Вечер добрый. Подхватил данную заразу. Интернет работает нестабильно, в соц. сети даже не суюсь.
Прошу помощи.
Вечер добрый. Подхватил данную заразу. Интернет работает нестабильно, в соц. сети даже не суюсь.
Прошу помощи.
Здравствуйте.
Отключите:
-ПК от интернета
-Все защитные приложения
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\system32\6.tmp',''); QuarantineFile('C:\WINDOWS\system32\5.tmp',''); QuarantineFile('C:\WINDOWS\system32\4.tmp',''); QuarantineFile('C:\WINDOWS\system32\3.tmp',''); QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\SYS83.exe',''); QuarantineFile('C:\WINDOWS\system32\ppxlpil.dll',''); DeleteFile('C:\WINDOWS\system32\ppxlpil.dll'); DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\SYS83.exe'); DeleteFile('C:\WINDOWS\system32\3.tmp'); DeleteFile('C:\WINDOWS\system32\4.tmp'); DeleteFile('C:\WINDOWS\system32\5.tmp'); DeleteFile('C:\WINDOWS\system32\6.tmp'); DelCLSID('28ABC5C0-4FCB-33CF-AAX5-35GX1C642122'); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', ''); RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,3,true); BC_Activate; RebootWindows(true); end.
Затем выполните ещё один скрипт:
И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "Прислать запрошенный карантин" наверху темы).Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Сделайте повторные логи.
Скрипты выполнил. Карантин отправил. Логи повторил.
Чисто, что с проблемой?
Файл hosts сами правили?
Проблема исчезла, огромное спасибо!
С hosts да, сам правил. Где-то с год назад словил что-то похожее на рекламный модуль, который периодически вместе с нужными страничками открывал левые страницы с рекламой. Проблему решил игнорированием рекламных сайтов через hosts.
Еще раз огромное спасибо за помощь.
Беда. Через пару часов вирус вылез как ни в чем не бывало. Судя по соседним темам - проблема массовая.
Прикрепляю логи.
upd. Пустил скрипт из второго поста - помогло. Немного наблюдений - если в первый раз перезагрузка компьютера показалась мне случайной (а именно после "внезапной" перезагрузки посреди серфинга компьютер возвращается уже с трояном на борту), то во второй раз машина споткнулась и ребутнулась на том же самом сайте. Ради интереса провернул всю схему (заход на сайт - перезагрузка - скрипт) третий раз и действительно я заразился и тут же исцелился. Вопрос к знатокам - возможно ли такое? Т.е. я просто открываю сайт, ничего (вообще ничего) на нем не делаю, но через 2-3 секунды после открытия комп уход в ребут и выходит заболевшим. Это значит проблема в сайте и булки стоит напрячь его админам?
Посерфил 15 минут - пока жалоб нет, на злополучный сайт пока нос сувать не буду.
Последний раз редактировалось Bollin; 19.07.2011 в 04:38.
1.Профиксите в HijackThis
2. Выполните скрипт в AVZКод:R3 - Default URLSearchHook is missing O2 - BHO: free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} - (no file) O3 - Toolbar: free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} - (no file)
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); DeleteFile('C:\WINDOWS\system32\ppxlpil.dll'); DeleteFile('C:\WINDOWS\system32\4.tmp'); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows','AppInit_DLLs',''); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(true); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Сделайте лог MBAM
Все сделал. MBAM ругался на 1 файл, но его трогать пока не стал, жду ваших указаний.
плохого не видно
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 17
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\ppxlpil.dll - Trojan-Ransom.Win32.Cidox.cp ( DrWEB: Trojan.Mayachok.based, BitDefender: Trojan.Generic.6331016, NOD32: Win32/Agent.SFM trojan, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\3.tmp - Trojan-Ransom.Win32.Cidox.cp ( DrWEB: Trojan.Mayachok.based, BitDefender: Trojan.Generic.6331016, NOD32: Win32/Agent.SFM trojan, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\4.tmp - Trojan-Ransom.Win32.Cidox.cp ( DrWEB: Trojan.Mayachok.based, BitDefender: Trojan.Generic.6331016, NOD32: Win32/Agent.SFM trojan, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\5.tmp - Trojan-Ransom.Win32.Cidox.cp ( DrWEB: Trojan.Mayachok.based, BitDefender: Trojan.Generic.6331016, NOD32: Win32/Agent.SFM trojan, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\6.tmp - Trojan-Ransom.Win32.Cidox.cp ( DrWEB: Trojan.Mayachok.based, BitDefender: Trojan.Generic.6331016, NOD32: Win32/Agent.SFM trojan, AVAST4: Win32:Malware-gen )
Уважаемый(ая) Bollin, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.