Яндекс Ой - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

- - Яндекс Ой (http://forum.oszone.net/showthread.php?t=271232)

Яндекс Ой

У меня на компьютере появилась проблема яндекс ой. Проверил в режиме быстрой проверки Malwarebytes AntiMalware вот такой вот лог:

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - ЭТО МОЖЕТ ПОВРЕДИТЬ ВАШЕЙ СИСТЕМЕ! Если у вас похожая проблема - создайте тему в разделе Лечение систем от вредоносных программ и выполните Правила запроса о помощи.
_______________________________________________________

1/ Перед выполнением скрипта выгрузите антивирусное и защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт - Нажать кнопку Запустить.

Код:

begin

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

SearchRootkit(true, true);

SetAVZGuardStatus(True);

 QuarantineFileF('C:\Program Files\Up', '*', true, '', 0, 0);

 QuarantineFile('C:\Documents and Settings\All Users\Application Data\Mozilla\sqmvzqg.exe','');

 QuarantineFile('C:\Program Files\etc\svchost.exe','');

 QuarantineFile('C:\WINDOWS\system32\29.tmp','');

 QuarantineFile('c:\documents and settings\admin\application data\nightupdate\svchost.exe','');

 QuarantineFile('C:\Documents and Settings\All Users\Application Data\eSafe\eGdpSvc.exe','');

 QuarantineFile('C:\Documents and Settings\Admin\Application Data\qone8.exe','');

 QuarantineFile('C:\Documents and Settings\Admin\Application Data\1.exe','');

 QuarantineFile('C:\RECYCLER\S-1-5-21-73586283-651377827-682003330-500\Dc10\mac.exe','');

 QuarantineFile('C:\RECYCLER\S-1-5-21-73586283-651377827-682003330-500\Dc10\4konya.exe','');

 QuarantineFile('C:\Documents and Settings\Admin\Мои документы\Downloads\~WOTBot.exe','');

 QuarantineFile('C:\Documents and Settings\Admin\Application Data\khivldl.exe','');

 DeleteFile('C:\Documents and Settings\Admin\Мои документы\Downloads\~WOTBot.exe');

 DeleteFile('C:\RECYCLER\S-1-5-21-73586283-651377827-682003330-500\Dc10\mac.exe');

 DeleteFile('C:\RECYCLER\S-1-5-21-73586283-651377827-682003330-500\Dc10\4konya.exe');

 DeleteFile('C:\Documents and Settings\Admin\Application Data\khivldl.exe'); 

 DeleteFile('C:\Documents and Settings\Admin\Application Data\1.exe');

 DeleteFile('C:\Documents and Settings\Admin\Application Data\qone8.exe');

 DeleteFile('c:\documents and settings\admin\application data\nightupdate\svchost.exe','32');

 RegKeyParamDel('HKEY_CURRENT_USER','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','UpdateSvchost');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','UpdateSvchost');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','HKLM');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','HKCU');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Policies');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Policies');

 DeleteFile('C:\WINDOWS\Tasks\At1.job','32');

 DeleteFile('C:\WINDOWS\Tasks\BonanzaDealsLiveUpdateTaskMachineCore.job','32');

 DeleteFile('C:\WINDOWS\Tasks\BonanzaDealsLiveUpdateTaskMachineUA.job','32');

 DeleteFile('C:\WINDOWS\Tasks\BonanzaDealsUpdate.job','32');

 DeleteFile('C:\WINDOWS\Tasks\JetBoost_AutoUpdate.job','32');

 DeleteFile('C:\WINDOWS\Tasks\lvzjtqg.job','32');

 DeleteFile('C:\Documents and Settings\All Users\Application Data\Mozilla\sqmvzqg.exe','32');

 DelCLSID('{2PQ10Y2P-QOKF-1267-5021-HB7G8O5Y8X53}');

 DeleteFileMask('C:\Documents and Settings\Admin\Application Data\nightupdate', '*', true);

 DeleteDirectory('C:\Documents and Settings\Admin\Application Data\nightupdate');

 DeleteFileMask('C:\Program Files\Up', '*', true);

 DeleteDirectory('C:\Program Files\Up');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

 ExecuteWizard('SCU',2,3,true);

RebootWindows(true);

end.

На время выполнения скрипта все сетевые подключения будут закрыты. После окончания компьютер перезагрузится. После перезагрузки выполнить второй скрипт:

Код:

begin

 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме.

2. Обновите базы АВЗ (файл - обновление баз) и сделайте новые логи AVZ и RSIT

3. из найденного Malwarebytes' Anti-Malware удалите все с пометкой (PUP. ...) - адварь
BonanzaDeals предварительно удалите через установку и удаление программ
сделайте лог полного сканирования MBAM

Эмм с пометкой PUP??? У меня другое выделено

И новые логи в папке авз не делаются
и quarantine не отправляется

Цитата:

Цитата isaevmark@vk

И новые логи в папке авз не делаются
и quarantine не отправляется »

что значит не делаются? обновите базы (файл - обновление баз) и все остальное по инструкции
отправьте карантин через почту: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему и ника на форуме

Цитата:

Цитата isaevmark@vk

Эмм с пометкой PUP »

(PUP.Optional.....) -> Действие не было предпринято.
(PUP.Downloader......) -> Действие не было предпринято.
(PUP.Blabbers) -> Действие не было предпринято.

все подряд удалять не нужно

Ого!!! Спасибо вам огромнейшее !!! Яндекс и Контакт заработали!!!! Раньше только с Charles и сидел когда вирус был!!!! Спасибо!!!

Цитата:

Внимание !!! База поcледний раз обновлялась 12.07.2013 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

вы старые логи avz, сделанные до выполнения скрипта. выложите свежие.

ну а как сделать новые:???? Базу обновил,Пуск нажал а в папке LOG не новые.

выполнить стандартный скрипт 3, потом 2

1. с помощью MBAM удалите все PUP (потенциально нежелательное ПО), которым вы не пользуетесь, лог после удаления выложите (откроется сразу)

C:\Documents and Settings\Admin\Мои документы\Downloads\Counter-Strike Source v34\instmsia.exe - вероятный источник заражения, пользоваться им или нет - дело за вами. я бы избавился.

2. Перед выполнением скрипта выгрузите антивирусное и защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт - Нажать кнопку Запустить.

Код:

begin

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

SearchRootkit(true, true);

SetAVZGuardStatus(True);

 QuarantineFileF('C:\Documents and Settings\Admin\Application Data\smsm', '*', true, '', 0, 0);

 QuarantineFileF('C:\Program Files\YaFinder', '*', true, '', 0, 0);

 RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','UpdateSvchost');

 DeleteFileMask('C:\Documents and Settings\Admin\Application Data\nightupdate', '*', true);

 DeleteFileMask('C:\Documents and Settings\Admin\Application Data\smsm', '*', true);

 DeleteFileMask('C:\Program Files\YaFinder', '*', true);

 DeleteDirectory('C:\Documents and Settings\Admin\Application Data\nightupdate');

 DeleteDirectory('C:\Documents and Settings\Admin\Application Data\smsm');

 DeleteDirectory('C:\Program Files\YaFinder');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

 ExecuteWizard('SCU',2,3,true);

RebootWindows(true);

end.

Код:

begin

 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

Лог MBAM не открылся(((Только RSIT

ок

папку C:\Documents and Settings\All Users\Application Data\eSafe удалите вручную.

проблема решена?

Да. Спасибо огромное!!!

для профилактики повторных заражений скачайте и запустите SecurityCheck by glax24 , когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности. Скачайте и установите обновления по ссылкам.

рекомендации после лечения

Security Check by glax24 version 0.2.4.58 rc1
WebSite: www.safezone.cc
DateLog: 05.11.2013 11:32:22
Run directory: C:\Documents and Settings\Admin\Local Settings\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True
FileVersionInet: 6.1
__________________________________________________

Windows XP(5.1.2600) Service Pack 3 (x86) Lang: Russian(0419)
Дата установки ОС: 30.08.2013 21:51:52
Системный диск: C:\ ФС: NTFS Емкость: [298.1 Гб] Занято: [223.6 Гб] Свободно: [74.5 Гб]
Браузер по умолчанию: C:\Program Files\Google\Chrome\Application\chrome.exe
-------------Windows------------------------------
Internet Explorer 8.0.6001.18702
Автоматическое обновление отключено
Автоматическое обновление (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба остановлена
Восстановление системы отключено
-------------Antivirus_WMI------------------------
-------------Firewall_WMI-------------------------
-------------OtherUtilities-----------------------
CCleaner v.4.05
Malwarebytes Anti-Malware, версия 1.75.0.1300 v.1.75.0.1300
Sophos Anti-Rootkit 1.5.4 v.1.5.4
HiJackThis v.1.0.0
-------------Java---------------------------------
Java(TM) 6 Update 30 v.6.0.300 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-7u45-windows-i586.exe)^
-------------AdobeProduction----------------------
Adobe Flash Player 11 ActiveX & Plugin 32-bit v.11.1.102.55 Внимание! Скачать обновления - Скачать обновления
^Удалите старую версию и установите новые Flash Player ActiveX и Flash Player Plugin^
-------------Browser------------------------------
Google Chrome v.30.0.1599.101
-------------RunningProcess-----------------------
C:\Program Files\Google\Chrome\Application\chrome.exe v.30.0.1599.101
-------------EndLog-------------------------------