Браузеры Mozilla и Chrome открывают сами сайты (заявка № 148310) -2 [HackTool.Win32.KeyFinder.j]
Проблема была вроде бы уничтожена (см по ссылке http://virusinfo.info/showthread.php?t=148310 ). Сегодня решил пополнить базу безопасных файлов и снова появилась та же проблема: в браузерах произвольно открываются сайты с рекламой и новостями, хоть и не так часто по сравнению с прошлым разом, пока.
Кстати при попытке обновить AVZ выдаёт ошибку: Ошибка загрузки файла с обновлением обновления avzupd zip с www.z-oleg.com/secur/avz_up/(21,00000002) поэтому логи высылаю как получилось
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) CCCP239, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
1. Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:
Код:
begin
ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
QuarantineFile('C:\Users\Сергей\appdata\roaming\closer.exe','');
QuarantineFile('C:\Program Files\TNod User & Password Finder\TNODUP.exe','');
QuarantineFile('C:\Program Files (x86)\Mozilla Firefox\firefox.url','');
QuarantineFile('C:\Program Files (x86)\Internet Explorer\iexplore.url','');
DeleteFile('C:\Program Files (x86)\Internet Explorer\iexplore.url','32');
DeleteFile('C:\Program Files (x86)\Mozilla Firefox\firefox.url','32');
DeleteFile('C:\Users\Сергей\appdata\roaming\closer.exe','32');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
2. Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
3. Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.
Код:
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если самостоятельно не блокировали социальную сеть Одноклассники:
кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.
6. Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
7. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту. Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Файлы были не в C:\Program Files (x86)\tooldev342\Weatherbar\TracersToolbarBHO_x86. dll а в C:\Program Files\tooldev342\Weatherbar\TracersToolbarBHO_x86. dll
5. Ссылку на результат virustotal https://www.virustotal.com/ru/file/d...9cab/analysis/
Логи во вложении
- - - Добавлено - - -
Пока проблема осталась до перезагрузки, после пока не пойму
- - - Добавлено - - -
проблема таки осталась (((
Последний раз редактировалось CCCP239; 02.11.2013 в 04:52.
Внимание !!! База поcледний раз обновлялась 12.07.2013 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Базы AVZ обновите затем переделайте логи AVZ.
2. Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).
Код:
Обнаруженные ключи в реестре: 2
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\MobiMB Media Browser (Malware.Gen) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\New22 1.06 (Trojan.Agent) -> Действие не было предпринято.
Обнаруженные папки: 1
C:\Program Files (x86)\Compa2\New22 (Trojan.Agent) -> Действие не было предпринято.
Обнаруженные файлы:
c:\windows\system32\drivers\etc\hоsts (Hijack.Trace) -> Действие не было предпринято.
C:\Program Files (x86)\Compa2\New22\kiold.ll (Trojan.Agent) -> Действие не было предпринято.
C:\Program Files (x86)\Compa2\New22\Uninstall.exe (Trojan.Agent) -> Действие не было предпринято.
C:\Program Files (x86)\Compa2\New22\Uninstall.ini (Trojan.Agent) -> Действие не было предпринято.
C:\Program Files (x86)\Compa2\New22\vaginariot.s (Trojan.Agent) -> Действие не было предпринято.
Если не ваше или вам не знакомо, то еще удалите:
Код:
Обнаруженные файлы:
E:\Install\DaemonTLite4461-0327.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.
E:\Install\winamp563_full_emusic-7plus_all.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.
G:\видео\MediaGet_id64668ids2s.exe (PUP.Adware.MediaGet) -> Действие не было предпринято.
L:\музыка\быстрые\Dj_-_Novaya_Tancevalnaya_Muzyka_2013_(iPlayer.fm).exe (PUP.Optional.InstallMonstr.A) -> Действие не было предпринято.
C:\Program Files\MobiMB Media Browser\_Unins.exe (Malware.Gen) -> Действие не было предпринято.
После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.
При попытке обновить AVZ выдаёт ошибку: Ошибка загрузки файла с обновлением обновления avzupd zip с www.z-oleg.com/secur/avz_up/(21,00000002), писал об этом выше, остальное сейчас сделаю
перезагрузил роутер, сейчас тестирую, день-два отпишусь какая ситуация
Проблема не устранена. А где именно в настройках роутера может быть вредоносные DNS?
Последний раз редактировалось CCCP239; 03.11.2013 в 00:44.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: