Вместо любого сайта открывается порно-реклама, в настройках прописан какой-то прокси волшебный, да еще к тому же имя и пароль подключения подменены. логи в теме.
Вместо любого сайта открывается порно-реклама, в настройках прописан какой-то прокси волшебный, да еще к тому же имя и пароль подключения подменены. логи в теме.
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
После выполнения скрипта компьютер перезагрузится!Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); DelBHO('{20D9BE3A-C204-48FB-9988-513409575D5F}'); QuarantineFile('C:\Documents and Settings\All Users\Application Data\viylib.dll',''); QuarantineFile('C:\WINDOWS\system32\servises.dll',''); QuarantineFile('C:\WINDOWS\system32\zpx2.exe',''); RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-611111193423}'); RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-611111193429}'); RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-615111193427}'); RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{64311111-1111-1121-1111-111191113457}'); RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{E cellSpacing=5 cellPadding=3 width=400}'); DeleteFile('C:\Documents and Settings\All Users\Application Data\viylib.dll'); DeleteFile('C:\WINDOWS\system32\crypts.dll'); DeleteFile('C:\WINDOWS\system32\servises.dll'); DeleteFile('C:\WINDOWS\system32\zpx2.exe'); DeleteFile('C:\WINDOWS\System32\vbsys2.dll'); DeleteFile('crypts.dll'); DeleteFile('digeste.dll'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('winsecguard'); BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=42018
3. Повторите логи.
Сердце решает кого любить... Судьба решает с кем быть...
сделано
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:O4 - HKLM\..\Run: [servises] C:\WINDOWS\system32\servises.exe O4 - HKLM\..\Policies\Explorer\Run: [servises] C:\WINDOWS\system32\servises.exe O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [servises] C:\WINDOWS\system32\servises.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [servises] C:\WINDOWS\system32\servises.exe (User 'Default user') O20 - Winlogon Notify: crypt - C:\WINDOWS\
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\WINDOWS\system32\servises.exe',''); DeleteFile('C:\WINDOWS\system32\servises.dll'); DeleteFile('C:\WINDOWS\system32\servises.exe'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите новый карантин согласно приложению 3 правил.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
I am not young enough to know everything...
да, я там касперского воткнул, думал все он там еще кой-чего поискал.
логи вот:
Ничего зловредного в логах нет.
Сердце решает кого любить... Судьба решает с кем быть...
Вот это еще надо пофиксить:
Ну и дежурный совет: ставьте SP3 и последующие обновления.Код:R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:8600
I am not young enough to know everything...
команда хелперов virusinfo - неизменно превосходный результат
спасибо!
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 10
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\all users\application data\viylib.dll - Trojan.Win32.Agent2.efa ( DrWEB: Trojan.Blackmailer.982 )
- c:\windows\system32\servises.dll - Backdoor.Win32.Agent.aecj ( DrWEB: BackDoor.Tdss.93, BitDefender: Backdoor.Generic.165530 )
Уважаемый(ая) antivor, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.