Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Запрос на запуск вирусосодержащего сайта (http://forum.oszone.net/showthread.php?t=270856)

cyber_mhn 28-10-2013 15:31 2242584
Запрос на запуск вирусосодержащего сайта
 
Вложений: 5
Доброго всем дня.
Суть проблемы: при запуске firefox последней версии nod32 v.6 сообщает о блокировке подозрительного адреса (скрин во вложении). После чего появилось точно не знаю, но недавно. Каких либо торможений, иных чудес при работе win xp sp3 не заметил. Cure it правда с папках sysrem volume information на системном и на локальном дисках что-то нехорошее обнаружил (skymonk) и благополучно поместил их в карантин, ну а я их оттуда также благополучно удалил (может и поспешил).
После сканирования AVZ проблема вроде пропала, по крайней мере вот уже пару часов. Так и не понял в чем была причина.
Решил таки еще раз посканировать систему Cure it'ом и к сожалению опять что-то есть: Trojan.Siggen5.8309, tool.skymonk, Adware.Toolbar. Как же побороть заразу?

Katharsis 28-10-2013 19:55 2242773
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - ЭТО МОЖЕТ ПОВРЕДИТЬ ВАШЕЙ СИСТЕМЕ! Если у вас похожая проблема - создайте тему в разделе Лечение систем от вредоносных программ и выполните Правила запроса о помощи.
_______________________________________________________

Цитата:
C:\RectorDecryptor.2.6.8.0_28.10.2013_10.54.39_log.txt
C:\XoristDecryptor.2.3.22.0_28.10.2013_10.53.48_log.txt
у вас файлы зашифрованы или зачем это?

1. Перед выполнением скрипта выгрузите антивирусное и защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт - Нажать кнопку Запустить.
Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('D:\Install\Winamp Pro v 5.622 Build 3189 Final\KeyGen by\tRUE\tRUEs.KeyGen.exe','');
 QuarantineFile('D:\Install\!Стройтехнорм_v5\SD_5_LAN_KEYGEN_INT_271\SD5Keygen.exe','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\HNPsSdk.drv','');
 QuarantineFile('C:\DOCUME~1\Andrey\LOCALS~1\Temp\mc21.tmp','');
 DeleteFile('C:\WINDOWS\system32\Drivers\HNPsSdk.drv','32');
 DeleteService('PSSdk21');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
На время выполнения скрипта все сетевые подключения будут закрыты. После окончания компьютер перезагрузится. После перезагрузки выполнить второй скрипт:

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме.

2. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет найдено, НИЧЕГО НЕ УДАЛЯЙТЕ САМОСТОЯТЕЛЬНО !!!
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

3. Чтобы полностью удалить webalta, запустите AVZ - сервис - Поиск данных в реестре. В строку "образец" впишите webalta, нажмите "начать поиск", сохраните протокол и выложите в ответ. НИЧЕГО НЕ УДАЛЯЙТЕ САМОСТОЯТЕЛЬНО !!!.

cyber_mhn 29-10-2013 11:03 2243073
Вложений: 2
Доброе утро. Спасибо за рекомендации.
Файлы C:\RectorDecryptor.2.6.8.0_28.10.2013_10.54.39_log.txt и C:\XoristDecryptor.2.3.22.0_28.10.2013_10.53.48_log.txt остались от использования утилит Лаборатории Касперского (от страха запускал всё), но так ничего этими 2-мя утилитами и не проверил (не было ничего шифрованного для проверки), логи наверное остались о попытке проверки.
Далее все сделал согласно вышеуказанным рекомендациям.

Katharsis 29-10-2013 12:56 2243164
карантин еще раз отправьте, т к не вижу его в ящике

cyber_mhn 29-10-2013 16:39 2243319
Цитата:
Цитата Katharsis
карантин еще раз отправьте, т к не вижу его в ящике »
Повторил.

Katharsis 29-10-2013 16:58 2243338
и еще на почту quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему и ника на форуме

по поиску АВЗ: отметьте все пункты (ПКМ по списку - выбрать все) и нажмите "удалить"

Цитата:
Из найденного MBAM удалите только это:

Обнаруженные ключи в реестре: 8
HKCR\CLSID\{33119133-0854-469d-807A-171568457991} (PUP.Optional.FunWebProducts.A) -> Действие не было предпринято.
HKCR\VideoDownloadConverter_4z.SkinLauncherSettings.1 (PUP.Optional.FunWebProducts.A) -> Действие не было предпринято.
HKCR\VideoDownloadConverter_4z.SkinLauncherSettings (PUP.Optional.FunWebProducts.A) -> Действие не было предпринято.
HKCR\CLSID\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SETUP.EXE (Trojan.Agent) -> Действие не было предпринято.

Обнаруженные параметры в реестре: 1
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} (PUP.ToolBar.WA) -> Параметры: -> Действие не было предпринято.

Объекты реестра обнаружены: 4
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Search Page (Hijack.SearchPage) -> Плохо: (http://webalta.ru/search) Хорошо: (http://www.Google.com/) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Search Bar (Hijack.Search) -> Плохо: (http://webalta.ru/search) Хорошо: (http://www.google.com/) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Search_URL (Hijack.Homepage) -> Плохо: (http://webalta.ru/search) Хорошо: (http://www.Google.com) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Search|SearchAssistant (Hijack.SearchPage) -> Плохо: (http://webalta.ru/search) Хорошо: (http://www.Google.com/) -> Действие не было предпринято.

Обнаруженные папки: 2
C:\WINDOWS\assembly\GAC_MSIL\WebAltaSearch (PUP.ToolBar.WA) -> Действие не было предпринято.
C:\WINDOWS\assembly\GAC_MSIL\WebAltaSearch\1.1.0.0__cae29f257fecba88 (PUP.ToolBar.WA) -> Действие не было предпринято.

Обнаруженные файлы: 38
C:\Documents and Settings\Andrey\Setup.exe (Trojan.Agent) -> Действие не было предпринято.

Katharsis 29-10-2013 18:00 2243375
Цитата:
D:\Install\!Стройтехнорм_v5\SD_5_LAN_KEYGEN_INT_271\SD5Keygen.exe
D:\Install\Winamp Pro v 5.622 Build 3189 Final\KeyGen by\tRUE\tRUE's.KeyGen.exe
от этого лучше избавиться

в остальном нормально. проблема решена?

cyber_mhn 30-10-2013 17:39 2244011
День добрый. По поиску AVZ- удалил все записи и всё, конец, винда загружается появляется рабочий стол без ярлыков и всё, ничего больше не работает. Восстановление системы не помогает. Почему, черт возьми, копию реестра не сделал? Как быть дальше не подскажите?

Katharsis 30-10-2013 18:27 2244042
нужно запустить проводник.

1 способ

нажмите ctrl -alt - del, откроется диспетчер задач в строку "новая задача" введите "explorer.exe" нажмите enter

2. способ, если первый не поможет:

нажмите клавиши Windows + U, потом кнопку "справка". в следующем окне кликните по верхнему левому углу, в контекстном меню выберите пункт "перейти по адресу". запустится браузер IE. в адресной строке впишите C:\windows\explorer.exe

запустится проводник, появится рабочий стол. как сделаете, отпишитесь

cyber_mhn 30-10-2013 18:56 2244062
Не совсем наверное я правильно изъяснился. Комп вроде загрузился, но не реагирует ни на какую комбинацию ни клавиш ни мыши-жмешь и ничего не происходит, то есть вызвать диспетчер не представляется возможным. На экране только пустые обои да мышка. Безопасный режим работает нормально. Из него пробовал восстановить систему-все тщетно. Видать что-то лишнего в реестре удалил. Комп рабочий, доступ к нему будет только в пятницу. В AVZ случаем нету функции отката?

Katharsis 30-10-2013 19:02 2244063
все удаленное можно и вернуть, только это вебальта и она на запуск проводника влиять не должна (удаляем ее так постоянно).

если точки восстановления есть, восстановить реестр можно вручную.

но сначала так: попробуйте создать из безопасного режима новую учетную запись пользователя, запустите ее в нормальном режиме, посмотрите,как она загрузится

cyber_mhn 30-10-2013 20:04 2244112
Спасибо, буду пробовать. Есть еще один нюанс о котором я забыл упомянуть- после удаления ключей реестра по истечении некоторого времени перезагрузил, во время следующей загрузки погас свет и после этого уже не запускался. Не знаю могло ли это повлиять? Если да, то как действовать в этом случае? Да, для начала попробую конечно трюк с новой учетной записью.
П.С.: точка восстановления есть одна единственная, которую сделал согасно инструкции перед первым запуском AVZ, то есть предлечебное, вирусное состояние.

Katharsis 30-10-2013 20:12 2244118
вероятнее всего это и повлияло, т к к вебальта никакого отношения к загрузке не имеет.

тогда из безопасного режима нужно запустить проверку на целостность системных файлов - в командной строке:
Цитата:
sfc.exe /scannow
понадобится диск с дистрибутивом winXP

cyber_mhn 06-11-2013 11:54 2248400
Как говорится без меня меня женили. В общем во время моего временного отсутствия мне переустановили винду :( - проблема решались естественным образом. Спасибо большое за оказанную помощь. Хороший вы человек, Katharsis,

cyber_mhn 26-11-2013 09:39 2261721
Вложений: 1
Утро доброе. Опять я к вам с аналогичной проблемой. Вроде и NOD32 стоит и постоянно обновляется, ан нет, вот-вот да и пропустит что-нибудь.
Прилагаю архив, созданный автологгером. Буду надеяться на вашу помощь снова.

cyber_mhn 27-11-2013 13:21 2262366
Up! Помогите, уважаемые форумчане.

Katharsis 27-11-2013 13:25 2262370
cyber_mhn, из за отсутствия свободного времени и по причине доступа на форум преимущественно с телефона, я не смогу вам ответить. Надеюсь, это сделают другие консультанты.

Для новой проблемы лучше создавать новую тему

Sandor 27-11-2013 14:21 2262403
cyber_mhn, Это тот же компьютер или другой?

cyber_mhn 27-11-2013 17:06 2262549
Да, компьютер тот же. Что касается новой темы, то не вижу смысла, так как проблема абсолютно идентична.
Что изменилось - при прогоне системного диска NOD обнаружил и поместил в карантин: C:\WINDOWS\system32\CPLDAPU\ProduKey.exe, C:\WINDOWS\system32\cmdow.exe и C:\Program Files\DAEMON Tools Pro\DAEMON.TOOLS.PRO.PATCH.EXE.

Sandor 27-11-2013 17:23 2262568
Скорее всего - ложное срабатывание. Можете сами проверить:

Проверьте эти файлы на virustotal
кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата .

cyber_mhn 28-11-2013 11:09 2262990
Что касается этих 3-х файлов, то срабатывание не ложное, результат 23/48. А что скажите по моим логам в 15-м сообщении? При открытии firefox nod блокирует попытку доступа к esgs.com или .ru точно не припомню.

regist 28-11-2013 12:12 2263024
Цитата:
Цитата cyber_mhn
Что касается этих 3-х файлов, то срабатывание не ложное, результат 23/48. »
не смотря на это я на 80% уверен, что это всё равно фолс, а точнее not a virus, если вы покажите ссылки на вирустотал, то можно будет сказать уже точно.

cyber_mhn 28-11-2013 14:16 2263088
Всё может быть. Вот ссылка на сканированный url. Вот и вот результаты проверки файлов.

iskander-k 29-11-2013 00:43 2263441
Cmdow - консольная утилита размером в 31 кб, включающая порядка 30 команд управления окнами приложений в операционных системах Windows NT4/2000/XP/2003 без использования мыши. Программа не требует установки и состоит всего из одного файла cmdow.exe, опции запуска которого разработчик разделил на четыре группы, в зависимости от области применения приложения.

другой файл -утилита типа крека

cyber_mhn 29-11-2013 16:18 2263850
И консольную утилиту заподозрили половина антивирусов? Может, все может быть. А что со ссылкой то? Какого черта она рвется в бой при открытии браузера? Я не могу закрыть на это глаза. Может мне все-таки AVZ и Malwarebytes' Anti-Malware прогнать, а вы бы логи глянули? Очень прошу.

Sandor 29-11-2013 16:43 2263869
cyber_mhn, это происходит при открытии любого браузера или какого-то конкретного? Когда браузер уже запущен, нод больше не кричит?
Сделайте свежий комплект логов по правилам.

cyber_mhn 02-12-2013 15:52 2265476
Вложений: 1
При открытии Firefox и Opera происходит. Логи прилагаю.

Sandor 02-12-2013 16:34 2265497
Цитата:
Цитата cyber_mhn
При открытии Firefox и Opera происходит »
Проверьте (временно отключите все) расширения в этих браузерах.

Запустите AVZ - Файл - Мастер поиска и устранения проблем - Системные
Цитата:
>> Нарушение ассоциации SCR файлов
Исправьте.
В остальном - чисто.

cyber_mhn 03-12-2013 13:45 2266103
Вложений: 1
Спасибо, подправил, но проблема осталась. Ссылка по прежнему блокируется антивирусом. Прошелся я Malwarebytes Anti-Malware. Кое-чего нашло. Могли бы глянуть что можно безболезненно удалить?

Sandor 03-12-2013 14:26 2266137
В логе ничего подозрительного.
При заходе на какой сайт появляется сообщение нод-а?
ИМХО, вам нужно его, нод32 настроить, но это уже за рамками темы.

cyber_mhn 03-12-2013 16:29 2266206
Просто при открытии браузера и периодически при открытом браузере. Что-то вредное пытается попасть на сайт esgs.ru, нод эту попытку благополучно присекает. А что за звери у меня в D:\System Volume Information\ и в реестре?


Время: 14:25.

Время: 14:25.
© OSzone.net 2001-