Вернуться   Компьютерный форум > Компьютеры > Программы > Безопасность
 
 
Опции темы
Старый 15.04.2012, 11:37   #1
Новичок
 
Регистрация: 14.04.2012
Сообщений: 5
Репутация: 0
Smile Самопроизвольный запуск браузера (goodcazino)

Доброго времени суток!
Простите, что обращаюсь в выходной день..
На просторах интернета подцепил какую-то заразу. Теперь каждые ~30 мин. в браузере открывается сайт /goodcazino.com/
Все бы ничего, да вот только при этом издается отвратительный звук, который оглушает и пугает..(
Вроде бы все логи есть:
AVZ
uVS
RSIT

P.S.
Поздравляю с Праздником Пасхи..)
shipher вне форума  
Старый 15.04.2012, 11:59   #2
Стажёр
 
Аватар для Bartimeus
 
Регистрация: 21.12.2011
Сообщений: 1,040
Репутация: 105
По умолчанию

Здравствуйте!
Вас тоже с праздником

Выполните следующий скрипт в uVS:
- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
- копируете следующий текст из поля "Код" в буфер обмена;
Код:
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

; C:\WINDOWS\TASKMNGR.EXE
addsgn 0DC977BA156A4C720BD4AEB164C81205258AFCF689FA1F7885C3C5BC50D6714C2317C3573E559D492B80849F461649FA7DDFE87255DAB02C2D77A42FC7062273 8 Backdoor.MSIL.Algo.c

zoo %SystemRoot%\TASKMNGR.EXE
bl 9CE3DEDCC55E6E8E79DB63FCFE6F82C1 1055462
delall %SystemRoot%\TASKMNGR.EXE
delref HTTP://CASUALGAME.BIZ
delref HTTP://GO.MICROSOFT.COM/FWLINK/?LINKID=54896
delref HTTP://GO.MICROSOFT.COM/FWLINK/?LINKID=69157
delref HTTP://NIGHTWAREZ.RU/
delref HTTP://WWW.MAIL.RU/CNT/8746
deltmp
restart
- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится;
Пишем о старых и новых проблемах.
Выполните быстрое сканирование в Malwarebytes

Последний раз редактировалось safety; 15.04.2012 в 12:21. Причина: исправлено
Bartimeus вне форума  
Старый 15.04.2012, 12:22   #3
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

скрипт исправлен, если еще не выполнили его, заново скопируйте скрипт в буфер обмена
safety вне форума  
Старый 15.04.2012, 12:49   #4
Новичок
 
Регистрация: 14.04.2012
Сообщений: 5
Репутация: 0
По умолчанию

Уже выполнил..
Доделываю лог MBAM
Что мне делать?)
shipher вне форума  
Старый 15.04.2012, 12:50   #5
Стажёр
 
Аватар для Bartimeus
 
Регистрация: 21.12.2011
Сообщений: 1,040
Репутация: 105
По умолчанию

shipher, делайте лог MBAM
Bartimeus вне форума  
Старый 15.04.2012, 12:52   #6
Новичок
 
Регистрация: 14.04.2012
Сообщений: 5
Репутация: 0
По умолчанию

Вот!
MBAM
shipher вне форума  
Старый 15.04.2012, 12:54   #7
Стажёр
 
Аватар для Bartimeus
 
Регистрация: 21.12.2011
Сообщений: 1,040
Репутация: 105
По умолчанию

shipher, в МВАМ удалить только это:
Код:
Обнаруженные ключи в реестре:  8
HKCR\CLSID\{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} (Trojan.BHO) -> Действие не было предпринято.
HKCR\TypeLib\{A8954909-1F0F-41A5-A7FA-3B376D69E226} (Trojan.BHO) -> Действие не было предпринято.
HKCR\Interface\{967A494A-6AEC-4555-9CAF-FA6EB00ACF91} (Trojan.BHO) -> Действие не было предпринято.
HKCR\BhoNew.BhoApp.1 (Trojan.BHO) -> Действие не было предпринято.
HKCR\BhoNew.BhoApp (Trojan.BHO) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} (Trojan.BHO) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} (Trojan.BHO) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} (Trojan.BHO) -> Действие не было предпринято.

Обнаруженные параметры в реестре:  0
(Вредоносных программ не обнаружено) 

Объекты реестра обнаружены:  4
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|NoSMHelp (PUM.Hijack.Help) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
+ Сделайте новый лог RSIT.
Bartimeus вне форума  
Старый 15.04.2012, 13:00   #8
Новичок
 
Регистрация: 14.04.2012
Сообщений: 5
Репутация: 0
По умолчанию

Вот!
RSIT (http://rghost.ru/37590689)
Не вышло сделать гиперссылку, кнопка не нажимается.(

Все кнопки на форуме работают, кроме кнопок редактирования текста. оО
shipher вне форума  
Ads
Старый 15.04.2012, 13:14   #9
Стажёр
 
Аватар для Bartimeus
 
Регистрация: 21.12.2011
Сообщений: 1,040
Репутация: 105
По умолчанию

Чисто!
Устранение уязвимостей:

Выполните скрипт в AVZ при наличии доступа в интернет:
Код:
begin
 if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt');
 If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt')
 Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
 if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false);
ExitAVZ;
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player.
Bartimeus вне форума  
Старый 15.04.2012, 13:16   #10
Новичок
 
Регистрация: 14.04.2012
Сообщений: 5
Репутация: 0
По умолчанию

Спасибо Вам огромное!)
Никакие казино пока не вылазиют..))
Всего Вам доброго.)
shipher вне форума  
Старый 15.04.2012, 13:27   #11
Стажёр
 
Аватар для Bartimeus
 
Регистрация: 21.12.2011
Сообщений: 1,040
Репутация: 105
По умолчанию

Чистого интернета!
Bartimeus вне форума  
Ads
 


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Несанкционированный запуск браузера на http://goodcazino.com/ Robjer Безопасность 8 15.04.2012 11:11
Самопроизвольный запуск Firefox Bamaz Безопасность 4 12.04.2012 00:14
самопроизвольный запуск браузера maxthon Robjer Безопасность 6 11.04.2012 22:58
самопроизвольный запуск браузера maxthon yamayka Безопасность 8 10.04.2012 00:28
самопроизвольный запуск браузера максим81 Безопасность 16 10.09.2011 15:45


Текущее время: 04:57. Часовой пояс GMT +4. Powered by vBulletin® Version 5.8.9
Copyright ©2000 - 2016, Jelsoft Enterprises Ltd.