Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Блокираторы... вымогатели... (http://forum.oszone.net/showthread.php?t=251140)

Your_Teacher 11-01-2013 01:42 2063881
Блокираторы... вымогатели...
 
Вложений: 1
Вспоминая события уже почти что пятилетней давности, когда 12-летняя дочь на радостях нахватала полное лукошко вирусов,
что стало причиной постоянных BSOD's с различными ошибками, нынче 11-летний "майнкрафтер" нахватал на свой десктоп непонятно чего
после загрузок всевозможных модов и инстоллеров - как результат, тут вам и Webalta, и Антиштраф, и порносайт одноклассников, и приглашение
поиграть в GTA, и различные SMS-вымогатели, блокирующие загрузку требуемых сайтов...

Буду премного благодарен за вашу оперативную помощь в лечении компьютера.

С уважением...

SolarSpark 11-01-2013 07:54 2063942
1)Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\E546~1\AppData\Local\Temp\_MEI15642\win32profile.pyd','');
 QuarantineFile('C:\Users\E546~1\AppData\Local\Temp\_MEI15642\win32ts.pyd','');
 QuarantineFile('C:\Users\E546~1\AppData\Local\Temp\7290160FdOh','');
 QuarantineFile('copy C:\Users\E546~1\AppData\Local\Temp\7290160FdOh C:\Windows\system32\drivers\etc\hosts','');
 DeleteFile('copy C:\Users\E546~1\AppData\Local\Temp\7290160FdOh C:\Windows\system32\drivers\etc\hosts');
 DeleteFile('C:\Users\E546~1\AppData\Local\Temp\7290160FdOh');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','7306696');
DelBHO('{EEE6C35B-6118-11DC-9C72-001320C79847}');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
 ExecuteRepair(13);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой формы. В теле письма укажите свой ник на форуме и ссылку на тему

2) Пофиксить в HijackThis следующие строчки:
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxxi.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxxi.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxxi.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxxi.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
O1 - Hosts: 46.251.249.137 odnoklassniki.ru m.vk.com wap.odnoklassniki.ru my.mail.ru www.odnoklassniki.ru vk.com m.odnoklassniki.ru
O1 - Hosts: 46.251.249.136 counter.spylog.com counter.rambler.ru mc.yandex.ru admulti.com www.google-analytics.co
O3 - Toolbar: (no name) - !{0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - (no file)
O3 - Toolbar: (no name) - !{2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O3 - Toolbar: (no name) - !{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - (no file)
O2 - BHO: SWEETIE - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)
O3 - Toolbar: SweetPacks Toolbar for Internet Explorer - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
O4 - HKLM\..\Run: [7306696] cmd.exe /c copy C:\Users\E546~1\AppData\Local\Temp\7290160FdOh C:\Windows\system32\drivers\etc\hosts /Y && attrib +H C:\Windows\system32\drivers\etc\hosts /f
некоторых строчек может не быть

3)В AVZ в меню Сервис - Поиск данных в реестре введите в строку поиска webalta. Нажмите Поиск и сохраните протокол. Приложите к следующему сообщению.

4)
Обновите базы AVZ
Сделайте повторные логи AVZ + лог RSIT

5)Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
______________________________________

Your_Teacher 11-01-2013 21:53 2064605
Пункты 1, 2 и 3 выполнены...

Your_Teacher 12-01-2013 00:17 2064704
Пункт 4 - выполнен...

alex_sev 12-01-2013 01:06 2064735
Ждем еще MBAM

Your_Teacher 12-01-2013 21:08 2065288
Вложений: 1
Ну, и наконец MBAM... уф... система сканировалась больше 20 часов...

alex_sev 12-01-2013 21:26 2065304
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Users\Матвей\AppData\Roaming\Google\fraps32.dll','');
 QuarantineFile('C:\Windows\tasks\At1.job','');
 DeleteFile('C:\Users\Матвей\AppData\Roaming\Google\fraps32.dll');
 DeleteFile('C:\Windows\tasks\At1.job');
 DelCLSID('FE704BF8-384B-44E1-8CF2-8DBEB3637A8A');
 RegKeyDel('HKCU', 'SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
 end.
Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxxi.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxxi.biz
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O3 - Toolbar: (no name) - !{0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - (no file)
O3 - Toolbar: (no name) - !{2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O3 - Toolbar: (no name) - !{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - (no file)
O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)
Сделайте новый комплект логов AVZ и RSIT и прикрепите к следующему сообщению новые логи virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Search" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R1].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.

iskander-k 12-01-2013 21:30 2065305
+
удалите найденное если не закрыли МБАМ - либо вручную

Код:
C:\Users\Матвей\AppData\Roaming\mm-archive\mm-archive.exe (PUP.SmsPay)

Your_Teacher 13-01-2013 22:57 2066122
Вложений: 1
Последние логи...

alex_sev 14-01-2013 11:25 2066337
HiJackThis от имени администратора запускали?

Your_Teacher 15-01-2013 00:10 2066865
Да, сейчас только... и пофиксил... вчера времени не хватило...

alex_sev 15-01-2013 09:42 2067021
Как самочувствие системы?

Your_Teacher 16-01-2013 15:34 2068120
alex_sev, самочувствие системы вроде бы в порядке...:ok: Ежели в логах не осталось никакой бяки, то можно считать тему закрытой... Спасибо огромное за помощь и заботу! :up:


Время: 20:47.

Время: 20:47.
© OSzone.net 2001-2025