-
Junior Member
- Вес репутации
- 48
Ругательства Браузеров на Trojan.Win32.Ddox.ci + фейк-страницы.
День Добрый!
Первый раз такое встречаю - при открывании Oper'ы вылезает огромное прикрепленое к верху страницы сообщение о "Вмешательстве в работу браузера" и о критичиских обновлениях (которые за деньги). Трабл и в Лисе, т.к. в соц. сети не пускает, просит номер мобильного, а потом ответить на смс.
Откуда могла взяться, ума не приложу.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Здравствуйте.
Отключите:
-Все защитные приложения
-ПК от интернета
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('C:\Program Files\pchd\PCHDPlayer.exe');
QuarantineFile('C:\Program Files\pchd\PCHDPlayer.exe','');
QuarantineFile('PLOADER_SCBW.DLL','');
QuarantineFile('C:\WINDOWS\w_browser.exe','');
QuarantineFile('C:\WINDOWS\system32\twext.exe','');
QuarantineFile('C:\WINDOWS\system32\brinpcn.dll','');
DeleteFile('C:\Program Files\pchd\PCHDPlayer.exe');
DeleteFile('C:\WINDOWS\system32\brinpcn.dll');
DeleteFile('C:\WINDOWS\system32\twext.exe');
DeleteFileMask('C:\Program Files\pchd', '*.*', true);
DeleteDirectory('C:\Program Files\pchd');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', '');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(3);
ExecuteRepair(4);
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Затем выполните ещё один скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "Прислать запрошенный карантин" наверху темы).
Сделайте повторные логи.
-
-
Junior Member
- Вес репутации
- 48
hedgars,
выполнил. Уже глядя на скрипт понял где был косяк мой. Спасибо огромное, что указали на ошибку!
Логи прилагаются.
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\w_browser.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Больше ничего подозрительного.
Очень желательно деинсталлировать PartyPoker - это Adware.
Добавлено через 3 минуты
Установите:
-SP3 (может потребоваться активация) + все обновления отсюда.
-IE8.
Откройте файл ScanVuln.txt и выполните его как скрипт в AVZ. По окончанию проверки в папке AVZ образуется файл avz_log.txt. Откройте его и скачайте программы по ссылкам, которые там указаны. Затем перезагрузите Ваш ПК и выполните скрипт повторно, дабы убедится, что уязвимости устранены.
Последний раз редактировалось Acidorum; 08.04.2011 в 18:21.
Причина: Добавлено
-
-
А также рекомендуется поменять все пароли
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 12
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\brinpcn.dll - Trojan.Win32.Zapchast.ffq ( DrWEB: Trojan.Mayachok.based, BitDefender: Trojan.Generic.KDV.194817, AVAST4: Win32:MalOb-HG [Cryp] )
- c:\\windows\\w_browser.exe - Trojan-Downloader.Win32.Delf.afag ( DrWEB: Trojan.Hosts.1538, BitDefender: Gen:Trojan.Heur.DP.rGW@aGK6tnge, AVAST4: Win32:Malware-gen )
-