Браузер зафиксировал попытки изменения в его работе

[UFO25]

Собственно сабж

[Info_bot]

Уважаемый(ая) UFO25, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\vvqzsld.dll','');
 DeleteFile('C:\WINDOWS\system32\vvqzsld.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Обновите базы AVZ

Сделайте новые логи

Сделайте лог gmer

[UFO25]

сделал

[polword]

- Сохраните текст ниже как 1.bat в ту же папку, где находится gmer.exe (GMER) и запустите этот батник(1.bat):

Код:

gmer.exe -del service bdoslt 
gmer.exe -del file "C:\WINDOWS\system32\nipdu.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\bdoslt "
gmer.exe reg "HKLM\SYSTEM\ControlSet002\Services\bdoslt "
gmer.exee -reboot

Компьютер перезагрузится.

После перезагрузки:
- Выполните скрипт в AVZ

Код:

begin
 SetAVZPMStatus(true);
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 RebootWindows(true);
end.

После перезагрузки:
- Сделайте повторный лог virusinfo_syscheck.zip
- Сделайте новый лог Gmer

[UFO25]

выполнил

[thyrex]

1. Откройте Блокнот и скопируйте в него текст скрипта

Код:

c04oewbp.exe -del service bdoslt
c04oewbp.exe -del service nnrqzswbb
c04oewbp.exe -del file "C:\WINDOWS\system32\nipdu.dll"
c04oewbp.exe -del file "C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\cache\g_005E\opr05IZS.tmp"
c04oewbp.exe -del file "C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\cache\g_005E\opr05IZT.tmp"
c04oewbp.exe -del file "C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\cache\g_005E\opr05J09.tmp"
c04oewbp.exe -del file "C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\cache\g_005E\opr05J0C.tmp"
c04oewbp.exe -del file "C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\cache\g_005E\opr05J0D.tmp"
c04oewbp.exe -del file "C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\cache\g_005F\opr05J0I.tmp"
c04oewbp.exe -del file "C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\cache\g_005F\opr05J0U.tmp"
c04oewbp.exe -del file "C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\cache\g_005F\opr05J0X.tmp"
c04oewbp.exe -del file "C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\cache\g_005F\opr05J0Y.tmp"
c04oewbp.exe -del file "C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\cache\g_005F\opr05J12.tmp"
c04oewbp.exe -del file "C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\cache\g_005F\opr05J18.tmp"
c04oewbp.exe -del file "C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\cache\g_005F\opr05J1C.tmp"
c04oewbp.exe -del file "C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\cache\g_005F\opr05J1E.tmp"
c04oewbp.exe -del file "C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\cache\g_005F\opr05J1G.tmp"
c04oewbp.exe -del file "C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\cache\g_005F\opr05J2J.tmp"
c04oewbp.exe -del file "C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\cache\g_005F\opr05J3I.tmp"
c04oewbp.exe -del file "C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\cache\g_005F\opr05J3R.tmp"
c04oewbp.exe -del file "C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\cache\g_005F\opr05J3U.tmp"
c04oewbp.exe -del file "C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\cache\g_005F\opr05J3V.tmp"
c04oewbp.exe -del file "C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\cache\g_005F\opr05J3W.tmp"
c04oewbp.exe -del file "C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\cache\g_005F\opr05J3X.tmp"
c04oewbp.exe -del file "C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\cache\g_0060\opr05J6X.tmp"
c04oewbp.exe -del file "C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\cache\g_0060\opr05J76.tmp"
c04oewbp.exe -del file "C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\cache\g_0061\opr05J7M.tmp"
c04oewbp.exe -del file "C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\cache\g_0061\opr05J8K.tmp"
c04oewbp.exe -del file "C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\cache\g_0062\opr05JD6.tmp"
c04oewbp.exe -del file "C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\cache\g_0063\opr05JH7.tmp"
c04oewbp.exe -del file "C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\cache\g_0064\opr05JIQ.tmp"
c04oewbp.exe -del file "C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\cache\g_0064\opr05JJ9.tmp"
c04oewbp.exe -del file "C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\cache\g_0064\opr05JI8.tmp"
c04oewbp.exe -del file "C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\cache\g_0064\opr05JIA.tmp"
c04oewbp.exe -del file "C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\cache\g_0064\opr05JIB.tmp"
c04oewbp.exe -del file "C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\cache\g_0064\opr05JIC.tmp"
c04oewbp.exe -del file "C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\cache\g_0064\opr05JID.tmp"
c04oewbp.exe -del file "C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\cache\g_0064\opr05JIE.tmp"
c04oewbp.exe -del file "C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\cache\g_0064\opr05JIF.tmp"
c04oewbp.exe -del file "C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\cache\g_0064\opr05JIG.tmp"
c04oewbp.exe -del file "C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\cache\g_0064\opr05JIH.tmp"
c04oewbp.exe -del file "C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\cache\g_0064\opr05JII.tmp"
c04oewbp.exe -del file "C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\cache\g_0064\opr05JIJ.tmp"
c04oewbp.exe -del file "C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\cache\g_0064\opr05JIK.tmp"
c04oewbp.exe -del file "C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\cache\g_0064\opr05JIL.tmp"
c04oewbp.exe -del file "C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\cache\g_0064\opr05JIN.tmp"
c04oewbp.exe -del file "C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\cache\g_0064\opr05JIO.tmp"
c04oewbp.exe -del file "C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\cache\g_0064\opr05JIP.tmp"
c04oewbp.exe -del file "C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\cache\g_0064\opr05JIR.tmp"
c04oewbp.exe -del file "C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\cache\g_0064\opr05JIS.tmp"
c04oewbp.exe -del file "C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\cache\g_0064\opr05JIT.tmp"
c04oewbp.exe -del file "C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\cache\g_0064\opr05JIU.tmp"
c04oewbp.exe -del file "C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\cache\g_0064\opr05JIV.tmp"
c04oewbp.exe -del file "C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\cache\g_0064\opr05JIW.tmp"
c04oewbp.exe -del file "C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\cache\g_0064\opr05JIX.tmp"
c04oewbp.exe -del file "C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\cache\g_0064\opr05JIY.tmp"
c04oewbp.exe -del file "C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\cache\g_0064\opr05JIZ.tmp"
c04oewbp.exe -del file "C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\cache\g_0064\opr05JJ0.tmp"
c04oewbp.exe -del file "C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\cache\g_0064\opr05JJ1.tmp"
c04oewbp.exe -del file "C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\cache\g_0064\opr05JJ2.tmp"
c04oewbp.exe -del file "C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\cache\g_0064\opr05JJ3.tmp"
c04oewbp.exe -del file "C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\cache\g_0064\opr05JJ4.tmp"
c04oewbp.exe -del file "C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\cache\g_0064\opr05JJ5.tmp"
c04oewbp.exe -del file "C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\cache\g_0064\opr05JJ7.tmp"
c04oewbp.exe -del file "C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\cache\g_0064\opr05JJ8.tmp"
c04oewbp.exe -del file "C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\cache\g_0064\opr05JJA.tmp"
c04oewbp.exe -del file "C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\cache\g_0064\opr05JJB.tmp"
c04oewbp.exe -del file "C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\cache\g_0064\opr05JJC.tmp"
c04oewbp.exe -del file "C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\cache\g_0064\opr05JJF.tmp"
c04oewbp.exe -del file "C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\cache\g_0064\opr05JJG.tmp"
c04oewbp.exe -del file "C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\cache\g_0064\opr05JJH.tmp"
c04oewbp.exe -del file "C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\cache\g_0064\opr05JJI.tmp"
c04oewbp.exe -del file "C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\cache\g_0064\opr05JJJ.tmp"
c04oewbp.exe -del file "C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\cache\g_0064\opr05JJK.tmp"
c04oewbp.exe -del file "C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\cache\g_0064\opr05JJL.tmp"
c04oewbp.exe -del file "C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\cache\g_0064\opr05JJN.tmp"
c04oewbp.exe -del file "C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\cache\g_0064\opr05JJO.tmp"
c04oewbp.exe -del file "C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\cache\g_0064\opr05JJP.tmp"
c04oewbp.exe -del file "C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\cache\g_0064\opr05JJQ.tmp"
c04oewbp.exe -del file "C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\cache\g_0064\opr05JJR.tmp"
c04oewbp.exe -del file "C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\cache\g_0064\opr05JJS.tmp"
c04oewbp.exe -del file "C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\cache\sesn\opr05J1A.tmp"
c04oewbp.exe -del file "C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\cache\sesn\opr05JG1.tmp"
c04oewbp.exe -del file "C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\cache\sesn\opr05JJ6.tmp"
c04oewbp.exe -del file "C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\cache\sesn\opr05JJE.tmp"
c04oewbp.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\bdoslt"
c04oewbp.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\nnrqzswbb"
c04oewbp.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\bdoslt"
c04oewbp.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\nnrqzswbb"
c04oewbp.exe -reboot

2. Нажмите Файл - Сохранить как
3. Выберите ту папку, где находится c04oewbp.exe (gmer)
4. Укажите Тип файла - Все файлы (*.*)
5. Введите имя файла cleanup.bat и нажмите кнопку Сохранить
6. Запустите cleanup.bat

ВНИМАНИЕ: Компьютер перезагрузится!!!

Сделайте новый лог gmer

[UFO25]

сделал

[thyrex]

1. Откройте Блокнот и скопируйте в него текст скрипта

Код:

c04oewbp.exe -del service kvvtn
c04oewbp.exe -del file "C:\WINDOWS\system32\nipdu.dll"
c04oewbp.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kvvtn"
c04oewbp.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\bdoslt"
c04oewbp.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\nnrqzswbb"
c04oewbp.exe -reboot

2. Нажмите Файл - Сохранить как
3. Выберите папку, в которую сохранили c04oewbp.exe (gmer)
4. Укажите Тип файла - Все файлы (*.*)
5. Введите имя файла cleanup.bat и нажмите кнопку Сохранить
6. Запустите cleanup.bat

ВНИМАНИЕ: Компьютер перезагрузится!!!

Сделайте новый лог gmer

Установите все новые обновления для Windows

[UFO25]

Сделал. Но из скрипта выполнин только первые 2 команды. На остальных вылезла ошибка. После ребута проблема не решилась

[UFO25]

при переходе на новые обновления для Windows кидает не левый сайт, где предлогают отправить смс

[UFO25]

обновления установил. проблема не решена

[UFO25]

про меня не забыли? а то тема далеко уехала...

[Bratez]

Выполните скрипт в AVZ:

Код:

Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer; 
KeyList : TStringList;
KeyName : string;                           
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
 begin
 KeyName := AName+'\'+KeyList[i];
 RegKeyResetSecurity(ARoot, KeyName);
 RegKeyResetSecurityEx(ARoot, KeyName);
 end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
 i : integer;
 KeyList : TStringList;
 KeyName : string;                           
begin
 Result := 0;
 if StopService(AServiceName) then Result := Result or 1;
 if DeleteService(AServiceName,  not(AIsSvcHosted)) then Result := Result or 2;
 KeyList := TStringList.Create;
 RegKeyEnumKey('HKLM','SYSTEM', KeyList);
 for i := 0 to KeyList.Count-1 do
  if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
   KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;                                     
   if RegKeyExistsEx('HKLM', KeyName) then begin
    Result := Result or 4;                  
    RegKeyResetSecurityEx('HKLM', KeyName);
    RegKeyDel('HKLM', KeyName);
    if RegKeyExistsEx('HKLM', KeyName) then               
     Result := Result or 8;                  
   end;
  end;                 
 if AIsSvcHosted then
  BC_DeleteSvcReg(AServiceName)
 else
  BC_DeleteSvc(AServiceName);
 KeyList.Free;
end;
begin
BC_ServiceKill('gghavmm');
BC_ServiceKill('jemggo');
BC_ServiceKill('sjvwvqd');
BC_ServiceKill('ypoxxv');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Сделайте новые логи п.2 раздела Диагностика и gmer.

[UFO25]

[UFO25]

проблему можно как то решить? или будет проще снести систему, что конечно не желательно

[Bratez]

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\system32\vvqzsld.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Сделайте новый лог virusinfo_syscheck (только п.2 раздела Диагностика).

[UFO25]

.

[thyrex]

Сделайте лог ComboFix

[UFO25]

проблема вроде как решена!