Решена Блокировка соц. сетей и редирект на clubrelaxxxx.com

Статус
В этой теме нельзя размещать новые ответы.

Shalashaska

Новый пользователь
Сообщения
5
Реакции
0
Здравствуйте. Не могли бы вы помочь вычистить бяку?

В файл "c:\windows\system32\drivers\etc\hosts" постоянно прописываются правила:
---------------
Код:
127.0.0.1 raskruty.ru workandtalk.ru waitplay.ru webmurk.ru jelya.ru ok-anonimaizer.ru
127.0.0.1 v.vhodilka.ru webvpn.org neklassniki.ru obhodilka.ru vkanonim.ru vhodilka.ru
127.0.0.1 diazoom.ru timp.ru anonimix.ru anonimvk.ru urlbl.ru anonim.ttu.su xy4-anonymizer.ru
127.0.0.1 adminimus.ru unboo.ru anonim.do.am cameleo.ru nezayti.ru nemir.ru hellhead.ru 
127.0.0.1 dostyp.ru o.vhodilka.ru anonymizer.ru dostupest.ru nekontakt2.ru websplatt.ru
127.0.0.1 antiblock.ru dardan.ru razblokirovatdostup.ru spoolls.com netdostupa.com pinun.ru
46.251.249.140 admulti.com mc.yandex.ru  counter.spylog.com counter.rambler.ru
46.251.249.139 vk.com wap.odnoklassniki.ru  odnoklassniki.ru m.odnoklassniki.ru my.mail.ru m.vk.com
--------------------

В браузерах при нажатии ссылок выскакивает новое окно с ресурсом clubrelaxxxx.com

Логи приаттачил.
 
Последнее редактирование модератором:
Приветствую Shalashaska, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



***​

Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


***​

Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
__________________________________________________
С уважением, администрация SafeZone.
 
Запускали Combofix - можно лог увидеть?
C:\ComboFix.txt

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFileF('C:\Documents and Settings\All Users\Application Data\IBank', '*.*', true, '', 0, 0);
 QuarantineFileF('C:\Documents and Settings\All Users\Application Data\d8Iq96ii0rk', '*.*', true, '', 0, 0);
 QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\16375109FdOh','');
 QuarantineFile('C:\systemhost\24FC2AE36A4.exe','');
 DeleteFile('C:\systemhost\24FC2AE36A4.exe');
 DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\16375109FdOh');
 DelBHO('{81017EA9-9AA8-4A6A-9734-7AF40E7D593F}');
 DelBHO('{8984B388-A5BB-4DF7-B274-77B879E179DB}');
 DelBHO('{02478D38-C3F9-4efb-9B51-7695ECA05670}');
 DeleteFileMask('C:\Documents and Settings\All Users\Application Data\IBank', '*.*', true);
 DeleteDirectory('C:\Documents and Settings\All Users\Application Data\IBank');
 DeleteFileMask('C:\Documents and Settings\All Users\Application Data\d8Iq96ii0rk', '*.*', true);
 DeleteDirectory('C:\Documents and Settings\All Users\Application Data\d8Iq96ii0rk');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','YI9B2F0F2EXHWU0HL');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','16375546');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(13);
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
R3 - URLSearchHook: (no name) - {81017EA9-9AA8-4A6A-9734-7AF40E7D593F} - (no file)
R3 - URLSearchHook: (no name) -  - (no file)
O1 - Hosts: 46.251.249.140 admulti.com mc.yandex.ru www.google-analytics.com counter.spylog.com counter.rambler.ru
O1 - Hosts: 46.251.249.139 vk.com wap.odnoklassniki.ru www.odnoklassniki.ru odnoklassniki.ru m.odnoklassniki.ru my.mail.ru m.vk.com
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O4 - HKLM\..\Run: [16375546] cmd.exe /c copy C:\DOCUME~1\User\LOCALS~1\Temp\16375109FdOh C:\WINDOWS\system32\drivers\etc\hosts /Y && attrib +H C:\WINDOWS\system32\drivers\etc\hosts /f
O4 - HKCU\..\Run: [YI9B2F0F2EXHWU0HL] C:\systemhost\24FC2AE36A4.exe

Обновите базы AVZ (Файл/Обновление баз) далее:
Сделайте новый комплект логов AVZ и RSIT и прикрепите к следующему сообщению новые логи virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt


Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве
 
Запускали Combofix - можно лог увидеть? C:\ComboFix.txt

Combofix я нашел, в одной из инструкций, которые перелопатил до нахождения вашего сайта. После распаковки он запустился и повесил компьютер намертво. После перезагрузки решил его не трогать, а сначала избавиться от вирусов.

Сделал все по вашей инструкции.

quarantine.zip - отправил через форму.
Логи AVZ, RSIT и Malwarebytes добавил к этому сообщению.

Спасибо.
 

Вложения

  • virusinfo_syscheck.zip
    50.9 KB · Просмотры: 1
  • virusinfo_syscure.zip
    51 KB · Просмотры: 0
  • info.txt
    10.2 KB · Просмотры: 0
  • log.txt
    35.6 KB · Просмотры: 1
  • mbam-log-2012-12-09 (15-51-31).txt
    4.1 KB · Просмотры: 1
Запакуйте в архив с паролем "virus" папку C:\Qoobox\Quarantine\ - C:\ - Ваш системный диск
Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\system32\ieunitdrf.inf');
 DelCLSID('82184935-B894-4AB2-8590-603BA7D74B71');
 DeleteFileMask('C:\systemhost\', '*.*', true);
 DeleteDirectory('C:\systemhost\');
 RegKeyDel('HKCR','kak_zarabotat_astrologu.eProtocol');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

Компьютер перезагрузится.

  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Скопируйте содержимое файла в свое следующее сообщение.
Подробнее читайте в этом руководстве.
 
Вот содержимое SecurityCheck лога:
Код:
Security Check by glax24 version 0.1.5.44 beta
WebSite: www.safezone.cc
DataLog 09.12.2012 16:42:32
Program directory: C:\Documents and Settings\User\Local Settings\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True
XML File - VersionInet=1.4 
__________________________________________________

WIN_XP Build 2600 (x86) Lan:0419
Service Pack 3
Internet Explorer 8.0.6001.18702
-------------Windows------------------------------
[COLOR=red][B]Автоматическое обновление отключено[/B][/COLOR]
Automatic Updates (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
-------------Antivirus_WMI------------------------
avast! Antivirus
Антивирус обновлен
Сканирование [B]отключено[/B]
-------------Firewall_WMI-------------------------
-------------AntiVirusFirewallInstall-------------
avast! Free Antivirus v.7.0.1474.0
-------------OtherUtilities-----------------------
Malwarebytes Anti-Malware, версия 1.65.1.1000 v.1.65.1.1000
C:\ComboFix
-------------Java---------------------------------
Java(TM)  6 Update 22 v.6.0.220 [COLOR=red][B]Внимание!  [URL="http://www.java.com/ru/download/manual_v6.jsp"]Скачать  обновления[/URL][/B][/COLOR]
[COLOR=blue][B]^Удалите старую версию и установите новую^[/B][/COLOR]
-------------AppleProduction----------------------
-------------AdobeProduction----------------------
Adobe  Flash Player 11 ActiveX v.11.4.402.287 [COLOR=red][B]Внимание!  [/B][/COLOR]
[COLOR=blue][B]^Открыть ссылку в Internet Explorer^[/B][/COLOR]
Adobe  Flash Player 11 Plugin v.11.4.402.287 [COLOR=red][B]Внимание!  [/B][/COLOR]
[COLOR=blue][B]^Открыть ссылку в Opera или Mozilla FireFox^[/B][/COLOR]
Adobe  Reader 7.0.5 - Russian v.7.0.5 [COLOR=red][B]Внимание!  [/B][/COLOR]
-------------Browser------------------------------
Mozilla Firefox 17.0.1 (x86 ru) v.17.0.1
Google  Chrome v.8.0.552.237 [COLOR=red][B]Внимание!  [/B][/COLOR]
-------------EmailClient--------------------------
Mozilla  Thunderbird (2.0.0.24) v.2.0.0.24 (ru) [COLOR=red][B]Внимание!  [/B][/COLOR]
-------------RunningProcess-----------------------
C:\Program Files\Mozilla Firefox\firefox.exe v.17.0.1.4715
-------------EndLog-------------------------------
 
Пройдите по ссылкам из Вашего поста и закройте уязвимости.

Деинсталлируйте ComboFix:
  1. Нажмите Пуск => Выполнить (или через сочетание клавиш Win - R) в появившемся окне наберите команду ComboFix /Uninstall, нажмите кнопку "ОК"
    (Возможно придется указать полный путь, например "C:\Users\User\Desktop\Combofix.exe" /Uninstall )

    combofix-uninstall.jpg

  2. Дождитесь сообщения об успешной деинсталляции ComboFix.
  3. Скачайте OTCleanIt, запустите, нажмите Clean up


Как самочувствие системы?
 
Как самочувствие системы?

Погоняли машину с часик. Ничего плохого не наблюдается. Судя по всему, бяку выпилили. Спасибо вам большое.
И ЕЩЁ ОДНО БОООШООООЕ СПАСИБО, от моей подруги-блондинки. :)
 
Подруге-блондинке необходимо поменять все пароли, которые она использовала во время заражения, а так же обновить базы антивируса и провести полное сканирование для поиска неактивных тушек.

+

Ознакомится с этими рекомендациями
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу