Ругательства Браузеров на Trojan.Win32.Ddox.ci + фейк-страницы.
День Добрый!
Первый раз такое встречаю - при открывании Oper'ы вылезает огромное прикрепленое к верху страницы сообщение о "Вмешательстве в работу браузера" и о критичиских обновлениях (которые за деньги). Трабл и в Лисе, т.к. в соц. сети не пускает, просит номер мобильного, а потом ответить на смс.
Откуда могла взяться, ума не приложу.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Здравствуйте.
Отключите:
-Все защитные приложения
-ПК от интернета
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); TerminateProcessByName('C:\Program Files\pchd\PCHDPlayer.exe'); QuarantineFile('C:\Program Files\pchd\PCHDPlayer.exe',''); QuarantineFile('PLOADER_SCBW.DLL',''); QuarantineFile('C:\WINDOWS\w_browser.exe',''); QuarantineFile('C:\WINDOWS\system32\twext.exe',''); QuarantineFile('C:\WINDOWS\system32\brinpcn.dll',''); DeleteFile('C:\Program Files\pchd\PCHDPlayer.exe'); DeleteFile('C:\WINDOWS\system32\brinpcn.dll'); DeleteFile('C:\WINDOWS\system32\twext.exe'); DeleteFileMask('C:\Program Files\pchd', '*.*', true); DeleteDirectory('C:\Program Files\pchd'); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', ''); RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(3); ExecuteRepair(4); ExecuteWizard('TSW',2,3,true); BC_Activate; RebootWindows(true); end.
Затем выполните ещё один скрипт:
И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "Прислать запрошенный карантин" наверху темы).Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Сделайте повторные логи.
hedgars,
выполнил. Уже глядя на скрипт понял где был косяк мой. Спасибо огромное, что указали на ошибку!
Логи прилагаются.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('C:\WINDOWS\w_browser.exe'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,3,true); BC_Activate; RebootWindows(true); end.
Больше ничего подозрительного.
Очень желательно деинсталлировать PartyPoker - это Adware.
Добавлено через 3 минуты
Установите:
-SP3 (может потребоваться активация) + все обновления отсюда.
-IE8.
Откройте файл ScanVuln.txt и выполните его как скрипт в AVZ. По окончанию проверки в папке AVZ образуется файл avz_log.txt. Откройте его и скачайте программы по ссылкам, которые там указаны. Затем перезагрузите Ваш ПК и выполните скрипт повторно, дабы убедится, что уязвимости устранены.
Последний раз редактировалось Acidorum; 08.04.2011 в 18:21. Причина: Добавлено
А также рекомендуется поменять все пароли
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 12
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\brinpcn.dll - Trojan.Win32.Zapchast.ffq ( DrWEB: Trojan.Mayachok.based, BitDefender: Trojan.Generic.KDV.194817, AVAST4: Win32:MalOb-HG [Cryp] )
- c:\\windows\\w_browser.exe - Trojan-Downloader.Win32.Delf.afag ( DrWEB: Trojan.Hosts.1538, BitDefender: Gen:Trojan.Heur.DP.rGW@aGK6tnge, AVAST4: Win32:Malware-gen )
Уважаемый(ая) solving-man, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
