Помогите!!! Вирус - вор

Printable View

23.09.2009, 14:35
konfetka_2007

Помогите!!! Вирус - вор

Пожалуйста, помогите.

Началось все с того, что по каким-то непонятным причинам с моего кошелька веб-моней был совершен обмен на счет яндекс-деньги. Но деньги я не переводила. Сам веб-моней почему-то виснет, когда нужно ввести код активации.

А в упавлении компьютером - Просмотр событий - Система:

"Основной обозреватель сети получил с сервера сооющение что компьютер
SERG-PC объявил себя основным обозревателем домена"

И таких сообщений было то ли 5, то ли 6.
Только пользователи разные.

Сейчас поставила усиленную защиту браузера, вроде все нормально.

Только сама программа при активации виснет, и не могу никак внести цифры.

Пожалуйста, помогите, одна надежда на Вас.
23.09.2009, 14:49
Bratez

[b]Отключите восстановление системы![/b]
Пофиксите в HijackThis:
[code]
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twex.exe,C:\WINDOWS\system32\twext.exe,C:\WINDOWS\system32\sdra64.exe,
O1 - Hosts: 91.212.198.20 mail.yandex.ru
O1 - Hosts: 91.212.198.20 mail.yandex.ru
O1 - Hosts: 91.212.198.20 mail.yandex.ru
O1 - Hosts: 91.212.198.20 mail.yandex.ru
O1 - Hosts: 91.212.198.20 mail.yandex.ru
O1 - Hosts: 91.212.198.20 mail.yandex.ru
O1 - Hosts: 91.212.198.20 mail.yandex.ru
O1 - Hosts: 91.212.198.20 mail.yandex.ru
O1 - Hosts: 91.212.198.20 mail.yandex.ru
O1 - Hosts: 91.212.198.20 mail.yandex.ru
O1 - Hosts: 91.212.198.20 mail.yandex.ru
O1 - Hosts: 91.212.198.20 mail.yandex.ru
O4 - HKLM\..\Run: [servises] C:\WINDOWS\system32\servises.exe
O4 - HKLM\..\Run: [Generic Host for Win32 Services] ‘|x
O4 - HKCU\..\Run: [servises] C:\WINDOWS\system32\servises.exe
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\twext.exe','');
QuarantineFile('C:\WINDOWS\system32\twex.exe','');
QuarantineFile('C:\WINDOWS\system32\servises.exe','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\system32\15.exe','');
QuarantineFile('C:\WINDOWS\system32\msvcrt57.dll','');
DeleteFile('C:\WINDOWS\system32\msvcrt57.dll');
DeleteFile('C:\WINDOWS\system32\15.exe');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\WINDOWS\system32\servises.exe');
DeleteFile('C:\WINDOWS\system32\twex.exe');
DeleteFile('C:\WINDOWS\system32\twext.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
DelCLSID('{E6FB5E20-DE35-11CF-9C87-00AA005127ED}');
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=55429[/url]).
Сделайте новые логи, все три по правилам (читайте внимательно, какие именно файлы следует прикреплять).
23.09.2009, 15:40
konfetka_2007

Пофиксите в HijackThis:
а как профиксить? Там все на английском?
Нашла как. Буду работать
Нет, ничего не помогло в HijackThis!! В чаво, не написано куда необходимо вставлять алгоритм!!!!!
Помогите, плиз, как профиксить в HijackThis!!!!!
23.09.2009, 15:52
Bratez

В Правилах все есть:
[QUOTE]Что значит "пофиксить с помощью HiJackThis"
[url]http://virusinfo.info/showthread.php?t=4491[/url]

Как выполнить скрипт в AVZ
[url]http://virusinfo.info/showthread.php?t=7239[/url][/QUOTE]
23.09.2009, 16:46
konfetka_2007

[url]http://virusinfo.info/showthread.php?t=4491[/url]
я видела эту ссылку, но там ведь нигде не указано куда необходимо вставлять код!!!! Пробывала и метод 1 и метод 2
Код никуда не вставляется!!!!!
23.09.2009, 16:52
konfetka_2007

Лечение

Выполнила скрипт в AVZ. Вот такие вот результаты.
23.09.2009, 17:23
Bratez

[QUOTE=konfetka_2007;473341]я видела эту ссылку, но там ведь нигде не указано куда необходимо вставлять код!!!! Пробывала и метод 1 и метод 2
Код никуда не вставляется!!!!![/QUOTE]
Какой метод? Какой код? Читаем:
[QUOTE]Запустить файл [B]hijackthis.exe[/B]**) В главном окне программы нужно нажать кнопочку "[B]Do a system scan only[/B]"

В открывшемся логе сканирования поставить галочки напротив указанных строк и нажать кнопку [B]"Fix Checked". Затем следует перегрузить компьютер.[/B][/QUOTE]
Всё! Что тут непонятного?

[QUOTE]Вот такие вот результаты.[/QUOTE]
Результаты это хорошо, но в правилах конкретно сказано, [B]какие именно файлы следует прикреплять[/B]. Тоже нужно цитировать или сами прочтете?

Логи сейчас посмотрю...

[size="1"][color="#666686"][B][I]Добавлено через 7 минут[/I][/B][/color][/size]

1. Повторяю: [b]Отключите восстановление системы![/b] (см. приложение 1 правил).

2. Пофиксите в HijackThis то, что осталось из списка в сообщении #2.

3. Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\cmdow.exe','');
DeleteFile('C:\WINDOWS\system32\cmdow.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.

4. Пришлите новый карантин согласно приложению 3 правил.

5. Сделайте новые логи (все три в соответствии с п.1-3 раздела [I]Диагностика[/I]).
23.09.2009, 22:02
konfetka_2007

[B][I]Bratez[/I][/B], пожалуйста посмотрите еще раз.

hijackthis.exe - не нашла этого и поэтому решила что все нужно вставить одним целым, как в AVZ
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twex.exe,C:\WINDOWS\system32\twext.exe,C:\WINDOWS\system32\sdra64.exe,

Отключила восстановление системы

Пофиксила в HijackThis

Выполнила скрипт в AVZ

Пожалуйста, посмотрите.
24.09.2009, 03:08
Bratez

В логах больше ничего подозрительного.
Что с проблемой?
24.09.2009, 09:29
konfetka_2007

урааааааааа!!!!!!! Спасибо-спасибо-спасибо!!!!!!!!!

Подскажите,

в упавлении компьютером - Просмотр событий - Система:

"Основной обозреватель сети получил с сервера сооющение что компьютер
SERG-PC объявил себя основным обозревателем домена"

Это опасно или нет?

Восстановление системы можно включить?

УРА!!!!!! ВЕБ-МОНЕЙ ЗАРАБОТАЛ!!!!!!! Больше не выскакивает табличка - что он завершает работу. :angel2:
Ребята, ВЫ ВСЕ ПРОСТО СУПЕР!!!!!!:dance2:
24.09.2009, 11:51
Гриша

Вам лучше сменить все коды доступа Web Money, зверь который был у вас, крадет пароли...
24.09.2009, 13:30
konfetka_2007

Спасибо, [B][I]Гриша. [/I][/B]

Обязательно сегодня займусь этим.

можно закрывать. У меня все ок.
25.09.2009, 13:30
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]29[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\system volume information\_restore{d1401922-cf20-4469-ad2f-3f725f972f7c}\rp73\a0030130.exe - [B]Worm.Win32.Bezopi.fj[/B] ( DrWEB: Win32.HLLW.Autoruner.6326, BitDefender: Application.Generic.216493, AVAST4: Win32:MalOb-M [Cryp] )[*] c:\windows\system32\msvcrt57.dll - [B]Packed.Win32.Krap.x[/B] ( DrWEB: Trojan.DownLoad.5244, BitDefender: Trojan.Dropper.Preald.B )[/LIST][/LIST]