Подозрение на живность

[Gluki]

Здравствуйте.

 

Ситуация похожа на тему Alex.E

Подхватил блокиратор Windows, который просил пополнить МТС номер через терминал, загружаясь до запуска Windows.

 

Эту проблему удалось решить с помощью LiveCD+Kaspersky Virus Removal Tool. После удаления блокиратора сделал проверку на вирусы, все что нашлось удалил.

 

Потом запускал Windows и проверял KAV6.0 - угроз 0.

 

Но на данный момент компьютер заражен. "Уходят" лог/пасы и через раз в браузере появляется всплывающее окно:

 

 

Надеюсь на вашу помощь.

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

[Roman_Five]

файл host Вы правили?

 

Скачайте ComboFix здесь или здесь и сохраните на рабочий стол.

 

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в explorer.exe

Подробнее про использование ComboFix - http://safezone.cc/forum/showpost.php?p=10...amp;postcount=1

 

через что выходите в интернет?

[Gluki]

файл host Вы правили?

Нет

через что выходите в интернет?

Через роутер, IP раздает DHCP сервер роутера

[thyrex]

Выполните скрипт в AVZ

begin
ExecuteREpair(13); 
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Очистите куки и кэш браузеров, кэш Java

 

Сделайте новые логи

[Gluki]

Лог ComboFix

log.txt

[Roman_Five]

Сделайте новые логи

+ лог полного сканирования MBAM (вы его установили недавно)

 

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

RegLock::
[HKEY_USERS\S-1-5-21-1757981266-299502267-1177238915-500\Software\Microsoft\Internet Explorer\User Preferences]
[HKEY_USERS\S-1-5-21-1757981266-299502267-1177238915-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*;]
[HKEY_USERS\S-1-5-21-1757981266-299502267-1177238915-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*;\OpenWithList]

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

[Gluki]

Кэш и печенки почистил + новые логи.

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

[Roman_Five]

забыли:

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

 

лог полного сканирования MBAM

[Gluki]

Лог полного сканирования MBAM, на очереди ComboFix

 

 

UPD: добавляю лог ComboFix

MBAM_log_2013_01_16__07_22_19_.txt

log.txt

Изменено 16 января, 2013 пользователем Gluki

[Roman_Five]

добавляю лог ComboFix

лог после такой операции?

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

...

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

если да - вручную дайте полный доступ к ветке реестра HKEY_USERS\S-1-5-21-1757981266-299502267-1177238915-500\Software\Microsoft\Internet Explorer\User Preferences для пользователя ADMINISTRATOR

запустите regedit

найдите

HKEY_USERS\S-1-5-21-1757981266-299502267-1177238915-500\Software\Microsoft\Internet Explorer\User Preferences

правый клик - разрешения - Administrator - полный доступ - применить

 

всплывающее окно не появляется?

 

Деинсталлируйте MBAM как потенкиально несовместимое с КАВ ПО.

[Gluki]

лог после такой операции?

Да

если да - вручную дайте полный доступ к ветке реестра

Полный доступ был, включил особые разрешения

всплывающее окно не появляется?

На момент лечения пользуюсь осликом, а в нем окна не было, только в Опере

Деинсталлируйте MBAM как потенкиально несовместимое с КАВ ПО.

MBAM у меня нашло 3 уязвимостиб я их не удалял, может провести повтороное сканирование, удалить троянов и только после этого удалить МВАМ ?

Изменено 16 января, 2013 пользователем Gluki

[Tiare]

MBAM у меня нашло 3 уязвимостиб я их не удалял, может провести повтороное сканирование, удалить троянов и только после этого удалить МВАМ ?

 

Проверьте эти файлы на virustotal

Раскрывающийся текст:

кнопка Обзор - ищите нужный файл у вас в системе - Открыть - Отправить файл (Send file). Нажать на кнопку Reanalyse (если будет). Дождитесь результата .

Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.

C:\Program Files\LouderIt\LConfig.exe

 

 

удалите вручную папку

C:\Documents and Settings\All Users.WINDOWS.1\Application Data\u9ir0NAqdWI

 

Смените все важные пароли, особенно от банковских аккаунтов!

 

 

Adobe Reader 6.0 - если не пользуетесь - деинсталлируйте, если пользуетесь - обновите до актуальной версии.

Java 6 Update 6 - деинсталлируйте

Java 7 Update 5 - обновите до актуальной версии

Изменено 16 января, 2013 пользователем Tiare

[Gluki]

Проверьте эти файлы

https://www.virustotal.com/file/28e57d415eb...sis/1358327064/

удалите вручную папку

удалил

 

адобе и джаву удалил/обновил

[Roman_Five]

удалить троянов

и только после этого удалить МВАМ ?

нет.

просто деинсталлируйте MBAM. там не трояны.

 

Деинсталлируйте ComboFix:

- нажмите Win+R

- в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"

Скачайте OTCleanIt, запустите, нажмите Clean up

[Tiare]

Удаление объектов, на которые ругается MBAM -на ваше усмотрение.

 

 

Проблема прежняя все еще актуальна?