блокирован доступ к сайтам vkontakte, mail и иже с ними. [Trojan-Ransom.Win32.Gimemo.axad, HEUR:Trojan.Win32.Generic ]

[lexus690]

При попытке авторизации вконтакте:
На вашу страницу в течение 24 часов было сделано более 10 неудачных попыток авторизации (вы или кто-то другой ввели неверный пароль 12 раз). Аккаунт временно заблокирован для предотвращения взлома. Чтобы подтвердить, что Вы действительно являетесь владельцем страницы, пожалуйста, укажите номер вашего мобильного телефона, к которому привязана страница. Если ранее страница не была привязана к номеру Вашего мобильного телефона, то она будет привязана к номеру, который вы введете ниже.

Номер телефона:

(пример: 79991122333)

Далее

Входящее SMS с кодом абсолютно бесплатна и необходимо исключительно для подтверждения принадлежности вам введенного номера мобильного телефона.Отвечать на SMS не нужно. Вводя код вы подтверждаете подписку на медиа-контент (музыку, видео, приложения и файлы).

Когда пытаюсь открыть мэйлру, вообще вижу что-то страшное. Запечатлел это на скриншоте.

ПРИМЕЧАНИЕ: тема создавалась с другого компьютера, на зараженном остальные сайты открываются очень неохотно, этот сайт не открывается вообще. авз и хайджек на зараженном уже есть, так что любой скрипт выполнить смогу.

Заранее спасибо за помощь! =)

[Info_bot]

Уважаемый(ая) lexus690, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\DOCUME~1\Le}{u$\LOCALS~1\Temp\9vntr0r5.exe','');
 QuarantineFile('C:\Documents and Settings\Le}{u$\470171.exe','');
 QuarantineFile('C:\WINDOWS\LogWatNT.exe','');
 QuarantineFile('C:\WINDOWS\system32\oxokdad.dll','');
 TerminateProcessByName('c:\documents and settings\le}{u$\local settings\application data\microsoft\windows\winupdate.exe');
 QuarantineFile('c:\documents and settings\le}{u$\local settings\application data\microsoft\windows\winupdate.exe','');
 TerminateProcessByName('c:\documents and settings\le}{u$\local settings\application data\nvidia corpora-tion\update\daemonupd.exe');
 TerminateProcessByName('c:\documents and settings\le}{u$\local settings\application data\google\update\gupdate.exe');
 QuarantineFile('c:\documents and settings\le}{u$\local settings\application data\google\update\gupdate.exe','');
 QuarantineFile('c:\documents and settings\le}{u$\local settings\application data\nvidia corporation\update\daemonupd.exe','');
 DeleteFile('c:\documents and settings\le}{u$\local settings\application data\microsoft\windows\winupdate.exe');
 DeleteFile('C:\WINDOWS\system32\oxokdad.dll');
 DeleteFile('C:\Documents and Settings\Le}{u$\470171.exe');
 DeleteFile('C:\DOCUME~1\Le}{u$\LOCALS~1\Temp\9vntr0r5.exe');
 DeleteFile('C:\WINDOWS\Tasks\c6o969l.job');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Пофиксите в hiJack

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxxi.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxxi.biz
O17 - HKLM\System\CCS\Services\Tcpip\..\{36DECB50-BFB3-42B4-847E-3738B12419A5}: NameServer = 80.82.209.180

Сделайте новые логи

[lexus690]

Большое спасибо, после указанных действий всё заработало, даже сам нетбук стал работать гораздо шустрее. Прикрепляю карантин, а также повторные логи. daemonupd.exe, правда, опять вылез, как я по логам понял. Либо не удалился из-за дефиса в nvidia corpora-tion.

[Techno]

!!!

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

- Выполните в АВЗ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\documents and settings\le}{u$\local settings\application data\google\update\gupdate.exe');
 TerminateProcessByName('c:\documents and settings\le}{u$\local settings\application data\nvidia corporation\update\daemonupd.exe');
 DeleteFile('c:\documents and settings\le}{u$\local settings\application data\nvidia corporation\update\daemonupd.exe');
 DeleteFile('c:\documents and settings\le}{u$\local settings\application data\google\update\gupdate.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Повторите логи АВЗ.

- Сделайте лог RSIT

[lexus690]

Виноват, знал же, как карантин отправлять, отвлекли, когда сообщение создавал, уже исправил.) Сейчас дочищу и прикреплю логи ещё раз, как и новый карантин.

UPD1. Новый карантин не загружает, так как пишет, что он совпадает со старым.

- - - Добавлено - - -

Готово.

[thyrex]

Сделайте лог полного сканирования МВАМ

[lexus690]

сделал. Извиняюсь, на работе загружали, припозднился.

[regist]

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(true);
  end;
 ClearQuarantine;
QuarantineFile('C:\Documents and Settings\Le}{u$\Application Data\QipGuard\QipGuard.exe', 'MBAM: Spyware.Zbot');
QuarantineFile('C:\Documents and Settings\Le}{u$\Application Data\Sun\Java\Deployment\cache\6.0\2\5782d042-58f10fa7', 'MBAM: Trojan.Agent.UKN');
QuarantineFile('C:\Documents and Settings\Le}{u$\Application Data\zipvalid\winzipk.exe', 'MBAM: Trojan.FakeSMS');
QuarantineFile('C:\System Volume Information\_restore{43BDBD9C-A700-4870-9CB6-EA19C3D5B80D}\RP337\A0106144.exe', 'MBAM: Trojan.Agent');
QuarantineFile('C:\System Volume Information\_restore{43BDBD9C-A700-4870-9CB6-EA19C3D5B80D}\RP337\A0106145.exe', 'MBAM: Trojan.Agent');
QuarantineFile('C:\System Volume Information\_restore{43BDBD9C-A700-4870-9CB6-EA19C3D5B80D}\RP337\A0106146.exe', 'MBAM: Trojan.Agent.UKN');
QuarantineFile('C:\System Volume Information\_restore{43BDBD9C-A700-4870-9CB6-EA19C3D5B80D}\RP344\A0109660.exe', 'MBAM: Spyware.Password');
QuarantineFile('C:\Program Files\kolobrod\nada rano vsavat\1ca0a320b7bd66069c01d79c71e2349.bat', 'MBAM: Trojan.Agent.VBS');
QuarantineFile('C:\Program Files\kolobrod\nada rano vsavat\ee\63c4da4fde984fa5c719cdcf2147ab7f.vbs', 'MBAM: Trojan.Agent.VBS');
QuarantineFile('C:\Program Files\kolobrod\nada rano vsavat\ee\87dba6b5e5e739d7a8506bbceb19e4be.vbs', 'MBAM: Trojan.Agent.VBS');
QuarantineFile('C:\Program Files\kolobrod\nada rano vsavat\ee\aaaaaaaaaaaaaaa.aa.aa', 'MBAM: Trojan.Agent.VBS');
DeleteFile('C:\Documents and Settings\Le}{u$\Application Data\Sun\Java\Deployment\cache\6.0\2\5782d042-58f10fa7');
DeleteFile('C:\Documents and Settings\Le}{u$\Application Data\zipvalid\winzipk.exe');
DeleteFile('C:\System Volume Information\_restore{43BDBD9C-A700-4870-9CB6-EA19C3D5B80D}\RP337\A0106144.exe');
DeleteFile('C:\System Volume Information\_restore{43BDBD9C-A700-4870-9CB6-EA19C3D5B80D}\RP337\A0106145.exe');
DeleteFile('C:\System Volume Information\_restore{43BDBD9C-A700-4870-9CB6-EA19C3D5B80D}\RP337\A0106146.exe');
DeleteFile('C:\System Volume Information\_restore{43BDBD9C-A700-4870-9CB6-EA19C3D5B80D}\RP344\A0109660.exe');
DeleteFile('C:\System Volume Information\_restore{43BDBD9C-A700-4870-9CB6-EA19C3D5B80D}\RP344\A0111699.exe');
DeleteFile('C:\System Volume Information\_restore{43BDBD9C-A700-4870-9CB6-EA19C3D5B80D}\RP344\A0111700.exe');
DeleteFile('C:\Program Files\kolobrod\nada rano vsavat\1ca0a320b7bd66069c01d79c71e2349.bat');
DeleteFile('C:\Program Files\kolobrod\nada rano vsavat\ee\63c4da4fde984fa5c719cdcf2147ab7f.vbs');
DeleteFile('C:\Program Files\kolobrod\nada rano vsavat\ee\87dba6b5e5e739d7a8506bbceb19e4be.vbs');
DeleteFile('C:\Program Files\kolobrod\nada rano vsavat\ee\aaaaaaaaaaaaaaa.aa.aa');
 QuarantineFileF('C:\Program Files\kolobrod','*', true,'',0 ,0);
 DeleteFileMask('C:\Program Files\kolobrod', '*', true);
 DeleteDirectory('C:\Program Files\kolobrod',' ');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- просканируйте заново MBAM и приложите новый лог.

- - - Добавлено - - -

Код:

C:\Documents and Settings\Le}{u$\Application Data\QipGuard\QipGuard.exe

проверьте на http://www.virustotal.com/

[lexus690]

Карантин отправил, повторное сканирование сделал. АВЗ проверять больше не надо?

[thyrex]

Что с проблемой?

[lexus690]

Вообще-то проблема ушла еще после первого скрипта, но я так понял, ещё много всякой пакости осталось.

[regist]

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

begin
 if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt');
 If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt')
 Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
 if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false);
ExitAVZ;
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Советы и рекомендации после лечения компьютера

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 51
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\documents and settings\\le}{u$\\application data\\sun\\java\\deployment\\cache\\6.0\\2\\5782d0 42-58f10fa7 - HEUR:Trojan.Win32.Generic ( DrWEB: Trojan.Siggen4.62271, BitDefender: Trojan.Generic.KDV.820171, AVAST4: Win32:Injector-AYO [Trj] )
  2. c:\\documents and settings\\le}{u$\\local settings\\application data\\google\\update\\gupdate.exe - Trojan-Downloader.Win32.Goo.im ( DrWEB: Trojan.DownLoad3.20832, BitDefender: Gen:Variant.Graftor.47660, AVAST4: Win32:Atraps-PO [Trj] )
  3. c:\\documents and settings\\le}{u$\\local settings\\application data\\microsoft\\windows\\winupdate.exe - Trojan-Downloader.Win32.Goo.im ( DrWEB: Trojan.DownLoad3.20832, BitDefender: Gen:Variant.Graftor.47660, AVAST4: Win32:Atraps-PO [Trj] )
  4. c:\\documents and settings\\le}{u$\\local settings\\application data\\nvidia corporation\\update\\daemonupd.exe - Trojan-Downloader.Win32.Goo.im ( DrWEB: Trojan.DownLoad3.20832, BitDefender: Gen:Variant.Graftor.47660, AVAST4: Win32:Atraps-PO [Trj] )
  5. c:\\program files\\kolobrod\\nada rano vsavat\\ee\\87dba6b5e5e739d7a8506bbceb19e4be.vbs - HEUR:Trojan-Downloader.Script.Generic ( NOD32: Win32/Bicololo.AO trojan )
  6. c:\\system volume information\\_restore{43bdbd9c-a700-4870-9cb6-ea19c3d5b80d}\\rp337\\a0106144.exe - Trojan-Ransom.Win32.Gimemo.axad ( DrWEB: Trojan.Winlock.6412, BitDefender: Gen:Variant.Ransom.20, AVAST4: Win32:Fareit-AT [Trj] )
  7. c:\\system volume information\\_restore{43bdbd9c-a700-4870-9cb6-ea19c3d5b80d}\\rp337\\a0106145.exe - Trojan-Ransom.Win32.Gimemo.axad ( DrWEB: Trojan.Winlock.6412, BitDefender: Gen:Variant.Ransom.20, AVAST4: Win32:Fareit-AT [Trj] )
  8. c:\\system volume information\\_restore{43bdbd9c-a700-4870-9cb6-ea19c3d5b80d}\\rp337\\a0106146.exe - HEUR:Trojan.Win32.Generic ( DrWEB: Trojan.Siggen4.62271, BitDefender: Trojan.Generic.KDV.820171, AVAST4: Win32:Injector-AYO [Trj] )
  9. c:\\system volume information\\_restore{43bdbd9c-a700-4870-9cb6-ea19c3d5b80d}\\rp344\\a0109660.exe - Trojan-Downloader.Win32.Goo.im ( DrWEB: Trojan.DownLoad3.20832, BitDefender: Gen:Variant.Graftor.47660, AVAST4: Win32:Atraps-PO [Trj] )
  10. c:\\windows\\system32\\oxokdad.dll - Trojan.Win32.Cidox.zmi ( BitDefender: Gen:Variant.Symmi.11063 )