Вирус меняет автосценарий прокси

@Aektann · Регистрация: 19.09.2012

Вирус меняет автосценарий прокси.
И он, скорее всего, не один, т.к. при просмотре текстового файла начали появляться надписи "testtestestest" - это вообще что. =)
Заранее спасибо.

@~~Katharsis~~ · 19.09.2012, 02:59

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
_______________________________________________________

1. обновите:
adobe reader , Sun Java, Adobe Flash Player, QuickTime, браузеры (по мере выхода обновлений) и их надстройки.

2. В логе сканирования Hijackthis отметьте:

O1 - Hosts: 255.255.255.255 easyanticheat.se # misleading site
O1 - Hosts: 255.255.255.255 www.easyanticheat.se # misleading site
O1 - Hosts: 255.255.255.255 easyanticheat.com # misleading site
O1 - Hosts: 255.255.255.255 www.easyanticheat.com # misleading site
O1 - Hosts: 255.255.255.255 easyanticheat.info # misleading site
O1 - Hosts: 255.255.255.255 www.easyanticheat.info # misleading site
O1 - Hosts: 255.255.255.255 easyanticheat.org # misleading site
O1 - Hosts: 255.255.255.255 www.easyanticheat.org # misleading site

если это не ваша настройка прокси, эту тоже:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 41.190.16.17:8080

нажмите "Fix checked"

3. Перед выполнением скрипта выгрузите антивирусное и защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт (без номеров строк) - Нажать кнопку Запустить.

Код

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\svchost.exe','');
 QuarantineFile('C:\WINDOWS\system32\zhpxiubk.sys','');
 QuarantineFile('C:\WINDOWS\system32\hpxjsbkw.sys','');
 QuarantineFile('C:\WINDOWS\system32\muehr.sys','');
 QuarantineFile('C:\WINDOWS\system32\ntfszh.sys','');
 QuarantineFile('C:\WINDOWS\system32\nxjub.sys','');
 DeleteFile('C:\WINDOWS\system32\ntfszh.sys');
 DeleteFile('C:\WINDOWS\system32\zhpxiubk.sys');
 DeleteFile('C:\WINDOWS\system32\hpxjsbkw.sys');
 DeleteFile('C:\WINDOWS\system32\muehr.sys');
 DeleteFile('C:\WINDOWS\system32\nxjub.sys');
 DeleteFile('C:\WINDOWS\svchost.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','svchost.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','svchost.exe');
 DeleteService('zhpxiubk');
 DeleteService('muehr');
 DeleteService('ntfszh');
 DeleteService('nxjub');
 DeleteService('hpxjsbkw');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
 ExecuteRepair(13);
RebootWindows(true);
end.

На время выполнения скрипта все сетевые подключения будут закрыты. После окончания компьютер перезагрузится. После перезагрузки выполнить второй скрипт:

Код

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме.

4. Сделайте новые логи AVZ и RSIT

5. Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

6. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет отмечено, удалять ничего не нужно.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

7. смените пароли

@thyrex · 19.09.2012, 15:30

+ проверьте компьютер утилитой CapperKiller

@Aektann · 19.09.2012, 17:24 **[ТС]**

Сделано, вы замечательны!

@~~Katharsis~~ · 19.09.2012, 17:39

Сообщение от Katharsis

4. Сделайте новые логи AVZ и RSIT

это не забудьте пожалуйста

@Aektann · 19.09.2012, 17:40 **[ТС]**

CapperKiller угроз не нашёл, а вот мбам не был так однозначен.

К слову, может сможете посоветуйте какой-нибудь антивирус, не сильно загружающий цпу\оперативную память, т.к. в данный момент совсем плохенький компьютер. Ранее использовал аваст, но через некоторое время отказался, да и он достаточно много пропускал.
Хотя, наверное, не сильно загружающий+хорошо защищающий антивирус просто не существует. =)

---
Да, извините, забыл про AVZ и RSIT.

@~~Katharsis~~ · 19.09.2012, 17:43

давайте сначала логи для контроля посмотрим

@Aektann · 19.09.2012, 17:50 **[ТС]**

Логи AVZ и Rsit.

@~~Katharsis~~ · 19.09.2012, 18:15

из найденного mbam удалите

Обнаруженные ключи в реестре: 4
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explo rer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> Действие не было предпринято.
HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127 AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> Действие не было предпринято.
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explo rer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> Действие не было предпринято.
HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8 CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> Действие не было предпринято.

Обнаруженные параметры в реестре: 3
HKLM\SOFTWARE\Microsoft|option_1 (Rootkit.Agent) -> Параметры: ђЊ’ћ‘Њ”–†Сњђ’ -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft|option_2 (Rootkit.Agent) -> Параметры: ЊњЌ†Џ‹љ›Сќ–… -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft|option_3 (Rootkit.Agent) -> Параметры: ћћ‘‰љЌ€ћ‘‹Њњ—ћЏЏљ‘Сњђ’РМ—¦’ЋКЛ©О›‹ІҐ•ђСЏ—Џ -> Действие не было предпринято.

C:\Documents and Settings\Kostja\0.28726866410842933.exe (Exploit.Drop.UR.2) -> Действие не было предпринято.

отчет, который откроется после удаления выложите

@Aektann · 19.09.2012, 19:56 **[ТС]**

Выполнил..

@~~Katharsis~~ · 19.09.2012, 19:59

проблема решена?

@Aektann · 19.09.2012, 20:03 **[ТС]**

К слову, в настройках "оперы" в разделе сеть до сих пор в автонастройках тот самый сайт указан, однако сами автонастройки неактивны.
Опасаться нечего?

@~~Katharsis~~ · 19.09.2012, 20:05

измените настройки на нужные вручную, в других браузерах тоже, так же желательно почистить кэш браузеров.

потом выполните Рекомендации после удаления вредоносного ПО

@Aektann · 19.09.2012, 20:08 **[ТС]**

По факту да, никаких проблем не возникает... Только то, что написал выше немножко вызывает опасения.
Спасибо за проделанную работу)

Добавлено через 1 минуту
Только что попытался сменить на что-нибудь, вписал ya.ru, после чего выбрал снова "вручную".
Нажал ок, перезашёл в настройки, снова тот сайт лезет...

Добавлено через 51 секунду
В других браузерах всё впорядке, кэш в опере почистил.

@~~Katharsis~~ · 19.09.2012, 20:22

если активировать ручные настройки?

@Aektann · 19.09.2012, 20:23 **[ТС]**

Ручные настройки и активированы, просто там ниже поле автонастройки, которое неактивно и в которое забит тот сайт. Удалить его оттуда не получается.
Если это не знак чего-то плохого, то мне, в принципе, особой разницы нет. =)

@~~Katharsis~~ · 19.09.2012, 20:25

тогда забейте

@thyrex · 20.09.2012, 01:56

Далеко не убегайте, попробую подключить человека из ЛК

@thyrex · 24.09.2012, 09:24

Что сейчас с проблемой?

@~~Katharsis~~ Заблокирован
	19.09.2012, 19:59	11
	проблема решена? 0

@Aektann 0 / 0 / 0 Регистрация: 19.09.2012 Сообщений: 8
	19.09.2012, 20:08 [ТС]	14
	По факту да, никаких проблем не возникает... Только то, что написал выше немножко вызывает опасения. Спасибо за проделанную работу) Добавлено через 1 минуту Только что попытался сменить на что-нибудь, вписал ya.ru, после чего выбрал снова "вручную". Нажал ок, перезашёл в настройки, снова тот сайт лезет... Добавлено через 51 секунду В других браузерах всё впорядке, кэш в опере почистил. 0

@~~Katharsis~~ Заблокирован
	19.09.2012, 02:59	2
	Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. _______________________________________________________ 1. обновите: adobe reader , Sun Java, Adobe Flash Player, QuickTime, браузеры (по мере выхода обновлений) и их надстройки. 2. В логе сканирования Hijackthis отметьте: O1 - Hosts: 255.255.255.255 easyanticheat.se # misleading site O1 - Hosts: 255.255.255.255 www.easyanticheat.se # misleading site O1 - Hosts: 255.255.255.255 easyanticheat.com # misleading site O1 - Hosts: 255.255.255.255 www.easyanticheat.com # misleading site O1 - Hosts: 255.255.255.255 easyanticheat.info # misleading site O1 - Hosts: 255.255.255.255 www.easyanticheat.info # misleading site O1 - Hosts: 255.255.255.255 easyanticheat.org # misleading site O1 - Hosts: 255.255.255.255 www.easyanticheat.org # misleading site если это не ваша настройка прокси, эту тоже: R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 41.190.16.17:8080 нажмите "Fix checked" 3. Перед выполнением скрипта выгрузите антивирусное и защитное ПО. AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт (без номеров строк) - Нажать кнопку Запустить. Код begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\svchost.exe',''); QuarantineFile('C:\WINDOWS\system32\zhpxiubk.sys',''); QuarantineFile('C:\WINDOWS\system32\hpxjsbkw.sys',''); QuarantineFile('C:\WINDOWS\system32\muehr.sys',''); QuarantineFile('C:\WINDOWS\system32\ntfszh.sys',''); QuarantineFile('C:\WINDOWS\system32\nxjub.sys',''); DeleteFile('C:\WINDOWS\system32\ntfszh.sys'); DeleteFile('C:\WINDOWS\system32\zhpxiubk.sys'); DeleteFile('C:\WINDOWS\system32\hpxjsbkw.sys'); DeleteFile('C:\WINDOWS\system32\muehr.sys'); DeleteFile('C:\WINDOWS\system32\nxjub.sys'); DeleteFile('C:\WINDOWS\svchost.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','svchost.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','svchost.exe'); DeleteService('zhpxiubk'); DeleteService('muehr'); DeleteService('ntfszh'); DeleteService('nxjub'); DeleteService('hpxjsbkw'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU',2,3,true); ExecuteRepair(13); RebootWindows(true); end. На время выполнения скрипта все сетевые подключения будут закрыты. После окончания компьютер перезагрузится. После перезагрузки выполнить второй скрипт: Код begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме. 4. Сделайте новые логи AVZ и RSIT 5. Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up 6. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет отмечено, удалять ничего не нужно. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. 7. смените пароли 1

@thyrex 7618 / 5087 / 845 Регистрация: 06.09.2009 Сообщений: 20,178
	19.09.2012, 15:30	3
	+ проверьте компьютер утилитой CapperKiller 1

@~~Katharsis~~ Заблокирован
	19.09.2012, 17:39	5
	Сообщение от Katharsis 4. Сделайте новые логи AVZ и RSIT это не забудьте пожалуйста 1

@Aektann 0 / 0 / 0 Регистрация: 19.09.2012 Сообщений: 8
	19.09.2012, 17:40 [ТС]	6
	CapperKiller угроз не нашёл, а вот мбам не был так однозначен. К слову, может сможете посоветуйте какой-нибудь антивирус, не сильно загружающий цпу\оперативную память, т.к. в данный момент совсем плохенький компьютер. Ранее использовал аваст, но через некоторое время отказался, да и он достаточно много пропускал. Хотя, наверное, не сильно загружающий+хорошо защищающий антивирус просто не существует. =) --- Да, извините, забыл про AVZ и RSIT. 0

@~~Katharsis~~ Заблокирован
	19.09.2012, 17:43	7
	давайте сначала логи для контроля посмотрим 1

@~~Katharsis~~ Заблокирован
	19.09.2012, 18:15	9
	из найденного mbam удалите Обнаруженные ключи в реестре: 4 HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explo rer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> Действие не было предпринято. HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127 AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> Действие не было предпринято. HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explo rer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> Действие не было предпринято. HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8 CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> Действие не было предпринято. Обнаруженные параметры в реестре: 3 HKLM\SOFTWARE\Microsoft\|option_1 (Rootkit.Agent) -> Параметры: ђЊ’ћ‘Њ”–†Сњђ’ -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft\|option_2 (Rootkit.Agent) -> Параметры: ЊњЌ†Џ‹љ›Сќ–… -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft\|option_3 (Rootkit.Agent) -> Параметры: ћћ‘‰љЌ€ћ‘‹Њњ—ћЏЏљ‘Сњђ’РМ—¦’ЋКЛ©О›‹ІҐ•ђСЏ—Џ -> Действие не было предпринято. C:\Documents and Settings\Kostja\0.28726866410842933.exe (Exploit.Drop.UR.2) -> Действие не было предпринято. отчет, который откроется после удаления выложите 1

@Aektann 0 / 0 / 0 Регистрация: 19.09.2012 Сообщений: 8
	19.09.2012, 20:03 [ТС]	12
	К слову, в настройках "оперы" в разделе сеть до сих пор в автонастройках тот самый сайт указан, однако сами автонастройки неактивны. Опасаться нечего? 0

@~~Katharsis~~ Заблокирован
	19.09.2012, 20:05	13
	измените настройки на нужные вручную, в других браузерах тоже, так же желательно почистить кэш браузеров. потом выполните Рекомендации после удаления вредоносного ПО 0

@~~Katharsis~~ Заблокирован
	19.09.2012, 20:22	15
	если активировать ручные настройки? 0

@Aektann 0 / 0 / 0 Регистрация: 19.09.2012 Сообщений: 8
	19.09.2012, 20:23 [ТС]	16
	Ручные настройки и активированы, просто там ниже поле автонастройки, которое неактивно и в которое забит тот сайт. Удалить его оттуда не получается. Если это не знак чего-то плохого, то мне, в принципе, особой разницы нет. =) 0

Опции темы

@~~Katharsis~~ Заблокирован
	19.09.2012, 20:25	17
	тогда забейте 1

@thyrex 7618 / 5087 / 845 Регистрация: 06.09.2009 Сообщений: 20,178
	20.09.2012, 01:56	18
	Далеко не убегайте, попробую подключить человека из ЛК 0

@thyrex 7618 / 5087 / 845 Регистрация: 06.09.2009 Сообщений: 20,178
	24.09.2012, 09:24	19
	Что сейчас с проблемой? 0