Добрый день. Перестали открыватся все браузеры (ie, opera, FF), кроме хрома. Что то намотал на винт, но каспер, симантек, и др. веб молчат
Логи AVZ HiJackThis прикладываю.
Добрый день. Перестали открыватся все браузеры (ie, opera, FF), кроме хрома. Что то намотал на винт, но каспер, симантек, и др. веб молчат
Логи AVZ HiJackThis прикладываю.
Восстановление системы: включено -- надо отключить.
профиксить:
Выполнить скрипт:Код:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe, O4 - HKLM\..\Policies\Explorer\Run: []
после скрипта прислать заново логи.Код:procedure FixUpdate; var j:integer; NumStr:string; begin for j:=0 to 999 do begin if j=0 then NumStr:='CurrentControlSet' else if j<10 then NumStr:='ControlSet00'+IntToStr(j) else if j<100 then NumStr:='ControlSet0'+IntToStr(j) else NumStr:='ControlSet'+IntToStr(j); if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then begin RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS'); RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs'); AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.'); end; if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then begin RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv'); RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs'); AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.'); end; end; end; begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\Installer\a88d4d0.msi'); DelBHO('{6D7B211A-88EA-490c-BAB9-3600D8D7C503}'); QuarantineFile('C:\WINDOWS\system32\sdra64.exe',''); QuarantineFile('c:\windows\system32\netprotocol.dll',''); DeleteFile('c:\windows\system32\netprotocol.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Netprotocol\Parameters','ServiceDll'); DeleteFile('C:\WINDOWS\system32\sdra64.exe'); DeleteFile('C:\Program Files\ConnectionServices\ConnectionServices.dll'); BC_ImportDeletedList; FixUpdate; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Загрузить карантин по Правилам.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Все выполнил, пока все тоже самое
Последний раз редактировалось PavelA; 10.02.2010 в 14:44.
Карантин загрузите по красной ссылке.
вот это выполните: AVZ -- Файл. --
В этом ключе реестра надо удалить упоминание о броузерах:Мастер поиска и устранения проблем
>> Нарушение ассоциации SCR файлов
>> Заблокированы настройки системы Windows Update
>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носителей
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
Последний раз редактировалось PavelA; 10.02.2010 в 14:02.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
1. Карантин отправил
2. Мастер поиска и устранения проблем - выполнил
3. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options - к с ожалению, не нашел никаких упоминаний о браузерах
Логи AVZ повторите.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
высылаю логи AVZ
Я в логах ничего плохого не увидел. Позову коллег на помощь.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); SetAVZPMStatus(True); DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}'); DelBHO('{48FFE35F-36D9-44bd-A6CC-1D34414EAC0D}'); DelBHO('{2670000A-7350-4f3c-8081-5663EE0C6C49}'); DelBHO('{92860A02-4D69-48c1-82D7-EF6B2C609502}'); QuarantineFile('C:\Program Files\BitAccelerator\BitAccelerator.dll',''); QuarantineFile('C:\WINDOWS\system32\overlapp32.dll',''); QuarantineFile('C:\WINDOWS\system32\drivers\grmnusb.sys',''); QuarantineFile('C:\Program Files\Common Files\System\WebCheck.dll',''); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','SwUpdate'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','DU Meter'); DeleteFile('C:\WINDOWS\system32\overlapp32.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','WebCheck'); DeleteFile('C:\Program Files\BitAccelerator\BitAccelerator.dll'); ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); BC_ImportDeletedList; ExecuteSysClean; RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','WebCheck','{E6FB5E20-DE35-11CF-9C87-00AA005127ED}'); BC_Activate; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по красной ссылке вверху этой темы "Прислать запрошенный карантин"
2.Повторить логи (в том числе, сделать лог hijackthis.log)
The worst foe lies within the self...
Спасибо! Проблема ушла!!!
высылаю логи
Последний раз редактировалось MadSem; 11.02.2010 в 11:59.
карантин по красной ссылке пришлите. Отсюда уберите.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 8
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\netprotocol.dll - Packed.Win32.Krap.w ( DrWEB: Trojan.Packed.19647 )
- c:\windows\system32\overlapp32.dll - Trojan-Spy.Win32.Hascha.cf ( DrWEB: Trojan.PWS.Banker.41337 )
- c:\windows\system32\sdra64.exe - Trojan-Spy.Win32.Zbot.aeln ( DrWEB: Trojan.Packed.19647, AVAST4: Win32:Rootkit-gen [Rtk] )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
Уважаемый(ая) MadSem, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.