-
Junior Member
- Вес репутации
- 47
Проблемы с отображением страниц в браузере...
Проблема заключается в том что почти не на один сайт не могу зайти... Приходится сидеть через "анимайзеры" Да и в трее есть подозрительная программа которую не могу найти и удалить да и сам процесс программы очень странный... Прошу вашей помощи)) Логи прилагаю )
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) ArSmail, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Загрузите virusinfo_cure.zip из папки AVZ\LOG по красной ссылке вверху темы "Прислать запрошенный карантин".
Установите все обновления безопасности, вышедшие после Service Pack 3:
http://windowsupdate.microsoft.com/
Обновите Internet Explorer до актуальной версии (даже если не используете):
http://windows.microsoft.com/ru-RU/i...r/downloads/ie
Выполните скрипт в AVZ:
Код:
Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
begin
KeyName := AName+'\'+KeyList[i];
RegKeyResetSecurity(ARoot, KeyName);
RegKeyResetSecurityEx(ARoot, KeyName);
end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
Result := 0;
if StopService(AServiceName) then Result := Result or 1;
if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2;
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
if RegKeyExistsEx('HKLM', KeyName) then begin
Result := Result or 4;
RegKeyResetSecurityEx('HKLM', KeyName);
RegKeyDel('HKLM', KeyName);
if RegKeyExistsEx('HKLM', KeyName) then
Result := Result or 8;
end;
end;
if AIsSvcHosted then
BC_DeleteSvcReg(AServiceName)
else
BC_DeleteSvc(AServiceName);
KeyList.Free;
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\dmstyl.dll','');
AddToLog(inttostr(BC_ServiceKill('bcoxbdo')) );
SaveLog(GetAVZDirectory+'avz_log.txt');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
После перезагрузки выполните скрипт в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".
Повторите лог virusinfo_syscheck.zip и приложите в теме.
-
-
Junior Member
- Вес репутации
- 47
-
1. Закройте все открытые приложения (программы), кроме АVZ и браузера (Mozilla Firefox, Opera, Google Chrome, Internet Explorer).
Отключите:
- ПК от интернета/локальной сети;
- Выгрузите антивирус и/или Файрвол;
- Выполните скрипт в AVZ ("Файл - Выполнить скрипт" или в англ.версии "File - Custom scripts"). Скопируйте текст кода и вставьте в окно, нажмите "Выполнить (Run)":
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
TerminateProcessByName('c:\documents and settings\localservice\local settings\application data\yuw.exe');
QuarantineFile('c:\documents and settings\localservice\local settings\application data\yuw.exe','');
QuarantineFile('C:\WINDOWS\system32\dmstyl.dll','');
QuarantineFile('C:\WINDOWS\system32\reset5c.dll','');
DeleteFile('C:\WINDOWS\system32\reset5c.dll');
DeleteFile('C:\WINDOWS\system32\dmstyl.dll');
DeleteFile('c:\documents and settings\localservice\local settings\application data\yuw.exe');
DelBHO('{80D29495-3BE3-4CC0-A8B4-4495A5EC1229}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
ExecuteWizard('SCU',2,2,true);
RebootWindows(true);
end.
Компьютер перезагрузится.
2. После перезагрузки выполните такой скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine1.zip');
end.
3. Файл quarantine1.zip из корня папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы;
4. Сделайте повторные логи по правилам п.2 и п.3 раздела "Диагностика" (virusinfo_syscheck.zip; hijackthis.log);
5. Сделайте лог лог полного сканирования MBAM.
[RIGHT][URL="http://z-oleg.com/avz4.zip"]AVZ[/URL] [URL="http://go.trendmicro.com/free-tools/hijackthis/HiJackThis.exe"]HijackThis[/URL] [URL="http://virusinfo.info/pravila.html"]Правила раздела "Помогите!"[/URL][/RIGHT]
[RIGHT][URL="http://virusinfo.info/forumdisplay.php?f=70"]ЧаВО[/URL] [URL="http://fileforum.betanews.com/download/Malwarebytes-AntiMalware/1186760019/1"]Malwarebyte's AntiMalware[/URL][/RIGHT]
[RIGHT][URL="http://z-oleg.com/secur/avz_up/avzbase.zip"]Актуальные базы АВЗ[/URL][/RIGHT]
-
После выполнения скриптов в сообщении #5, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\documents and settings\localservice\local settings\application data\google\update\googleupdatebeta.exe');
BC_DeleteSvc('GoogleUpdateBeta');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Затем выполните указания 3, 4 и 5 в сообщении #5.
-
-
Junior Member
- Вес репутации
- 47
-
Здравствуйте.
Удалите в MBAM:
Код:
Заражённые ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\reset5c (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_GOOGLEUPDATEBETA (Trojan.Agent) -> No action taken.
Заражённые параметры в реестре:
HKEY_CLASSES_ROOT\.exe\shell\open\command\(default) (Hijack.ExeFile) -> Value: (default) -> No action taken.
Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command\(default) (Hijack.StartMenuInternet) -> Bad: ("C:\Documents and Settings\LocalService\Local Settings\Application Data\yuw.exe" -a "D:\Программы\Mozilla\firefox.exe") Good: (firefox.exe) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\safemode\command\(default) (Hijack.StartMenuInternet) -> Bad: ("C:\Documents and Settings\LocalService\Local Settings\Application Data\yuw.exe" -a "D:\Программы\Mozilla\firefox.exe" -safe-mode) Good: (firefox.exe -safe-mode) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command\(default) (Hijack.StartMenuInternet) -> Bad: ("C:\Documents and Settings\LocalService\Local Settings\Application Data\yuw.exe" -a "C:\Program Files\Internet Explorer\iexplore.exe") Good: (iexplore.exe) -> No action taken.
Заражённые файлы:
c:\documents and settings\Admin\мои документы\Загрузки\gold_hack.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\рабочий стол\AVZ\quarantine\2011-05-26\avz00001.dta (PUP.PSWTool.ProductKey) -> No action taken.
c:\documents and settings\Admin\рабочий стол\AVZ\quarantine\2011-05-27\avz00001.dta (PUP.PSWTool.ProductKey) -> No action taken.
c:\documents and settings\Admin\рабочий стол\AVZ\quarantine\2011-05-29\avz00001.dta (PUP.PSWTool.ProductKey) -> No action taken.
c:\documents and settings\localservice\local settings\temporary internet files\Content.IE5\2MBMAEMN\20110501[1].exe (Trojan.Agent) -> No action taken.
c:\documents and settings\localservice\local settings\temporary internet files\Content.IE5\2MBMAEMN\20110509[1].exe (Trojan.Agent) -> No action taken.
c:\documents and settings\localservice\local settings\temporary internet files\Content.IE5\2MBMAEMN\20110521[1].exe (Trojan.Agent) -> No action taken.
c:\documents and settings\localservice\local settings\temporary internet files\Content.IE5\2PAV48DM\20110507[1].exe (Trojan.Agent) -> No action taken.
c:\documents and settings\localservice\local settings\temporary internet files\Content.IE5\2PAV48DM\20110519[1].exe (Trojan.Agent) -> No action taken.
c:\documents and settings\localservice\local settings\temporary internet files\Content.IE5\2PAV48DM\win_update_2011-04-29[1].exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\localservice\local settings\temporary internet files\Content.IE5\CE07TIB6\20110503[1].exe (Trojan.Agent) -> No action taken.
c:\documents and settings\localservice\local settings\temporary internet files\Content.IE5\CE07TIB6\20110515[1].exe (Trojan.Agent) -> No action taken.
c:\documents and settings\localservice\local settings\temporary internet files\Content.IE5\PV1GO3ZS\20110505[1].exe (Trojan.Agent) -> No action taken.
c:\documents and settings\localservice\local settings\temporary internet files\Content.IE5\PV1GO3ZS\20110517[1].exe (Trojan.Agent) -> No action taken.
c:\documents and settings\localservice\local settings\temporary internet files\Content.IE5\PV1GO3ZS\win_update_2011-05-22[1].exe (Trojan.FakeAlert) -> No action taken.
c:\documents and settings\Admin\local settings\application data\Google\Update\googleupdatebeta.exe (Trojan.Agent) -> No action taken.
Сделайте повторный лог MBAM.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 11
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\localservice\\local settings\\application data\\google\\update\\googleupdatebeta.exe - Trojan.Win32.Menti.gljh ( DrWEB: Trojan.Packed.194, BitDefender: Trojan.Generic.7438416, AVAST4: Win32:Glupteba-B [Trj] )
- c:\\windows\\system32\\cpldapu\\produkey.exe - not-a-virus:PSWTool.Win32.ProductKey.aj ( DrWEB: Tool.PassSteel.645 )
- c:\\windows\\system32\\dmstyl.dll - HEUR:Trojan.Win32.Generic ( DrWEB: Trojan.Siggen2.37908, BitDefender: Gen:Variant.Boaxxe.1, AVAST4: Win32:Boaxxe-R [Drp] )
- c:\\windows\\system32\\reset5c.dll - Trojan-Downloader.Win32.Piker.fcc ( DrWEB: Trojan.Proxy.18815, BitDefender: Gen:Variant.Kazy.20895, AVAST4: Win32:Malware-gen )
-