Решена clubrelaxxxx.com/gibdd

[urik580580]

При открытии любой ссылки вылезает данное окно, думаю вы уже наслышены об этом вируснике. Контакт так же не работает, прошу помочь.

Click to read more...

 

[Ботан]

Приветствую urik580580, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.​

__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:

• virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt

Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.

***​

Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.

***​

Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!

__________________________________________________
С уважением, администрация SafeZone.​

 

[shestale]

1. Закройте все программы, отключите антивирус, файрволл и прочее защитное ПО.

AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe','stop tcpip /y',0,15000,true);
if not IsWOW64
 then
  begin
   SearchRootkit(true,true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\1\AppData\Local\Temp\20561836FdOh','');
 QuarantineFile('C:\Users\1\AppData\Local\Temp\1636528FdOh','');
 QuarantineFileF('C:\ProgramData\AHzYRGSwc3s','*.*',false,'',0,0);
 DeleteFile('C:\Users\1\AppData\Local\Temp\1636528FdOh');
 DeleteFile('C:\Users\1\AppData\Local\Temp\20561836FdOh');
 DeleteFile('C:\Windows\tasks\At2.job');
 DeleteFileMask('C:\ProgramData\AHzYRGSwc3s','*.*',true);
 DeleteDirectory('C:\ProgramData\AHzYRGSwc3s');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','1636575');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','20561914');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
 ExecuteRepair(13);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

2. После перезагрузки, выполните такой скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

3. Полученный архив quarantine.zip из папки с AVZ, отправьте с помощью этой формы или на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @), укажите ссылку на тему и ник на форуме.

4. Пофиксите в HJT эти строки (некоторых строк после выполнения скрипта AVZ может уже и не быть):

R3 - URLSearchHook: (no name) -  - (no file)
O1 - Hosts: 46.251.249.137 odnoklassniki.ru m.vk.com wap.odnoklassniki.ru my.mail.ru www.odnoklassniki.ru vk.com m.odnoklassniki.ru
O1 - Hosts: 46.251.249.136 counter.spylog.com counter.rambler.ru mc.yandex.ru admulti.com www.google-analytics.com
O4 - HKLM\..\Run: [20561914] cmd.exe /c copy C:\Users\1\AppData\Local\Temp\20561836FdOh C:\Windows\system32\drivers\etc\hosts /Y && attrib +H C:\Windows\system32\drivers\etc\hosts /f
O4 - HKLM\..\Run: [1636575] cmd.exe /c copy C:\Users\1\AppData\Local\Temp\1636528FdOh C:\Windows\system32\drivers\etc\hosts /Y && attrib +H C:\Windows\system32\drivers\etc\hosts /f

5. Сделайте новые логи AVZ и Rsit и прикрепите их к сообщению.

6. Скачайте TDSSKiller, распакуйте в корень системного диска. Нажмите Пуск -> выполнить. В поле "открыть" впишите команду:

C:\tdsskiller.exe -qmbr -qboot

Папку с карантином C:\TDSSKiller_Quarantine запакуйте с паролем virus и отправьте на адрес quarantine<at>safezone.cc (замените <at> на @) с указанием ссылки на тему и ника на форуме.
Лог после сканирования (файл TDSSKiller_версия_дата_время_log.txt) выложите сюда.

7. Смените все свои пароли на сервисах в интернете.

8. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Программу не закрывайте и самостоятельно ни чего не удаляйте!

9. Сервисом webalta пользуетесь? Если желаете удалить, тогда:

AVZ - сервис - поиск данных в реестре.
В поле "образец" впишите webalta, нажмите "пуск" после окончания сохраните протокол и выложите сюда.
Поиск не закрывайте

 

[urik580580]

Сделал всё как вы сказали.

Первый пункт прошёл без проблем.

В четвёртом, как вы и предупреждали, последний двух строчек не было, а при выполнении
O1 - Hosts: 46.251.249.137 odnoklassniki.ru m.vk.com wap.odnoklassniki.ru my.mail.ru www.odnoklassniki.ru vk.com m.odnoklassniki.ru
O1 - Hosts: 46.251.249.136 counter.spylog.com counter.rambler.ru mc.yandex.ru admulti.com www.google-analytics.com
Выдаёт следующие ошибки(Безымянный, Безымянный2).

Сделал новые логи, прикрепил Malwarebytes' Anti-Malware и webalta.

 

[Severnyj]

Запустите HJT по правой кнопке от имени Администратора

Добавлено через 1 минуту 17 секунд
Повторите сканирование в MBAM и удалите все кроме:

C:\Users\1\AppData\Roaming\QipGuard\QipGuard.exe (Spyware.Zbot) -> Действие не было предпринято.
C:\Users\1\Desktop\Setup_RUS.exe (Trojan.Keylogger.MWP) -> Действие не было предпринято.
C:\Users\1\Documents\adobe_PS_CS5_keygen.exe (Malware.Packer.Gen) -> Действие не было предпринято.
C:\Users\1\Игры\20_keygen4cod4.exe (Trojan.Agent.CK) -> Действие не было предпринято.

 

[urik580580]

Запускать HJT от Администратора пробовал, повторные попытки результата не дали.
Удаление в МВАМ выполнил.
Злостный ГИБДДшник всё ещё не даёт зайти мне в VK.

 

[Severnyj]

• Если у вас 32 разрядная версия windows, то скачайте GrantPerms.zip
• Если у вас 64 разрядная версия windows, то необходимо скачать эту версию GrantPerms64.zip
• Распакуйте архив на Рабочий стол и запустите GrantPerms (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора)
• В текстовое поле скопируйте и вставьте следующий текст:
  
  C:\Windows\system32\drivers\etc\hosts
• Нажмите кнопку Unlock.
• По окончанию разблокирования нажмите Ок
• Нажмите кнопку List Permissions
• Откроется Блокнот с текстом отчета.
• Скопируйте текст отчета в свое следующее сообщение.

 

[urik580580]

GrantPerms by Farbar 
Ran by 1 (administrator) at 2012-11-30 22:03:23

===============================================
\\?\C:\Windows\system32\drivers\etc\hosts

   Owner: NT AUTHORITY\???????

   DACL(NP)(AI):
   NT AUTHORITY\???????   FULL   ALLOW   (I)
   BUILTIN\??????????????   FULL   ALLOW   (I)
   BUILTIN\????????????   READ/EXECUTE   ALLOW   (I)

***64 разрядная версия windows

 

[Severnyj]

Отлично))

Выполните скрипт в AVZ:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
   BackupRegKey('HKEY_LOCAL_MACHINE',
                   'SYSTEM\CurrentControlSet\services\Tcpip\Parameters',
                     'hosts_old');
if not IsWOW64
then {если х86}
 RegKeyParamWrite('HKEY_LOCAL_MACHINE',
                      'SYSTEM\CurrentControlSet\services\Tcpip\Parameters',
                       'DataBasePath',
                        'REG_EXPAND_SZ',
                         '%SystemRoot%\System32\drivers\etc')
else {если х64}
  RegKeyParamWrite('HKEY_LOCAL_MACHINE',
                      'SYSTEM\CurrentControlSet\services\Tcpip\Parameters',
                       'DataBasePath',
                        'REG_EXPAND_SZ',
                         '%SystemRoot%\SysWOW64\drivers\etc');
 ExecuteRepair(13);
 RebootWindows(false);
end.

Компьютер перезагрузится, после перезагрузки:

• Подготовьте лог OTL by OldTimer, как описано на этой странице.
• Прикрепите полученные логи OTL.txt и Extra.txt к своему следующему сообщению.
• Если логи не прикрепляются запакуйте их в архив.

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Search" и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R1].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

[urik580580]

Вот все файлы.

 

[Severnyj]

Теперь по порядку:

Первое

• Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Delete" и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[S1].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления может потребоваться перезагрузка компьютера!!!

Второе

• Запустите повторно OTL by OldTimer или OTL.com или OTL.scr.
  
  Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  
• В окно Custom Scans/Fixes скопируйте следующую информацию:
  
  
  :processes
  :OTL
  IE:[b]64bit:[/b] - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://start.funmoods.com/?f=1&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzuyB0AyBzytDyDzytDyD0BtC0F0CtDyC0DtN0D0Tzu0CtBtAyEtN1L2XzutBtFtCtFtCtFtAtCtB&cr=558125677
  IE:[b]64bit:[/b] - HKLM\..\SearchScopes\{A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE}: "URL" = http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzuyB0AyBzytDyDzytDyD0BtC0F0CtDyC0DtN0D0Tzu0CtBtAyEtN1L2XzutBtFtCtFtCtFtAtCtB&cr=558125677
  IE - HKLM\..\SearchScopes\{A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE}: "URL" = http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzuyB0AyBzytDyDzytDyD0BtC0F0CtDyC0DtN0D0Tzu0CtBtAyEtN1L2XzutBtFtCtFtCtFtAtCtB&cr=558125677
  FF - HKLM\Software\MozillaPlugins\@ngm.nexoneu.com/NxGame: C:\ProgramData\NexonEU\NGM\npNxGameeu.dll File not found
  O3:[b]64bit:[/b] - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
  O3 - HKLM\..\Toolbar: (no name) - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - No CLSID value found.
  O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
  O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - No CLSID value found.
  O4 - HKLM..\Run: []  File not found
  O4 - HKCU..\Run: []  File not found
  O4 - HKCU..\Run: [Clownfish]  File not found
  O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Low Rights present
  O20 - HKCU Winlogon: Shell - (expstart.exe) - C:\Windows\expstart.exe ()
  MsConfig:64bit - StartUpReg: [b]MAgent[/b] - hkey= - key= -  File not found
  MsConfig:64bit - StartUpReg: [b]multibar.exe[/b] - hkey= - key= -  File not found
  MsConfig:64bit - StartUpReg: [b]Netprotocol[/b] - hkey= - key= -  File not found
  MsConfig:64bit - StartUpReg: [b]Easy-Hide-IP[/b] - hkey= - key= -  File not found
  MsConfig:64bit - StartUpFolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Tabs.lnk -  - File not found
  MsConfig:64bit - State: "startup" - Reg Error: Key error.
  [2012.11.30 20:52:11 | 000,001,628 | ---- | M] () -- C:\Windows\SysNative\drivers\etc\hosts.new
  [2009.07.14 08:55:00 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini
  [2012.08.21 20:23:00 | 000,384,844 | ---- | M] () -- C:\Users\1\AppData\Local\funmoods-speeddial.crx
  [2012.08.23 10:54:09 | 000,004,943 | ---- | M] () -- C:\ProgramData\mtbjfghn.xbe
  :Services
  
  :Files
  
  ipconfig /flushdns /c
  :Reg
  
  :Commands
  [EMPTYTEMP]
  [purity]
  [start explorer]
  [Reboot]
• Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку "Run Fix"
• Компьютер перезагрузится.
• После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

Третье

• Скачайте FileASSASSIN на Рабочий стол
• Распакуйте утилиту в отдельную папку.
• Запустите FileASSASSIN.exe
• Нажмите кнопку ... и укажите путь к файлу:
  
  C:\Windows\system32\drivers\etc\hosts
• Поставьте галочку Delete File
• Нажмите кнопку Execute
• Укажите повторно путь к
  
  C:\Windows\system32\drivers\etc\hosts
• Переведите переключатель в положение Use delete jn Windows reboot functions
• Нажмите кнопку Execute

Четвертое
Сделайте новый лог OTL

 

[urik580580]

Как вы сказали.

 

[Severnyj]

Сделайте новый лог OTL

Это вот так:

• Подготовьте лог OTL by OldTimer, как описано на этой странице.
• Прикрепите полученные логи OTL.txt и Extra.txt к своему следующему сообщению.
• Если логи не прикрепляются запакуйте их в архив.

 

[urik580580]

OTL log

 

[Severnyj]

Скачайте следующий файл, запустите его по правой кнопке мыши от имени администратора.

Далее скачайте следующий файл, так же запустите от имени администратора

Далее Как подготовить лог HijackThis так же запускайте по правой кнопки от имени админа

 

[urik580580]

Сделал, как Вы сказали, вот лог.

 

[Severnyj]

Как самочувствие системы?

 

[urik580580]

Ничего не помогло, только нажал на поле, чтобы набрать это сообщение, уже перекинуло на этот сайт. VK так же не работает. (Через Avast Save Zone заходит )

 

[Severnyj]

Скачайте ComboFix здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению."

 

[urik580580]

Как Вы сказали.