Поймал вирус

@faseDEtrund · Регистрация: 23.01.2013

Author24 — интернет-сервис помощи студентам

вот логи) заранее спасибо)

@~~Katharsis~~ · 23.01.2013, 18:51

Догадаться самим о ваших проблемах?

@faseDEtrund · 24.01.2013, 04:18 **[ТС]**

Не заходит на некоторые сайты например YouTube в вк иногда пишет, что вводили несколько раз пароль неверно и надо написать свой номер для получения смс с кодом разблокировки. Dr. Web(полная проверка диска не помогает).

@~~Katharsis~~ · 24.01.2013, 05:08

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
_______________________________________________________

1. Перед выполнением скрипта выгрузите антивирусное и защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт (без номеров строк) - Нажать кнопку Запустить.

Код

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Windows\tasks\At1.job','');
 DeleteFile('C:\Windows\system32\mfdmfvf.dll');
 DeleteFile('C:\Users\Denis\AppData\Local\Temp\3146087FdOh');
 DeleteFile('C:\Windows\tasks\At1.job');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','3146274');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
 ExecuteRepair(13);
RebootWindows(true);
end.

На время выполнения скрипта все сетевые подключения будут закрыты. После окончания компьютер перезагрузится. После перезагрузки выполнить второй скрипт:

Код

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме.

2. Сделайте новые логи AVZ (стандартный скрипт 2) и RSIT

3. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет найдено, удалять ничего не нужно.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

@faseDEtrund · 24.01.2013, 18:43 **[ТС]**

Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Версия базы данных: v2013.01.24.04

Windows 7 x86 NTFS
Internet Explorer 9.0.8112.16421
Denis :: HOME-PC [администратор]

24.01.2013 15:39:34
MBAM-log-2013-01-24 (18-41-38).txt

Тип сканирования: Полное сканирование (C:\|D:\|)
Опции сканирования включены: Память | Запуск | Реестр | Файловая

система | Эвристика/Дополнительно | Эвристика/Шурикен | PUP | PUM
Опции сканирования отключены: P2P
Просканированные объекты: 523253
Времени прошло: 1 часов , 17 минут , 23 секунд

Обнаруженные процессы в памяти: 0
(Вредоносных программ не обнаружено)

Обнаруженные модули в памяти: 0
(Вредоносных программ не обнаружено)

Обнаруженные ключи в реестре: 0
(Вредоносных программ не обнаружено)

Обнаруженные параметры в реестре: 0
(Вредоносных программ не обнаружено)

Объекты реестра обнаружены: 0
(Вредоносных программ не обнаружено)

Обнаруженные папки: 0
(Вредоносных программ не обнаружено)

Обнаруженные файлы: 2
D:\skymonk_26205188_03.exe (Spyware.Agent) -> Действие не было

предпринято.
C:\Users\Denis\AppData\Roaming\new.exe (Backdoor.Messa) -> Действие

не было предпринято.

(конец)

@shestale · 24.01.2013, 18:58

Удалите в МВАМ оба найденных файла.
+

Сообщение от Katharsis

2. Сделайте новые логи AVZ (стандартный скрипт 2) и RSIT

где?

@faseDEtrund · 24.01.2013, 19:19 **[ТС]**

вот

@shestale · 24.01.2013, 19:22

Логи AVZ не полные.

@faseDEtrund · 24.01.2013, 19:24 **[ТС]**

...

@shestale · 24.01.2013, 19:29

А теперь выложили старые...вчерашние)))

@faseDEtrund · 24.01.2013, 19:35 **[ТС]**

Я незнаю почему, но в папке сусчек находится сусинфо и наоборот)))

@shestale · 24.01.2013, 19:41

Пофиксите в HJT эти строки

Код

O9 - Extra button: Выберите эмоцию, которую Вы хотите сейчас испытать - {DAC5944B-F843-4b90-B605-09DE3360CDE6} - (no file)

В остальном все чисто. Проблемы решены?

@faseDEtrund · 24.01.2013, 19:42 **[ТС]**

Да, спасибо.

@shestale · 24.01.2013, 19:56

Рекомендации после удаления вредоносного ПО
Для профилактики повторных заражений и закрытии уязвимостей вашей системы, сделайте лог SecurityCheck by glax24.
Лог, который откроется, скопируйте и вставьте в пост, сам файл выкладывать не нужно, затем скачайте и установите все обновления по ссылкам.

@faseDEtrund · 25.01.2013, 02:11 **[ТС]**

Security Check by glax24 version 0.1.6.52 rc1
WebSite: www.safezone.cc
DataLog 25.01.2013 02:10:00
Program directory: C:\Users\Denis\AppData\Local\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True
XML File - VersionInet=2.4
Диск C:\ ФС: NTFS Емкость: (97.6 Гб) Занято: (47.7 Гб) Свободно: (49.9 Гб)
__________________________________________________

WIN_7(6.1) Build 7600 (x86) Ultimate Lang: Russian(0419)
Дата установки ОС: 31.10.2009 13:24:12
Service Pack не установлен Внимание! Скачать обновления
^Возможно потребуется повторная активация Windows^
Internet Explorer 9.0.8112.16421
-------------Windows------------------------------
Контроль учётных записей пользователя отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Запрос на повышение прав для администраторов отключен
Автоматическое обновление отключено
Дата установки обновлений: 2012-09-05 21:31:21
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
-------------Antivirus_WMI------------------------
Doctor Web Anti-Virus
-------------Firewall_WMI-------------------------
-------------AntiSpyware_WMI----------------------
Doctor Web Anti-Virus
Windows Defender
-------------AntiVirusFirewallInstall-------------
Dr.Web anti-virus for Windows 7.0 v.7.0.1.03050
-------------OtherUtilities-----------------------
Malwarebytes Anti-Malware, версия 1.70.0.1100 v.1.70.0.1100
-------------Java---------------------------------
Java(TM) 6 Update 37 v.6.0.370 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-7u11-windows-i586.exe)^
-------------AdobeProduction----------------------
Adobe Flash Player 11 Plugin v.11.5.502.146
Adobe Reader X (10.1.5) - Russian v.10.1.5 Внимание! Скачать обновления
Adobe Flash Player 10 ActiveX v.10.0.32.18 Внимание! Скачать обновления
-------------Browser------------------------------
Mozilla Firefox 15.0.1 (x86 ru) v.15.0.1 Внимание! Скачать обновления
Opera 12.12 v.12.12.1707
Google Chrome v.24.0.1312.52
-------------RunningProcess-----------------------
C:\Program Files\Opera\opera.exe v.12.12.1707.0
-------------EndLog-------------------------------

@~~Katharsis~~ Заблокирован
	23.01.2013, 18:51	2
	Догадаться самим о ваших проблемах? 1

@faseDEtrund 0 / 0 / 0 Регистрация: 23.01.2013 Сообщений: 8
	24.01.2013, 04:18 [ТС]	3
	Не заходит на некоторые сайты например YouTube в вк иногда пишет, что вводили несколько раз пароль неверно и надо написать свой номер для получения смс с кодом разблокировки. Dr. Web(полная проверка диска не помогает). 0

@~~Katharsis~~ Заблокирован
	24.01.2013, 05:08	4
	Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. _______________________________________________________ 1. Перед выполнением скрипта выгрузите антивирусное и защитное ПО. AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт (без номеров строк) - Нажать кнопку Запустить. Код begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Windows\tasks\At1.job',''); DeleteFile('C:\Windows\system32\mfdmfvf.dll'); DeleteFile('C:\Users\Denis\AppData\Local\Temp\3146087FdOh'); DeleteFile('C:\Windows\tasks\At1.job'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','3146274'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU',2,3,true); ExecuteRepair(13); RebootWindows(true); end. На время выполнения скрипта все сетевые подключения будут закрыты. После окончания компьютер перезагрузится. После перезагрузки выполнить второй скрипт: Код begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме. 2. Сделайте новые логи AVZ (стандартный скрипт 2) и RSIT 3. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет найдено, удалять ничего не нужно. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. 1

@faseDEtrund 0 / 0 / 0 Регистрация: 23.01.2013 Сообщений: 8
	24.01.2013, 18:43 [ТС]	5
	Malwarebytes Anti-Malware 1.70.0.1100 www.malwarebytes.org Версия базы данных: v2013.01.24.04 Windows 7 x86 NTFS Internet Explorer 9.0.8112.16421 Denis :: HOME-PC [администратор] 24.01.2013 15:39:34 MBAM-log-2013-01-24 (18-41-38).txt Тип сканирования: Полное сканирование (C:\\|D:\\|) Опции сканирования включены: Память \| Запуск \| Реестр \| Файловая система \| Эвристика/Дополнительно \| Эвристика/Шурикен \| PUP \| PUM Опции сканирования отключены: P2P Просканированные объекты: 523253 Времени прошло: 1 часов , 17 минут , 23 секунд Обнаруженные процессы в памяти: 0 (Вредоносных программ не обнаружено) Обнаруженные модули в памяти: 0 (Вредоносных программ не обнаружено) Обнаруженные ключи в реестре: 0 (Вредоносных программ не обнаружено) Обнаруженные параметры в реестре: 0 (Вредоносных программ не обнаружено) Объекты реестра обнаружены: 0 (Вредоносных программ не обнаружено) Обнаруженные папки: 0 (Вредоносных программ не обнаружено) Обнаруженные файлы: 2 D:\skymonk_26205188_03.exe (Spyware.Agent) -> Действие не было предпринято. C:\Users\Denis\AppData\Roaming\new.exe (Backdoor.Messa) -> Действие не было предпринято. (конец) 0

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	24.01.2013, 18:58	6
	Удалите в МВАМ оба найденных файла. + Сообщение от Katharsis 2. Сделайте новые логи AVZ (стандартный скрипт 2) и RSIT где? 1

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	24.01.2013, 19:22	8
	Логи AVZ не полные. 1

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	24.01.2013, 19:29	10
	А теперь выложили старые...вчерашние))) 0

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	24.01.2013, 19:41	12
	Пофиксите в HJT эти строки Код O9 - Extra button: Выберите эмоцию, которую Вы хотите сейчас испытать - {DAC5944B-F843-4b90-B605-09DE3360CDE6} - (no file) В остальном все чисто. Проблемы решены? 1

@faseDEtrund 0 / 0 / 0 Регистрация: 23.01.2013 Сообщений: 8
	24.01.2013, 19:42 [ТС]	13
	Да, спасибо. 0

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	24.01.2013, 19:56	14
	Рекомендации после удаления вредоносного ПО Для профилактики повторных заражений и закрытии уязвимостей вашей системы, сделайте лог SecurityCheck by glax24. Лог, который откроется, скопируйте и вставьте в пост, сам файл выкладывать не нужно, затем скачайте и установите все обновления по ссылкам. 0

	25.01.2013, 02:11

@faseDEtrund 0 / 0 / 0 Регистрация: 23.01.2013 Сообщений: 8
	25.01.2013, 02:11 [ТС]	15
	Security Check by glax24 version 0.1.6.52 rc1 WebSite: www.safezone.cc DataLog 25.01.2013 02:10:00 Program directory: C:\Users\Denis\AppData\Local\Temp\SecurityCheck\ Log directory: C:\SecurityCheck\ IsAdmin: True XML File - VersionInet=2.4 Диск C:\ ФС: NTFS Емкость: (97.6 Гб) Занято: (47.7 Гб) Свободно: (49.9 Гб) __________________________________________________ WIN_7(6.1) Build 7600 (x86) Ultimate Lang: Russian(0419) Дата установки ОС: 31.10.2009 13:24:12 Service Pack не установлен Внимание! Скачать обновления ^Возможно потребуется повторная активация Windows^ Internet Explorer 9.0.8112.16421 -------------Windows------------------------------ Контроль учётных записей пользователя отключен ^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^ Запрос на повышение прав для администраторов отключен Автоматическое обновление отключено Дата установки обновлений: 2012-09-05 21:31:21 Центр обновления Windows (wuauserv) - Служба работает Центр обеспечения безопасности (wscsvc) - Служба работает -------------Antivirus_WMI------------------------ Doctor Web Anti-Virus -------------Firewall_WMI------------------------- -------------AntiSpyware_WMI---------------------- Doctor Web Anti-Virus Windows Defender -------------AntiVirusFirewallInstall------------- Dr.Web anti-virus for Windows 7.0 v.7.0.1.03050 -------------OtherUtilities----------------------- Malwarebytes Anti-Malware, версия 1.70.0.1100 v.1.70.0.1100 -------------Java--------------------------------- Java(TM) 6 Update 37 v.6.0.370 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-7u11-windows-i586.exe)^ -------------AdobeProduction---------------------- Adobe Flash Player 11 Plugin v.11.5.502.146 Adobe Reader X (10.1.5) - Russian v.10.1.5 Внимание! Скачать обновления Adobe Flash Player 10 ActiveX v.10.0.32.18 Внимание! Скачать обновления -------------Browser------------------------------ Mozilla Firefox 15.0.1 (x86 ru) v.15.0.1 Внимание! Скачать обновления Opera 12.12 v.12.12.1707 Google Chrome v.24.0.1312.52 -------------RunningProcess----------------------- C:\Program Files\Opera\opera.exe v.12.12.1707.0 -------------EndLog------------------------------- 0