dinoklafbzor.org

**proff89** · 16.02.2014, 19:23

После загрузки виндоус на рабочем столе вылазиет командная строка вместе с незагруженном браузером этого dinoklafbzor.org, работа компьютера ухудшилась.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 16.02.2014, 19:24

Уважаемый(ая) proff89, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**regist** · 16.02.2014, 23:42

Профиксите в HijackThis

Код:

O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O4 - HKLM\..\Run: [Babakan] cmd.exe /k if %date:~6,4%%date:~3,2%%date:~0,2% LEQ 20131017 (exit) else (start http://dinoklafbzor.org && exit)

сделайте новый лог HijackThis

выполните 2-й стандартный скрипт такой версией AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.

**proff89** · 17.02.2014, 11:15

профиксил вот эти O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O4 - HKLM\..\Run: [Babakan] cmd.exe /k if %date:~6,4%%date:~3,2%%date:~0,2% LEQ 20131017 (exit) else (start http://dinoklafbzor.org && exit), первого у меня не было(спутник@mail.ru)

- - - Добавлено - - -

После чего посмотрел похожие проблемы на форуме, вставил код в AVZ BEGIN
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Micr osoft\Windows\CurrentVersion\Run','Babakan');
RebootWindows(true);
END. Перезагрузился,больше не появляется браузер с загрузкой dinoklafbzor.org.

**regist** · 17.02.2014, 12:58

Сообщение от proff89

После чего посмотрел похожие проблемы на форуме, вставил код в AVZ

больше никогда не выполняйте скрипты написанные для других. Они написаны для другой системы, с другими путями и т.д. и вашей системе могут навредить. В данном случае правда ничего опасного не было, но всё равно выполнять чужие скрипты не надо.

Сообщение от proff89

Перезагрузился,больше не появляется браузер с загрузкой dinoklafbzor.org.

А по логам проблема осталась

.

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
 ExecuteRepair(3);
 ExecuteRepair(4);
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Babakan');
ExecuteWizard('TSW',2,2,true);
ExecuteWizard('SCU',2,2,true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

Чтобы полностью удалить webalta, запустите AVZ - сервис - Поиск данных в реестре. В строку "образец" впишите webalta, нажмите "начать поиск", сохраните протокол и выложите в ответ. НИЧЕГО НЕ УДАЛЯЙТЕ САМОСТОЯТЕЛЬНО !!!.

**proff89** · 17.02.2014, 17:29

Вот.

**regist** · 17.02.2014, 19:53

Профиксите в HijackThis

Код:

O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O4 - HKCU\..\Run: [NextLive] C:\Windows\system32\rundll32.exe "C:\Users\Сергей\AppData\Roaming\newnext.me\nengine.dll",EntryPoint -m l

- Сделайте лог полного сканирования МВАМ.

**proff89** · 17.02.2014, 23:22

вот.

**regist** · 18.02.2014, 15:25

Удалите в MBAM только

Код:

Обнаруженные ключи в реестре:  3
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.Optional.ToolBar.WA) -> Действие не было предпринято.
HKCU\Software\InstallCore\1I1T1Q1S (PUP.Optional.InstallCore.A) -> Действие не было предпринято.
HKCU\SOFTWARE\INSTALLCORE (PUP.Optional.InstallCore.A) -> Действие не было предпринято.
Обнаруженные параметры в реестре:  1
HKCU\Software\InstallCore|tb (PUP.Optional.InstallCore.A) -> Параметры: 0H1L1J1L1S1R1N -> Действие не было предпринято.
Обнаруженные папки:  2
C:\Users\Сергей\AppData\Roaming\newnext.me (PUP.Optional.NextLive.A) -> Действие не было предпринято.
C:\Users\Сергей\AppData\Roaming\newnext.me\cache (PUP.Optional.NextLive.A) -> Действие не было предпринято.
C:\Users\Сергей\AppData\Local\genienext\nengine.dll (PUP.Optional.NextLive.A) -> Действие не было предпринято.
C:\Users\Сергей\AppData\Local\Mobogenie\Version\NewVersion\Mobogenie2.1.37.zip (PUP.Optional.NextLive.A) -> Действие не было предпринято.
C:\Users\Сергей\AppData\Roaming\newnext.me\nengine.dll (PUP.Optional.NextLive.A) -> Действие не было предпринято.
C:\Users\Сергей\AppData\Roaming\newnext.me\nengine.cookie (PUP.Optional.NextLive.A) -> Действие не было предпринято.
C:\Users\Сергей\AppData\Roaming\newnext.me\cache\spark.bin (PUP.Optional.NextLive.A) -> Действие не было предпринято.

что с проблемой?

**proff89** · 18.02.2014, 20:47

в AVZ поиск в реестре webalta ,первый раз были угрозы,я ничего не удалял, сейчас же просканировал угроз не нашел,исчезли,так и должно быть? МВАМ всё что написано удалил.Проблема исчезла ранее,до этого.Всё равно спасибо !

**regist** · 18.02.2014, 22:17

MBAM деинсталируйте.

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Советы и рекомендации после лечения компьютера

**proff89** · 19.02.2014, 21:50

перехожу на ссылки и выдаёт Дистрибутивный пакет Microsoft .NET Framework 2.0 (x86),устанавливать? или обновлять? или совсем не то? )

**regist** · 25.02.2014, 19:02

proff89, просмотрел приложенный вами лог, ни по одной из ссылок Microsoft .NET Framework 2.0 там не предлагает устанавливать

А вообще его лучше установить версии 3,5.
На всякий случай дублирую ссылки из вашего лога

Поиск критических уязвимостей
Накопительное обновление системы безопасности для битов аннулирования ActiveX
http://www.microsoft.com/downloads/d...e-5a211a22de77

Уязвимость в MSXML делает возможным удаленное выполнение кода
http://www.microsoft.com/downloads/d...9-335d5feee55b
Запускайте обновление от имени Администратора

Уязвимость общих элементов управления Windows делает возможным удаленное выполнение кода
http://www.microsoft.com/downloads/d...5-fd9d7fc64097
Для установки этого обновления требуется установить SP3 для Office 2007
http://www.microsoft.com/downloads/d...D-2A29D709F93F

Обнаружено уязвимостей: 3

- - - Добавлено - - -

PS. можно сделать по другому. Включите Windows Update и установите обновления через него. Это даже лучше будет.

dinoklafbzor.org (заявка № 155315)

Опции темы