Антиштраф + Вконтакт + Rutracker [Trojan.Win32.Buzus.cvhr, Trojan-Ransom.Win32.PornoAsset.bezc ]

Printable View

16.11.2012, 00:39
astaroth

Вложений: 3

Антиштраф + Вконтакт + Rutracker [Trojan.Win32.Buzus.cvhr, Trojan-Ransom.Win32.PornoAsset.bezc ]

Здравствуйте!
Как и у многих здесь. заблокированы социальная сеть+рутрекер и периодически выскакивает окно антиштрафа.

Помогите, пожалуйста.
16.11.2012, 00:40
Info_bot

Уважаемый(ая) [B]astaroth[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
16.11.2012, 08:19
Nikkollo

Здравствуйте.

Пофиксите в HijackThis [URL="http://virusinfo.info/showthread.php?t=4491"](как пофиксить)[/URL]:
[CODE]
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O4 - HKCU\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe

[/CODE]

Выполните скрипт в AVZ [URL="http://virusinfo.info/showthread.php?t=7239"](как выполнить)[/URL]:
[CODE]
Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
begin
KeyName := AName+'\'+KeyList[i];
RegKeyResetSecurity(ARoot, KeyName);
RegKeyResetSecurityEx(ARoot, KeyName);
end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
Result := 0;
if StopService(AServiceName) then Result := Result or 1;
if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2;
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
if RegKeyExistsEx('HKLM', KeyName) then begin
Result := Result or 4;
RegKeyResetSecurityEx('HKLM', KeyName);
RegKeyDel('HKLM', KeyName);
if RegKeyExistsEx('HKLM', KeyName) then
Result := Result or 8;
end;
end;
if AIsSvcHosted then
BC_DeleteSvcReg(AServiceName)
else
BC_DeleteSvc(AServiceName);
KeyList.Free;
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ExecuteRepair(13);
ClearQuarantine;
AddToLog(inttostr(BC_ServiceKill('mddkwmeya')) );
SaveLog(GetAVZDirectory+'avz_log.txt');
QuarantineFile('C:\WINDOWS\mshost.exe','');
QuarantineFile('C:\WINDOWS\system32\21.exe','');
QuarantineFile('C:\WINDOWS\system32\15.exe','');
DelBHO('{8984B388-A5BB-4DF7-B274-77B879E179DB}');
DelBHO('{91397D20-1446-11D4-8AF4-0040CA1127B6}');
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\QoNrW2tV9dM.exe','');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\QoNrW2tV9dM.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','543703');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\538375FdOh');
DeleteFile('C:\WINDOWS\system32\15.exe');
DeleteFile('C:\WINDOWS\system32\21.exe');
DeleteFile('C:\WINDOWS\system32\42.exe');
DeleteFile('C:\WINDOWS\system32\44.exe');
DeleteFile('C:\WINDOWS\system32\50.exe');
DeleteFile('C:\WINDOWS\system32\52.exe');
DeleteFile('C:\WINDOWS\system32\74.exe');
DeleteFile('C:\WINDOWS\system32\77.exe');
DeleteFile('C:\WINDOWS\system32\86.exe');
DeleteFile('C:\WINDOWS\mshost.exe');
QuarantineFile('C:\WINDOWS\explorer.exe:userini.exe',' ');
DeleteFile('C:\WINDOWS\explorer.exe:userini.exe');
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
ExecuteWizard('SCU',2,2,true);
BC_Activate;
RebootWindows(true);
end.

[/CODE]
Компьютер перезагрузится.

После перезагрузки выполните скрипт в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
[/CODE]
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

Сделайте заново лог virusinfo_syscheck.zip и лог HijackThis (пункты 2 и 3 раздела "Диагностика" [URL="http://virusinfo.info/pravila.html"]правил[/URL]) и приложите в теме.

Сделайте логи RSIT:
[url]http://virusinfo.info/showthread.php?t=115256&p=859292#post859292[/url]
и приложите.
16.11.2012, 18:57
astaroth

Вложений: 4

Здравствуйте.

Сделано.
16.11.2012, 22:03
Nikkollo

Угу, спасибо.
Я у вас пропустил кое-что. Скорей всего это просто мусор в реестре.
Но попробовать надо...
Выполните скрипт в AVZ [URL="http://virusinfo.info/showthread.php?t=7239"](как выполнить)[/URL]:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\mkdrv.sys','');
DeleteFile('C:\WINDOWS\mkdrv.sys');
BC_DeleteSvc('mkdrv');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

[/CODE]
Компьютер перезагрузится.

После перезагрузки выполните скрипт в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
[/CODE]
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

Сделайте заново лог virusinfo_syscheck.zip (пункт 2 раздела "Диагностика" [URL="http://virusinfo.info/pravila.html"]правил[/URL]) и приложите в теме.
16.11.2012, 22:52
astaroth

Вложений: 1

Сделано.
17.11.2012, 09:23
Techno

Что с проблемами?
17.11.2012, 11:10
astaroth

Антиштраф больше не выскакивает. Заходит в контакт и рутрекер (время захода чуть больше чем обычно, но не критично). В контакте только появляются группы, в которые не вступал и заявки не подавал.
17.11.2012, 11:21
thyrex

Очистите куки и кэш браузеров
17.11.2012, 13:26
astaroth

Почистил куки и кэш, сменил пароль, все равно добавляет группы....
Это проблема антивируса или со стороны контакта?
17.11.2012, 16:32
thyrex

Сделайте лог [url="http://virusinfo.info/showpost.php?p=493610&postcount=1"]ComboFix[/url]
18.11.2012, 08:44
astaroth

Не получается сделать лог. Комбофикс запускается, консоль восстановления создается. Синее окно появляется, сканируется, удаляются файлы, потом закрываю синее окно, выключаю PC, включаю, есть папка Комбофикс, но этого файла нет.
18.11.2012, 10:19
thyrex

Дождитесь окончания работы утилиты, а не закрывайте ее окно
18.11.2012, 14:36
astaroth

После двух часов сканирования на 50 уровне закрыл окно.
Новые группы в контакте это не страшно. Важно, что проблема с заходом на рутрекер и контакт решена, за что вам очень благодарен.
18.11.2012, 14:46
thyrex

[quote="astaroth;940890"]После двух часов сканирования на 50 уровне закрыл окно.[/quote]Это последний уровень или один из последних :)
18.11.2012, 15:06
astaroth

За большинство сканирований 50 уровень был последним.
18.11.2012, 15:16
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\admin\\главное меню\\программы\\автозагрузка\\qonrw2tv9dm.exe - [B]Trojan-Ransom.Win32.PornoAsset.bezc[/B] ( DrWEB: Trojan.Carberp.789, BitDefender: Trojan.Downloader.Carberp.BU )[*] c:\\windows\\mshost.exe - [B]Trojan.Win32.Buzus.cvhr[/B] ( DrWEB: BackDoor.IRC.Runscape, BitDefender: Trojan.Generic.2972956, AVAST4: Win32:VB-OCM [Trj] )[/LIST][/LIST]