Показано с 1 по 9 из 9.

подмена содержимого страниц explorer (заявка № 42018)

  1. #1
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.07.2007
    Сообщений
    92
    Вес репутации
    42

    Thumbs up подмена содержимого страниц explorer

    Вместо любого сайта открывается порно-реклама, в настройках прописан какой-то прокси волшебный, да еще к тому же имя и пароль подключения подменены. логи в теме.
    Вложения Вложения

  2. Реклама
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    1. Отключите восстановление системы и антивирус.
    2. Выполните скрипт в AVZ:

    Код:
    begin
     ClearQuarantine;
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DelBHO('{20D9BE3A-C204-48FB-9988-513409575D5F}');
     QuarantineFile('C:\Documents and Settings\All Users\Application Data\viylib.dll','');
     QuarantineFile('C:\WINDOWS\system32\servises.dll','');
     QuarantineFile('C:\WINDOWS\system32\zpx2.exe','');
     RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-611111193423}');
     RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-611111193429}');
     RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-615111193427}');
     RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{64311111-1111-1121-1111-111191113457}');
     RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{E cellSpacing=5 cellPadding=3 width=400}');
     DeleteFile('C:\Documents and Settings\All Users\Application Data\viylib.dll');
     DeleteFile('C:\WINDOWS\system32\crypts.dll');
     DeleteFile('C:\WINDOWS\system32\servises.dll');
     DeleteFile('C:\WINDOWS\system32\zpx2.exe');
     DeleteFile('C:\WINDOWS\System32\vbsys2.dll');
     DeleteFile('crypts.dll');
     DeleteFile('digeste.dll');
     BC_ImportAll;
     ExecuteSysClean;
     BC_DeleteSvc('winsecguard');
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится!
    Пришлите карантин согласно приложению 3 правил.
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=42018

    3. Повторите логи.
    Наша служба, будто сердце, отдыха не знает никогда.

  4. #3
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.07.2007
    Сообщений
    92
    Вес репутации
    42

    новые логи

    сделано
    Вложения Вложения

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Пофиксите в HijackThis:
    Код:
    O4 - HKLM\..\Run: [servises] C:\WINDOWS\system32\servises.exe
    O4 - HKLM\..\Policies\Explorer\Run: [servises] C:\WINDOWS\system32\servises.exe
    O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [servises] C:\WINDOWS\system32\servises.exe (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [servises] C:\WINDOWS\system32\servises.exe (User 'Default user')
    O20 - Winlogon Notify: crypt - C:\WINDOWS\
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     QuarantineFile('C:\WINDOWS\system32\servises.exe','');
     DeleteFile('C:\WINDOWS\system32\servises.dll');
     DeleteFile('C:\WINDOWS\system32\servises.exe');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите новый карантин согласно приложению 3 правил.
    Сделайте новые логи (только п.2 и 3 раздела Диагностика).
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.07.2007
    Сообщений
    92
    Вес репутации
    42

    сделано

    да, я там касперского воткнул, думал все он там еще кой-чего поискал.
    логи вот:
    Вложения Вложения

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    Ничего зловредного в логах нет.
    Наша служба, будто сердце, отдыха не знает никогда.

  8. #7
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Вот это еще надо пофиксить:
    Код:
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:8600
    Ну и дежурный совет: ставьте SP3 и последующие обновления.
    I am not young enough to know everything...

  9. #8
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.07.2007
    Сообщений
    92
    Вес репутации
    42
    команда хелперов virusinfo - неизменно превосходный результат

    спасибо!

  10. #9
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,557
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 10
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\documents and settings\all users\application data\viylib.dll - Trojan.Win32.Agent2.efa ( DrWEB: Trojan.Blackmailer.982 )
      2. c:\windows\system32\servises.dll - Backdoor.Win32.Agent.aecj ( DrWEB: BackDoor.Tdss.93, BitDefender: Backdoor.Generic.165530 )


  • Уважаемый(ая) antivor, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Подмена интернет страниц в IE 9
      От ViacheslavZ в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 20.03.2012, 15:54
    2. Ответов: 9
      Последнее сообщение: 18.05.2011, 08:21
    3. KIS : Обход фильтра содержимого веб-страниц
      От antanta в разделе Уязвимости
      Ответов: 10
      Последнее сообщение: 15.08.2010, 17:27
    4. Подмена страниц (заявка №4543)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 4
      Последнее сообщение: 12.02.2010, 00:02
    5. Подмена содержимого страницы в Internet Explorer 7
      От ALEX(XX) в разделе Уязвимости
      Ответов: 1
      Последнее сообщение: 31.10.2006, 20:44

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00430 seconds with 22 queries