Здравствуйте. Столкнулся сегодня с этой гадостью, которая при запуске windows запускает любой браузер, указанный по умолчанию, на страницу lyll.net. Проверка несколькими антивирусами ничего не дала. Логи HjT прилагаю.
Заранее благодарю за помощь.
Здравствуйте. Столкнулся сегодня с этой гадостью, которая при запуске windows запускает любой браузер, указанный по умолчанию, на страницу lyll.net. Проверка несколькими антивирусами ничего не дала. Логи HjT прилагаю.
Заранее благодарю за помощь.
Последний раз редактировалось Barmaglott; 24.05.2013 в 08:52. Причина: Добавил образ автозапуска uVS
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Barmaglott, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Barmaglott,
1. Сделайте полный образ автозапуска uVS
2. Посмотрите свойства ярлыка, возможно сайт запускается через него!
Ничего подозрительного в свойствах ярлыков нет. Сначала вирус запускал Google Chrome, после его удаления - стандартный IE. В логах uVS сначала находились ссылки на уже удалённый Хром, но их удаление ничего не дало. Полный образ автозавпуска прикрепил к первому сообщению.
- - - Добавлено - - -
Решение проблемы нашлось в соседней теме. Обновил Adobe Reader, пофиксил Adobe.exe через HjT.
Выполните скрипт в uVSКомпьютер перезагрузится.Код:;uVS v3.77.16 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 zoo %SystemRoot%\ADOBE FLASH PLAYER\ADOBE.EXE delall %SystemRoot%\ADOBE FLASH PLAYER\ADOBE.EXE exec MSIEXEC.EXE /quiet /X{26A24AE4-039D-4CA4-87B4-2F86417011FF} exec MSIEXEC.EXE /quiet /X{26A24AE4-039D-4CA4-87B4-2F83217015FF} deltmp restart
Уведомление
Данный скрипт удалит Java, т. к. в установленной версии имеются критические ошибки, позволяющие выполнить вредоносный код в целевой системе. Проще говоря - при заходе на сайт с вредоносным кодом внедрить в систему без ведома пользователя трояна.
Если Java нужна, т.е. без неё не работают какие-либо сайты, онлайн-игры и т. п., скачайте и установите Java 7 Update 21. Для большинства сайтов Java не нужна и является потенциальной дырой в безопасности.
Скопируйте всё содержимое страницы http://dataforce.ru/~kad/ScanVuln.txt в буфер обмена ( Ctrl-A, Ctrl-C) и выполните как скрипт в AVZ - меню "Файл" -> "Выполнить скрипт", вставить буфер обмена - Ctrl-V - и нажать "Запустить". После его работы, если будут найдены уязвимости, в папке LOG появится айл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
WBR,
Vadim
Уважаемый(ая) Barmaglott, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
