Продолжение темы с блокировкой сайтов в разных браузерах

**alpina** · 07.01.2013, 02:48

Продолжение темы http://virusinfo.info/showthread.php?t=129643.
Вчера ситуация была такой. Жить это не мешало, но на нервы действовало.

Блокирующих окон нет, но на некоторых страницах в самом низу имеется что-то типа текстовой версии тех же окон:

Это в браузере SRWare Iron Portable, в обновленном Интернет Эксплорере 8 и в Хроме нет.
Не похоже ли это на описанный вами здесь http://goo.gl/q6cnK Trojan.BrowseBan.480?
Кроме того, при переходе по какой-либо ссылке иногда (нечасто) открывается дополнительная вкладка с адресом iphone-fortuna.net/?flow_id=2622& или похожим (напр, iphone-fortuna.net/?flow_id=2622&code=npcmjxrj), которая перенаправляется на www.yandex.ru. Такие переходы наблюдаются как минимум еще в Хроме, насчет ИЕ не уверена.

Пока я это писала, осознала, что странные надписи появляются только в браузере SRWare Iron Portable не самой последней версии, полезла на сайт разработчика, скачала последнюю версию, надписи пропали, я немного успокоилась.
Сегодня имеем блокирующие окна во всех браузерах.
В безопасный режим загрузиться невозможно - после выбора безопасного режима черный экран с мигающим курсором.
KVRT нашел Trojan.Win32.Hosts2.gen.
После его лечения и перезагрузки в Хроме проблемы исчезли, в ИЕ 8 блокирующие окна превратились в такие же надписи, как я описывала вчера, в SRWare Iron Portable блокирующие окна остались.
Визуальный осмотр папки C:\WINDOWS\Tasks снова показал какую-то задачу At1. Чем она занимается, непонятно - командная строка в свойствах видна не до конца:

Задачу удалила.
Безопасный режим по-прежнему не грузится.
Обновила базы AVZ, выполнила скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info. Скрипт переместил в карантин dll- файл с названием из одних согласных, если не ошибаюсь, таким же, что и несколько дней назад, при создании первой темы. В смысле наличия проблем - в SRWare Iron Portable блокирующие окна остались, в ИЕ 8 исчезли надписи. В логах написано, что dll-файл успешно перемещен в карантин, но карантин пуст.
Перезагрузилась, сделала логи (приложение), dll-ка опять на том же месте.
Такое ощущение, что лечим последствия, а дверь где-то остается открытой.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 07.01.2013, 02:50

Уважаемый(ая) alpina, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**mrak74** · 07.01.2013, 03:08

Здравствуйте !!!

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\rivapa\wgsdgsdgdsgsd.dll','');
 DeleteFile('C:\Documents and Settings\rivapa\wgsdgsdgdsgsd.dll');
 DeleteFileMask('C:\Documents and Settings\rivapa','*',true);
 DeleteDirectory('C:\Documents and Settings\rivapa');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки выполните скрипт:

Код:

begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантин
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )

- - - Добавлено - - -

+ очистите кэш и cookies-файлы браузеров

**alpina** · 07.01.2013, 03:51

При выполнении скрипта он завис, когда зеленая полоска была практически полной, т.е. на стадии перегрузки. Компьютер был перегружен принудительно, виндоус еле загрузилась, на диске С внезапно освободилось гигабайт десять.
Никаких логов, как и самой программы AVZ, не осталось. Переключение раскладки клавиатуры, и то не работает. Рекомендации?

**thyrex** · 07.01.2013, 12:00

От имени администрации приношу свои извинения за несовсем корректный скрипт нашего коллеги

Восстановление системы на какую-либо предыдущую дату сделайте, пожалуйста, по возможности

**Techno** · 07.01.2013, 12:06

+
Были ли какие-нибудь важные файлы в Вашем профиле?

Если были попробуйте восстановить с помощью этого

**alpina** · 07.01.2013, 13:59

восстановление системы пробовала сделать еще ночью, точки восстановления были доступны только январские, выбрала более раннюю, получила точно ту же картину.
под профилем другого пользователя (не rivapa) все как будто бы работает. блокирующие окна никуда не делись в хроме, отсутствуют в ИЕ8.
за программу восстановления спасибо, будем пробовать.

**Techno** · 07.01.2013, 14:01

Сообщение от alpina

блокирующие окна никуда не делись в хроме

Попробуйте Очистить кеш и куки браузеров

**mrak74** · 07.01.2013, 14:27

alpina, От своего имени приношу извинения за совсем не корректный скрипт, готов оказать всестороннюю помощь в восстановлении Ваших данных, лично или удаленно.