.dll
Все профиксил этот ненашел
Проверять только диск С или и D тоже?

alex_sev 05-08-2011 21:50 1726607
Желательно все. Не удаляйте все найденное, дождитесь ответа консультанта. Возможно придется провести повторное сканирование

Отчет по карантину:

tnramhl.dll - Trojan.Mayachok.based

BUSTED 05-08-2011 21:51 1726608
Ок проверяю все, как проверится дам сылку

O20 - AppInit_DLLs: C:\Windows\system32\tnramhl.dll
Я в HJT это найти немогу как с ним справиться?
Его скрипт удалил наверно

BUSTED 05-08-2011 22:34 1726632
mbam_log --------> http://exfile.ru/199808
4 вируса
Ничего не удаляю жду ответа

alex_sev 05-08-2011 22:38 1726634
Хорошо вот это еще сделайте:

Цитата:
Повторите логи AVZ и RSIT
И будем завершать))

В MBAM страшного ничего нет только Ваши кейгены и кряки, если волнуетесь за их безопасность проверьте на Virustotal, а затем удаляйте.

BUSTED 05-08-2011 23:14 1726653
Это снова все 4 файла нужно сделать?

BUSTED 05-08-2011 23:31 1726661
virusinfo_syscure.zip -------> http://exfile.ru/199842
virusinfo_syscheck.zip -----> http://exfile.ru/199835
log.txt -------------------------> http://exfile.ru/199834
info.txt ------------------------> http://exfile.ru/199833

virusinfo_syscheck.zip -----> http://exfile.ru/199835 <----- Ошибся это старый
virusinfo_syscheck.zip -----> http://exfile.ru/199837 <----- Вот новый

alex_sev 06-08-2011 09:37 1726735
Внимание! Смените все пароли ICQ, Контакт, Почта итд

Необходимо очистить ранее созданную точку восстановления и создать новую:
1. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
2. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить


Для предотвращения заражения рекомендуется:
- не работать за компьютером с правами администратора
- не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендуется использовать Firefox c плагином NoScript)
- регулярно устанавливать обновления windows и антивирусного продукта (обновлять антивирусные базы и модули)

Обновите до последних версий:

BUSTED 09-08-2011 13:09 1728516
Спс надеюсь больше не воспользуюсь этими программами))


Время: 10:45.

Время: 10:45.
© OSzone.net 2001-