-
Junior Member
- Вес репутации
- 57
Блокируется доступ к сайтам антивирусов
Здравствуйте.
Изначально вирус не давал запускать ни один браузер и программы AVZ и HijackThis.
После лечения Cure It стал запускаться iexplorer. доступ к сайтам и антивирусам заблокирован.
В userinit к explorer был добавлен еще один файл на запуск (файл сохранил, могу предоставить для анализа).
логи прилагаю
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Здравствуйте.
Отключите интернет.
Выгрузите/отключите антивирус/файрволл.
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\rescue32.exe','');
QuarantineFile('C:\DOCUME~1\roma\LOCALS~1\Temp\Temporary Internet Files\Content.IE5\9706300U\5[1].exe','');
DeleteFile('C:\DOCUME~1\roma\LOCALS~1\Temp\Temporary Internet Files\Content.IE5\9706300U\5[1].exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tweak Tool');
DeleteFile('C:\WINDOWS\system32\rescue32.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','System Rescue');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BackupRegKey('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes', 'routes');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
После перезагрузки выполните скрипт в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Запустите/включите антивирус/файрволл.
Подключите интернет.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".
В папке АВЗ появится папка Backup, в ней папка с именем текущей даты, в ней файл routes_<цыферки>.reg
Заархивируйте его и приложите здесь.
Повторите лог virusinfo_syscheck.zip и лог HijackThis и приложите в теме.
Добавлено через 1 минуту
Сообщение от
essopit
В userinit к explorer был добавлен еще один файл на запуск (файл сохранил, могу предоставить для анализа).
Заархивируйте в формате zip с паролем virus и тоже загрузите по красной ссылке вверху темы "Прислать запрошенный карантин".
Последний раз редактировалось Nikkollo; 17.11.2010 в 13:07.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 57
Доступ к сайтам открылся.
Запрошеный карантин отправил.
Новые логи и архив с вирусом прилагаю (исходный файл имел расширение exe).
Файлик не правильно прислал. переделал
Последний раз редактировалось essopit; 17.11.2010 в 13:55.
-
Пофиксите в HijackThis:
Код:
F2 - REG:system.ini: UserInit=c:\windows\explorer.exe
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - (no file)
и перезагрузите компьютер.
Какие-то проблемы остались?
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 57
Все работает.
Большое спасибо!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 6
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\rescue32.exe - Trojan-Spy.Win32.BZub.jaj ( DrWEB: Trojan.DownLoader1.36945, BitDefender: Trojan.Generic.5122445, NOD32: Win32/Spy.Ranbyus.A trojan, AVAST4: Win32:Spyware-gen [Spy] )
- \\1cleytsw.ex_ - Backdoor.Win32.Shiz.amn ( DrWEB: Trojan.Packed.20771, BitDefender: Backdoor.Generic.518060, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:Spyware-gen [Spy] )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
-