Блокирует гугл, яндекс, контакт и пр

@P_i_X · Регистрация: 13.05.2013

Author24 — интернет-сервис помощи студентам

Добрый день!
Ну и у меня типичная проблема: mail, vkontakte, google, yandex, смс на 7781. Замена rpcss.dll на скачанный в безопасном режиме не помогла. Заранее спасибо! Логи тут

@~~Katharsis~~ · 14.05.2013, 18:41

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - ЭТО МОЖЕТ ПОВРЕДИТЬ ВАШЕЙ СИСТЕМЕ! Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
_______________________________________________________

1. Перед выполнением скрипта выгрузите антивирусное и защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт (без номеров строк) - Нажать кнопку Запустить.

Код

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\Mozilla\wchhqka.exe','');
 QuarantineFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\Mozilla\cmwasfg.dll','');
 DeleteFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\Mozilla\cmwasfg.dll');
 DeleteFile('C:\WINDOWS.0\Tasks\cnfsodd.job');
 DeleteFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\Mozilla\wchhqka.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

На время выполнения скрипта все сетевые подключения будут закрыты. После окончания компьютер перезагрузится. После перезагрузки выполнить второй скрипт:

Код

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме.

2. Сделайте новые логи AVZ (ст скрипт 2)

3. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет найдено, НИЧЕГО НЕ УДАЛЯЙТЕ САМОСТОЯТЕЛЬНО !!!
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

@P_i_X · 14.05.2013, 20:35 **[ТС]**

Пока только AVZ. Malware еще сканирует.

@P_i_X · 14.05.2013, 22:37 **[ТС]**

Вот

@~~Katharsis~~ · 14.05.2013, 23:10

C:\WINDOWS\system32\winlogon.exe - запакуйте файл с паролем virus и отправьте на адрес quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему и ника на форуме.

@P_i_X · 14.05.2013, 23:19 **[ТС]**

Хм... Пока его искала, Malware его заблокировал и отправил в карантин. Оттуда его взять, запаковать и отправить или...?

@~~Katharsis~~ · 14.05.2013, 23:27

только если вы нажали кнопку "уалить". сам он ничего не блокирует. на вклаке "карантин" нажмите "восстановить"

@P_i_X · 15.05.2013, 00:08 **[ТС]**

А можно отправить через форму которая выше была? У меня почтовики ругаются на архив с исполняемым файлом...

@~~Katharsis~~ · 15.05.2013, 00:12

нужно запаковать с паролем. через форму тоже можно, но архив нужно будет переименовать в quarantine.zip

@P_i_X · 15.05.2013, 00:37 **[ТС]**

с паролем паковала. Вобщем, переименовала,отправила через форму.

@~~Katharsis~~ · 15.05.2013, 22:23

P_i_X, я не вижу вашего файла в ящике. отправьте еще раз

Добавлено через 21 час 11 минут
Так ничего и не пришло.

@P_i_X · 16.05.2013, 19:08 **[ТС]**

Отправила еще раз. Через форму.

@~~Katharsis~~ · 16.05.2013, 22:32

выложите сюда, я уберу потом

Добавлено через 3 часа 22 минуты
файл безопасен.

в командной строке выполните:

Код

reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SETUP.EXE" /f

выйдет сообщение об удалении этого ключа

больше ничего плохого не вижу. проблема решена?

@P_i_X · 16.05.2013, 23:13 **[ТС]**

Да, проблема решена. Сообщение об удалении не было, вывело ошибку: Системе не удалось найти указанный раздел или параметр реестра.

@~~Katharsis~~ · 16.05.2013, 23:21

возможно неправильно скопировали. ключ можно удалить вручную через regedit

Рекомендации после удаления вредоносного ПО

для профилактики повторных заражений скачайте и запустите SecurityCheck by glax24 , когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности. Скачайте и установите обновления по ссылкам.

@P_i_X · 16.05.2013, 23:27 **[ТС]**

Security Check by glax24 version 0.1.6.54 rc1
WebSite: www.safezone.cc
DataLog 16.05.2013 23:23:39
Program directory: C:\WINDOWS.0\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True
XML File - VersionInet=4.1
Диск C:\ ФС: NTFS Емкость: (14.6 Гб) Занято: (7.5 Гб) Свободно: (7.1 Гб)
__________________________________________________

WIN_XP(5.1) Build 2600 (x86) Lang: Russian(0419)
Дата установки ОС: 22.06.2012 19:28:14
Service Pack 3
Internet Explorer 7.0.5730.13 Внимание! Скачать обновления
-------------Windows------------------------------
Автоматическое обновление отключено
Automatic Updates (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
-------------Antivirus_WMI------------------------
Kaspersky Internet Security
Антивирус устарел
Сканирование отключено
-------------Firewall_WMI-------------------------
Kaspersky Internet Security
-------------AntiVirusFirewallInstall-------------
Kaspersky Internet Security 2013 v.13.0.1.4190
-------------OtherUtilities-----------------------
Foxit Reader v.5.4.3.920 Внимание! Скачать обновления
Malwarebytes Anti-Malware, версия 1.75.0.1300 v.1.75.0.1300
-------------Java---------------------------------
JavaFX 2.1.1 v.2.1.1 Внимание! Скачать обновления
^Скачайте javafx-2_2_21-windows-i586.exe^
Java 7 Update 11 v.7.0.110 Внимание! Скачать обновления
^Скачайте jre-7u21-windows-i586.exe^
-------------AppleProduction----------------------
QuickTime v.7.73.80.64
-------------AdobeProduction----------------------
Adobe Flash Player ActiveX v.9.0.124.0 Внимание! Скачать обновления
Adobe Flash Player 11 Plugin v.11.7.700.202
-------------Browser------------------------------
Google Chrome v.26.0.1410.64
Opera 12.15 v.12.15.1748
-------------RunningProcess-----------------------
E:\Program Files\Google\Chrome\Application\chrome.exe v.26.0.1410.64
-------------EndLog-------------------------------

@~~Katharsis~~ Заблокирован
	14.05.2013, 18:41	2
	Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - ЭТО МОЖЕТ ПОВРЕДИТЬ ВАШЕЙ СИСТЕМЕ! Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. _______________________________________________________ 1. Перед выполнением скрипта выгрузите антивирусное и защитное ПО. AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт (без номеров строк) - Нажать кнопку Запустить. Код begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\Mozilla\wchhqka.exe',''); QuarantineFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\Mozilla\cmwasfg.dll',''); DeleteFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\Mozilla\cmwasfg.dll'); DeleteFile('C:\WINDOWS.0\Tasks\cnfsodd.job'); DeleteFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\Mozilla\wchhqka.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU',2,3,true); RebootWindows(true); end. На время выполнения скрипта все сетевые подключения будут закрыты. После окончания компьютер перезагрузится. После перезагрузки выполнить второй скрипт: Код begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме. 2. Сделайте новые логи AVZ (ст скрипт 2) 3. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет найдено, НИЧЕГО НЕ УДАЛЯЙТЕ САМОСТОЯТЕЛЬНО !!! Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. 1

@~~Katharsis~~ Заблокирован
	14.05.2013, 23:10	5
	C:\WINDOWS\system32\winlogon.exe - запакуйте файл с паролем virus и отправьте на адрес quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему и ника на форуме. 1

@P_i_X 0 / 0 / 0 Регистрация: 13.05.2013 Сообщений: 10
	14.05.2013, 23:19 [ТС]	6
	Хм... Пока его искала, Malware его заблокировал и отправил в карантин. Оттуда его взять, запаковать и отправить или...? 0

@~~Katharsis~~ Заблокирован
	14.05.2013, 23:27	7
	только если вы нажали кнопку "уалить". сам он ничего не блокирует. на вклаке "карантин" нажмите "восстановить" 0

@P_i_X 0 / 0 / 0 Регистрация: 13.05.2013 Сообщений: 10
	15.05.2013, 00:08 [ТС]	8
	А можно отправить через форму которая выше была? У меня почтовики ругаются на архив с исполняемым файлом... 0

@~~Katharsis~~ Заблокирован
	15.05.2013, 00:12	9
	нужно запаковать с паролем. через форму тоже можно, но архив нужно будет переименовать в quarantine.zip 1

@P_i_X 0 / 0 / 0 Регистрация: 13.05.2013 Сообщений: 10
	15.05.2013, 00:37 [ТС]	10
	с паролем паковала. Вобщем, переименовала,отправила через форму. 0

@~~Katharsis~~ Заблокирован
	15.05.2013, 22:23	11
	P_i_X, я не вижу вашего файла в ящике. отправьте еще раз Добавлено через 21 час 11 минут Так ничего и не пришло. 1

@P_i_X 0 / 0 / 0 Регистрация: 13.05.2013 Сообщений: 10
	16.05.2013, 19:08 [ТС]	12
	Отправила еще раз. Через форму. 0

@~~Katharsis~~ Заблокирован
	16.05.2013, 22:32	13
	выложите сюда, я уберу потом Добавлено через 3 часа 22 минуты файл безопасен. в командной строке выполните: Код reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SETUP.EXE" /f выйдет сообщение об удалении этого ключа больше ничего плохого не вижу. проблема решена? 1

@P_i_X 0 / 0 / 0 Регистрация: 13.05.2013 Сообщений: 10
	16.05.2013, 23:13 [ТС]	14
	Да, проблема решена. Сообщение об удалении не было, вывело ошибку: Системе не удалось найти указанный раздел или параметр реестра. 0

@~~Katharsis~~ Заблокирован
	16.05.2013, 23:21	15
	возможно неправильно скопировали. ключ можно удалить вручную через regedit Рекомендации после удаления вредоносного ПО для профилактики повторных заражений скачайте и запустите SecurityCheck by glax24 , когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности. Скачайте и установите обновления по ссылкам. 1

@P_i_X 0 / 0 / 0 Регистрация: 13.05.2013 Сообщений: 10
	16.05.2013, 23:27 [ТС]	16
	Security Check by glax24 version 0.1.6.54 rc1 WebSite: www.safezone.cc DataLog 16.05.2013 23:23:39 Program directory: C:\WINDOWS.0\Temp\SecurityCheck\ Log directory: C:\SecurityCheck\ IsAdmin: True XML File - VersionInet=4.1 Диск C:\ ФС: NTFS Емкость: (14.6 Гб) Занято: (7.5 Гб) Свободно: (7.1 Гб) __________________________________________________ WIN_XP(5.1) Build 2600 (x86) Lang: Russian(0419) Дата установки ОС: 22.06.2012 19:28:14 Service Pack 3 Internet Explorer 7.0.5730.13 Внимание! Скачать обновления -------------Windows------------------------------ Автоматическое обновление отключено Automatic Updates (wuauserv) - Служба работает Центр обеспечения безопасности (wscsvc) - Служба работает -------------Antivirus_WMI------------------------ Kaspersky Internet Security Антивирус устарел Сканирование отключено -------------Firewall_WMI------------------------- Kaspersky Internet Security -------------AntiVirusFirewallInstall------------- Kaspersky Internet Security 2013 v.13.0.1.4190 -------------OtherUtilities----------------------- Foxit Reader v.5.4.3.920 Внимание! Скачать обновления Malwarebytes Anti-Malware, версия 1.75.0.1300 v.1.75.0.1300 -------------Java--------------------------------- JavaFX 2.1.1 v.2.1.1 Внимание! Скачать обновления ^Скачайте javafx-2_2_21-windows-i586.exe^ Java 7 Update 11 v.7.0.110 Внимание! Скачать обновления ^Скачайте jre-7u21-windows-i586.exe^ -------------AppleProduction---------------------- QuickTime v.7.73.80.64 -------------AdobeProduction---------------------- Adobe Flash Player ActiveX v.9.0.124.0 Внимание! Скачать обновления Adobe Flash Player 11 Plugin v.11.7.700.202 -------------Browser------------------------------ Google Chrome v.26.0.1410.64 Opera 12.15 v.12.15.1748 -------------RunningProcess----------------------- E:\Program Files\Google\Chrome\Application\chrome.exe v.26.0.1410.64 -------------EndLog------------------------------- 0