Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Помогите вылечить вирус (http://forum.oszone.net/showthread.php?t=260080)

7string 06-05-2013 23:47 2145740
Помогите вылечить вирус
 
Вложений: 4
При попытке получить результат поискового запроса в google появляется страница с просьбой отправить смс:
"Мы зарегистрировали подозрительный трафик, исходящий из вашей сети.
С помощью этой страницы мы сможем определить, что запросы отправляете именно вы, а не робот.
Чтобы продолжить поиск, пожалуйста, введите свой номер телефона в поле ввода и нажмите «Отправить»".
Подобная ситуация и с Яндексом:
"Нам очень жаль, но запросы, поступившие с вашего IP-адреса, похожи на автоматические. По этой причине мы вынуждены временно заблокировать доступ к поиску.
Чтобы продолжить поиск, пожалуйста, введите свой номер телефона в поле ввода и нажмите «Отправить»."
Вконтакте перенаправляет на http://vk.com/changepass.php и пишет:
"Уважаемый пользователь, мы обнаружили подозрительную активность и временно заморозили Вашу страницу, чтобы вырвать ее из рук злоумышленников.
Чтобы разморозить страницу, мы просим Вас подтвердить, что Вы владелец страницы, и сменить пароль.
Мобильный телефон___"

shestale 07-05-2013 08:26 2145820
Закройте все программы, отключите антивирус, файрволл и прочее защитное ПО.

1. Запустить AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт(порядковые номера не копировать) - Нажать кнопку Запустить.
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\Mozilla\zmvbhln.exe','');
 QuarantineFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\Mozilla\bsrvqnj.dll','');
 DeleteFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\Mozilla\bsrvqnj.dll');
 DeleteFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\Mozilla\zmvbhln.exe');
 DeleteFile('C:\WINDOWS\Tasks\oiwtdln.job');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!

2. После перезагрузки, выполните такой скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
3. Полученный архив quarantine.zip из папки с AVZ, отправьте с помощью этой формы или на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @), укажите ссылку на тему и ник на форуме.

4. Сделайте новые логи AVZ и Rsit.

5. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Программу не закрывайте и самостоятельно ни чего не удаляйте!

7string 07-05-2013 09:42 2145842
Вложений: 5
Все сделал. Ресурсы, на которые я жаловался работают как нужно. Вот новые логи, MBAM все таки что-то нашел:

SolarSpark 07-05-2013 09:56 2145848
в мвам удалите найденное

+

Создайте новую контрольную точку восстановления и очистите предыдущие:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.


+

Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt

обновитесь по ссылкам из полученного лога

7string 07-05-2013 10:14 2145864
Остатки гадостей удалил, обновился. Проблема решена, большое спасибо!

SolarSpark 07-05-2013 10:19 2145868
не болейте

shestale 07-05-2013 11:03 2145899
Рекомендации после лечения


Время: 04:34.

Время: 04:34.
© OSzone.net 2001-