clubrelaxxxx.com/ после вирусятины а также непонятности при запуске

[Пью]

На компе по недосмотру вышли в сеть с отключенным Kaspersky Crystal (сама версия 9.1.0.124), после чего, естественно, пришлось выковыривать то что комп подцепил.

Было:

Trojan-Spy.Win32.Carberp.sud

Trojan.Script.Carberp.a

Bacdor.Win32.Hlux.afp

Kaspersky Crystal впоследствии был подключен, вирусня увиделась, но лечить пришлось специфической утилитой с этого сайта, сам Kaspersky Crystal справиться с бедой не мог.

 

Вроде победили, но:

браузер (Опера) постоянно лезет в адрес (который в заголовке темы). Прописывание этого адреса как запрещенного не очень помогает.

Кэш чистил (впрочем, кэш и вообще содержимое IE не трогал т.к. не пользуюсь, перед написанием сюда на форум, заглянул в IE, что-то от Bacdor там прописалось. Пока не удаляю в видах более точной диагностики.)

 

При старте системы, само по себе всегда стало открываться окно проводника в разделе

Windows\System32, что подозрительно. (Система Win XP х32)

 

И опять же при старте, на фоне заставки на долю секунды появляется небольшое черное окно с исполнением (по всей видимости) какой-то команды, рассмотреть кто это, не успевается.

[thyrex]

Выполните правила

[Пью]

Вот выполнено:

 

А также - черное окно, выскакивающее при запуске, вроде как на cmd заканчивается

virusinfo_syscheck.zip

info.txt

log.txt

KL_syscure.zip

Изменено 28 ноября, 2012 пользователем Пью

[Tiare]

Закройте все программы, включая антивирусное программное обеспечение и firewall

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
ClearHostsFile;
QuarantineFile('C:\DOCUME~1\Yu-Yu\LOCALS~1\Temp\43218968FdOh','');
DeleteFile('C:\DOCUME~1\Yu-Yu\LOCALS~1\Temp\43218968FdOh');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','43219375');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

После выполнения скрипта компьютер перезагрузится.

После перезагрузки выполнить второй скрипт.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

 

Выполните новые логи по правилам, отчеты прикрепите к следующему сообщению

Логи RSIT делайте с подключенным интернетом.

 

 

+

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.

Самостоятельно ничего не удаляйте!

Если лог не открылся, то найти его можно в следующей папке:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Подробнее читайте в руководстве

 

 

 

Смените все важные пароли, особенно от платежных систем сейчас, после окончания лечения смените пароли еще раз.

[Пью]

Вроде на этот раз все правильно должно быть:

log2rsit.txt

mbam_log_2012_11_28__16_45_34_.txt

virusinfo_syscheck2.zip

virusinfo_syscure2.zip

[Tiare]

DealBulldog Toolbar

StartNow Toolbar

Video Download Toolbar 2.2.0.0

Используете? Это разновидность Adware

Если нет - желательно удалить штатным способом (через установку и удаление программ).

 

После удаления (если решите не удалять тулбары - фикс не делайте)

Пофиксите в HijackThis следующие строчки. Некоторые строки могут отсутствовать

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bigseekpro.com/videodownloadtoolbar/{FE26394F-9713-4CE4-BBE1-F8E017C503BD}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bigseekpro.com/videodownloadtoolbar/{FE26394F-9713-4CE4-BBE1-F8E017C503BD}
R3 - URLSearchHook: ToolbarURLSearchHook Class - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - C:\Program Files\DealBulldog Toolbar\tbhelper.dll
O2 - BHO: StartNow Toolbar Helper - {6E13D095-45C3-4271-9475-F3B48227DD9F} - C:\Program Files\StartNow Toolbar\Toolbar32.dll
O2 - BHO: Video Download Toolbar Intercept - {B29002A0-87A1-4DC4-AC55-5982034EB61E} - C:\PROGRA~1\VIDEOD~1\VIDEOD~1.DLL
O2 - BHO: SMTTB2009 - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - C:\Program Files\DealBulldog Toolbar\tbcore3.dll
O3 - Toolbar: StartNow Toolbar - {5911488E-9D1E-40ec-8CBB-06B231CC153F} - C:\Program Files\StartNow Toolbar\Toolbar32.dll
O3 - Toolbar: DealBulldog Toolbar - {338B4DFE-2E2C-4338-9E41-E176D497299E} - C:\Program Files\DealBulldog Toolbar\tbcore3.dll

 

 

- деинсталлируйте Malwarebytes' Anti-Malware

- обновите Java до актуальной версии

- обновите Adobe Flash Player до актуальной версии

- обновите Adobe Reader до актуальной версии

 

 

 

Проблемы есть?

[Пью]

DealBulldog Toolbar

StartNow Toolbar

Video Download Toolbar 2.2.0.0

Используете? Это разновидность Adware

Нет, ни разу, возможно попала с установкой софта, который воткнули принудительно от провайдера при подключении к сети, или при устанвоке каких-то видеокодеков (K-Lite), на которые кстати при запуске Каспер ругался.

 

В принципе, проблем более нет. (Черное окошко с cmd.exe перестало появляться после выполнения первого скрипта, написанного в сообщении - если это свидетельствовало о какой-то реальной проблеме).

То что при старте проводник произвольно открывается в окошке WINDOWS\System32 - раз инструментальные методы показывают, что комп ничем не заражен, то придется терпеть.

В любом случае, спасибо за помощь.

 

Еще комп не выключается, если проводник не закрыть - KIS выгружается и далее дело не идет, закроешь проводник, второй раз выключить/перезагрузить - срабатывает.

Обе нештатности (особенность при старте и при выключении) по всей видимости несущественны и выходят за рамки начатой темы в разделе борьбы с вирусами, но если кто подскажет где поискать решение, то это было бы хорошо.

Контрольных точек не делалось, никогда не занимался восстановлением винды никакими средствами, там восстановление системы изначально выключено, и никакой замены этой задачи сторонним софтом на этом компе не предусмотрено.

[Tiare]

если тулбары удалили - повторите лог RSIT (не отключая интернет), посмотрим, нет ли хвостов.

 

 

 

Насчет вашего вопроса - создайте тему в разделе "Компьютерная помощь". Кроме того, удалите из автозапуска лишние программы.

Например, знакомо?

O4 - HKCU\..\Run: [multifon.exe] "" /autostart

[Пью]

Tiare

Например, знакомо?

 

O4 - HKCU\..\Run: [multifon.exe] "" /autostart

Что-то смотрел-смотрел, не увидел где сидит этот кусок от мегафоновского модема (таки да, до неприличия много дряни оставляет в компе, удалял его хвосты как умел но не все заметил). Это оно? - :

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

 

Вообще, на данный момент винда по внешним признакам полностью нормализовалась, никаких подозрительных действий при старте, и выключаться стала по-штатному. Понравилось Видать, хвост какой-то удалил, значит (EasyCleaner-ом пошерстил как раз автозапуск, и какую-то мертвечину оттуда выпилил).

 

На всякий случай лог RSIT прилагаю - может там еще лишнее есть.

Судя по всему, adware влезло с кодеками, так может еще что-то можно удалить, там что-то с видео связано но я сам побаиваюсь удалять.

 

 

 

Кстати, насчет актуального ПО - насколько я помню, у Adobe весь софт сейчас пригружен всякой фигнёй. Если память не изменяет, они кругом суют McAfee к примеру (его деятельность рядом с KIS как минимум странна, если я правильно понял), почему у меня и установлено всё древнее, пока оно было относительно чистое. Причем без этих милых дополнений их софт не становился, насколько мне помнится.

В случае установки актуального, таки вынужденнно соглашаться на установку доп. компонентов и потом удалять их - вполне штатное решение, получается?

log3rsit.txt

Изменено 29 ноября, 2012 пользователем Пью

[Tiare]

Что-то смотрел-смотрел, не увидел где сидит этот кусок от мегафоновского модема (таки да, до неприличия много дряни оставляет в компе, удалял его хвосты как умел но не все заметил). Это оно? - :

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

нет, не трогайте. Того хвоста уже нет.

 

Судя по всему, adware влезло с кодеками, так может еще что-то можно удалить, там что-то с видео связано но я сам побаиваюсь удалять.

один из тулбаров установился с FLVPlayer4Free. При установке обращайте внимание, что идет "в нагрузку" )

 

удалите вручную

C:\Documents and Settings\Yu-Yu\Application Data\Toolbar4

 

насчет обновления Адоб - галочку снимите

 

 

 

 

 

Все чисто.

[Пью]

Тулбар снес, за всю помощь спасибо

Наверное, тему можно закрывать.

 

 

 

Сообщение от модератора Tiare

Проблема решена. Тема закрыта по просьбе топикстартера

Изменено 29 ноября, 2012 пользователем Tiare