Решена GuardMailRu Module - обнаружена ошибка.
- Автор темы tas123456
- Дата начала
- Статус
Ботан
Злостный спам-бот
- Сообщения
- 1,069
- Реакции
- 146
Приветствую tas123456, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
- virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
__________________________________________________
С уважением, администрация SafeZone.
С уважением, администрация SafeZone.
- Сообщения
- 8,513
- Реакции
- 5,699
Перед тем как просить о помощи, прочтите эти правила оформления запроса.
- Сообщения
- 9,699
- Реакции
- 4,669
1. Закройте все программы, отключите антивирус, файрволл и прочее защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.
После выполнения скрипта компьютер перезагрузится!
2. Полученный архив quarantine.zip из папки с AVZ, отправьте с помощью этой формы или на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @), укажите ссылку на тему и ник на форуме.
3. Сделайте лог SecurityCheck by screen317
4. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
5. Внимание !!! База поcледний раз обновлялась 06.01.2012
Обновите базы АВЗ (АВЗ -> меню "Файл" -> "Обновление баз" -> "Пуск") и повторите логи AVZ и Rsit и прикрепите их к сообщению.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\WINDOWS\system32\3F.tmp','');
DeleteFile('C:\WINDOWS\system32\3F.tmp');
DeleteService('MEMSWEEP2');
RegKeyStrParamWrite('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','AutoCreateQuarantine', '"' + GetAVZDirectory + 'avz.exe' + '"' + ' Script=' + '"' + GetAVZDirectory + 'Script.txt' + '"');
AddLineToTxtFile(GetAVZDirectory + 'Script.txt', 'begin'+#13#10+' CreateQurantineArchive(GetAVZDirectory' + ' + ' + Chr(39) + 'quarantine.zip' + Chr(39) + ');'+#13#10+' RegKeyParamDel('+Chr(39)+'HKEY_CURRENT_USER'+Chr(39) + ', ' +Chr(39)+'SoftwareMicrosoftWindowsCurrentVersionRun'+Chr(39)+ ', '+Chr(39)+'AutoCreateQuarantine'+Chr(39)+');'+#13#10+' ExecuteFile('+Chr(39)+'explorer.exe'+Chr(39) + ', ' + 'GetAVZDirectory, 1, 0, false);'+#13#10+' ExitAVZ;'+#13#10+'end.');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.После выполнения скрипта компьютер перезагрузится!
2. Полученный архив quarantine.zip из папки с AVZ, отправьте с помощью этой формы или на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @), укажите ссылку на тему и ник на форуме.
3. Сделайте лог SecurityCheck by screen317
4. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
5. Внимание !!! База поcледний раз обновлялась 06.01.2012
Обновите базы АВЗ (АВЗ -> меню "Файл" -> "Обновление баз" -> "Пуск") и повторите логи AVZ и Rsit и прикрепите их к сообщению.
- Сообщения
- 9,699
- Реакции
- 4,669
Обновите Adobe Reader до актуальной версии.
Ждем остальные логи.
Ждем остальные логи.
- Сообщения
- 21,171
- Реакции
- 14,142
Повторите сканирование MBAM и отметьте на удаление все кроме перечисленного.
- Сообщения
- 9,699
- Реакции
- 4,669
- Сообщения
- 9,699
- Реакции
- 4,669
1. Закройте все программы, отключите антивирус, файрволл и прочее защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.
После выполнения скрипта компьютер перезагрузится!
2. Полученный архив quarantine.zip из папки с AVZ, отправьте с помощью этой формы или на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @), укажите ссылку на тему и ник на форуме.
3. Пофиксите в HJT эти строки (некоторых строк после выполнения скрипта AVZ может уже и не быть):
4. Повторите логи AVZ и Rsit и прикрепите их к сообщению.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Program Files\mediagetsearch Toolbar\rubar.dll','');
QuarantineFile('C:\Program Files\Mail.Ru\Guard\GuardMailRu.exe','');
DeleteFile('C:\Program Files\Mail.Ru\Guard\GuardMailRu.exe');
DeleteFile('C:\Program Files\mediagetsearch Toolbar\rubar.dll');
DelBHO('{bb4c21ed-1f47-41cd-a3f3-ffea7e0263cf}');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Internet Explorer\Toolbar', '{bb4c21ed-1f47-41cd-a3f3-ffea7e0263cf}');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Guard.Mail.ru.gui');
RegKeyStrParamWrite('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','AutoCreateQuarantine', '"' + GetAVZDirectory + 'avz.exe' + '"' + ' Script=' + '"' + GetAVZDirectory + 'Script.txt' + '"');
AddLineToTxtFile(GetAVZDirectory + 'Script.txt', 'begin'+#13#10+' CreateQurantineArchive(GetAVZDirectory' + ' + ' + Chr(39) + 'quarantine.zip' + Chr(39) + ');'+#13#10+' RegKeyParamDel('+Chr(39)+'HKEY_CURRENT_USER'+Chr(39) + ', ' +Chr(39)+'SoftwareMicrosoftWindowsCurrentVersionRun'+Chr(39)+ ', '+Chr(39)+'AutoCreateQuarantine'+Chr(39)+');'+#13#10+' ExecuteFile('+Chr(39)+'explorer.exe'+Chr(39) + ', ' + 'GetAVZDirectory, 1, 0, false);'+#13#10+' ExitAVZ;'+#13#10+'end.');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.После выполнения скрипта компьютер перезагрузится!
2. Полученный архив quarantine.zip из папки с AVZ, отправьте с помощью этой формы или на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @), укажите ссылку на тему и ник на форуме.
3. Пофиксите в HJT эти строки (некоторых строк после выполнения скрипта AVZ может уже и не быть):
Код:
O3 - Toolbar: mediagetsearch - {bb4c21ed-1f47-41cd-a3f3-ffea7e0263cf} - C:\Program Files\mediagetsearch Toolbar\rubar.dll (file missing)
O4 - HKLM\..\Run: [Guard.Mail.ru.gui] "C:\Program Files\Mail.Ru\Guard\GuardMailRu.exe" /gui
O23 - Service: Guard.Mail.ru - Unknown owner - C:\Program Files\Mail.Ru\Guard\GuardMailRu.exe4. Повторите логи AVZ и Rsit и прикрепите их к сообщению.
- Сообщения
- 9,699
- Реакции
- 4,669
- Сообщения
- 9,699
- Реакции
- 4,669
Всю эту папку можно удалить обычным способом.
МВАМ деинсталируйте через установку\удаление программ.
Рекомендации после лечения.
МВАМ деинсталируйте через установку\удаление программ.
Рекомендации после лечения.
- Статус