-
Junior Member
- Вес репутации
- 52
Заблокированы сайты антивирусов, украдены деньги с webmoney
Сайты антивирусов заблокированы (так же в локалке имеется ноутбук, у которого так же заблокированы сайты антивирусов). Работают только через прокси. На днях не мог зайти в вебмани кипер, отписал о проблеме в теподдержку, ответили что был сменён пароль и выведены деньги и что во всём этом виноват троян.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксить в Hijack следующие строки:
Код:
F2 - REG:system.ini: Shell=explorer.exe,user32.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\4b8c95f0.exe,\\?\globalroot\systemroot\system32\l3SzPMW.exe,
Выполнить скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\plugin.exe','');
QuarantineFile('C:\WINDOWS\system32\4b8c95f0.exe','');
QuarantineFile('%system32%\user32.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\y81nSi9.exe','');
QuarantineFile('%system32%\l3SzPMW.exe','');
DeleteFile('%system32%\l3SzPMW.exe');
DeleteFile('\\?\globalroot\systemroot\system32\y81nSi9.exe');
DeleteFile('%system32%\user32.exe');
DeleteFile('C:\WINDOWS\system32\4b8c95f0.exe');
DeleteFile('C:\Program Files\plugin.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','plugin');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
-
-
Junior Member
- Вес репутации
- 52
Всё что просили выполнил. Карантин выслал. Логи приложил.
-
Лог Hijack Вы старый выложили, нужен новый.
Добавлено через 8 минут
Выполните скрипт
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\\?\globalroot\systemroot\system32\y81nSi9.exe','');
QuarantineFile('%system32%\y81nSi9.exe','');
DeleteFile('\\?\globalroot\systemroot\system32\y81nSi9.exe');
DeleteFile('%system32%\y81nSi9.exe');
BC_ImportAll;
ExecuteSysClean;
Executerepair(6);
ExecuteWizard('TSW', 2, 2, true);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
BC_Activate;
RebootWindows(true);
end.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
Последний раз редактировалось Шапельский Александр; 10.03.2010 в 18:06.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 52
Прошу прощения. Загрузил новый лог. Скрипт выполнил. Карантин выслал. Диагностику заново провёл.
-
-
-
Junior Member
- Вес репутации
- 52
-
Удалите в MBAM
Код:
Заражено значений реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.
Заражено параметров реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
Заражено файлов:
C:\Program Files\Common Files\keylog.txt
Выполните скрипт
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Debug\UserMode\explorer.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Сделайте лог MBAM
-
-
Junior Member
- Вес репутации
- 52
В MBAM удалил. Скрипт выполнил. Карантин добавил. Новый лог прилагаю.
-
Код:
C:\WINDOWS\Debug\UserMode\explorer.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.
тоже удалите
-
-
Junior Member
- Вес репутации
- 52
Удалил.
p.s.: всё ещё не могу зайти на определённые сайты, но к некоторым сайтам доступ уже появился. К примеру: freedrweb.com/cureit зайти не могу, хотя на сам drweb.com - заходит.
-
Сообщение от
sunnydesign
p.s.: всё ещё не могу зайти на определённые сайты, но к некоторым сайтам доступ уже появился. К примеру: freedrweb.com/cureit зайти не могу, хотя на сам drweb.com - заходит.
Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
Executerepair(2);
Executerepair(3);
Executerepair(4);
ExecuteWizard('SCU', 2, 2, true);
ExecuteWizard('PRT', 2, 2, true);
ExecuteWizard('TSW', 2, 2, true);
RebootWindows(true);
end.
-
-
Junior Member
- Вес репутации
- 52
Выполнил. Не помогает...
Может уже пора винду сносить? А то мучений больше.
-
Временно отключите uTorrent.exe и понаблюдайте за ПК.
Если заходить на сайты с другого браузера, проблемы наблюдаются?
-
-
Junior Member
- Вес репутации
- 52
uTorrent отключаю при загрузке с начала лечения. Ситуация на всех браузерах: файрфокс, опера, эксплорер, хром.
Добавлено через 3 часа 32 минуты
Сдался... Переустановил винду. Хоть зверя и не словили, но спасибо за потраченное время.
Последний раз редактировалось sunnydesign; 14.03.2010 в 22:25.
Причина: Добавлено
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 31
- В ходе лечения вредоносные программы в карантинах не обнаружены
-