-
Junior Member
- Вес репутации
- 60
Проблема с открытием страниц в интернете
Доброго времени суток!
У моей знакомой возникли проблемы с посещением некоторых страниц в интернете. Других видимых недостатков не было. Пересмотрев настройки антивируса (AVAST), брандмауэра (встроенный в XP) не обнаружил никаких ограничений или фильтров. Когда же решил посмотреть файл hosts, то оказалось, что не включается просмотр скрытых файлов и папок. Тогда и возникло подозрение на вирус.
1. Была проведена полная проверка системы AVAST. Были обнаружены трояны и удалены.
2. Затем провели проверку CureIt. Он вновь обнаружил заразу и удалил.
3. Проведена проверка AVZ
Логи прилагаю.
Страницы, которые не открывались, так и не открываются после работы антивирусов.
Прошу оказать помощь в лечении
Последний раз редактировалось -Алексей-; 04.12.2010 в 11:45.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Здравствуйте!
Пофиксить в Hijack следующие строки:
Код:
R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)
R3 - URLSearchHook: (no name) - {E9598854-2569-48DF-9755-1D330BD50EDE} - (no file)
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: Shell=explorer.exe rundll32.exe
O2 - BHO: (no name) - {35A6E2B1-27A9-47D2-913C-559E1EF1D034} - (no file)
Выполнить скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('usb.exe','');
QuarantineFile('C:\WINDOWS\S-1-5-21-1482476501-1644491937-682003330-1013\usb.exe','');
DelCLSID('28ABC5C0-4FCB-11CF-AAX5-21CX3C644241');
QuarantineFile('C:\WINDOWS\Offline Web Pages\svchost.exe','');
DeleteService('System Scheduler');
DeleteFile('C:\WINDOWS\Offline Web Pages\svchost.exe');
DeleteFile('C:\WINDOWS\S-1-5-21-1482476501-1644491937-682003330-1013\usb.exe');
BC_ImportAll;
ExecuteSysClean;
Executerepair(1);
Executerepair(8);
Executerepair(16);
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
end.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
-
-
Junior Member
- Вес репутации
- 60
Немного задержал с ответом ...
Все выполнено. Логи прикладываю к сообщению
Последний раз редактировалось -Алексей-; 04.12.2010 в 11:45.
-
1. Профиксите в HijackThis как "профиксить в HiJackThis"
Код:
F2 - REG:system.ini: Shell=explorer.exe rundll32.exe
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: (no name) - {E9598854-2569-48DF-9755-1D330BD50EDE} - (no file)
R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)
O2 - BHO: (no name) - {35A6E2B1-27A9-47D2-913C-559E1EF1D034} - (no file)
2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- обязательно !!! Системное восстановление!!!как- посмотреть можно тут
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('System Scheduler');
DeleteService('Bonjour Service');
DeleteFileMask('%programfiles%\Bonjour\','*.*',true);
DeleteDirectory('%programfiles%\Bonjour\');
DelCLSID('{9999A076-A9E2-4C99-8A2B-632FC9429223}');
RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\Bonjour Service');
BC_ImportAll;
ExecuteRepair(14);
BC_DeleteSvc('Bonjour Service');
BC_DeleteSvc('System Scheduler ');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
-
-
Junior Member
- Вес репутации
- 60
Доброго времени суток!
Насколько я понял со слов девушки проблема с открытием страниц не решилась.
Логи прилагаю.
Последний раз редактировалось -Алексей-; 04.12.2010 в 11:45.
-
Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
Executerepair(2);
Executerepair(3);
Executerepair(4);
Executerepair(13);
Executerepair(14);
RegKeyParamDel('HKLM','Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL','CheckedValue');
RegKeyParamWrite('HKLM','Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL','CheckedValue','reg_dword','1');
RebootWindows(true);
end.
-
-
Junior Member
- Вес репутации
- 60
Скрипт выполнен ... проблема с открытием страниц осталась. Наблюдается в браузерах Mozila FireFox и IE.
Не удается выйти на сайт Dr WEB, но смогли выйти на сайт Virusinfo.info
-
Сделайте комплект логов, + лог MBAM
-
-
Junior Member
- Вес репутации
- 60
Логи приложены.
P.S. ссылка для скачивания MBAM также не открылась .... Передавал файл через почту.
Последний раз редактировалось -Алексей-; 04.12.2010 в 11:46.
-
1. профиксить в MBAM
Код:
Заражено ключей реестра:
HKEY_CURRENT_USER\SOFTWARE\adtools, inc. (Adware.AdTools) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Casino Tropez (Adware.Casino) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Casino Tropez (Adware.Casino) -> No action taken.
HKEY_CLASSES_ROOT\AppID\{10a2afe5-a6c3-46a9-a3e9-dfbe934afcbb} (Adware.TMAagent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Target Marketing Agency (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\AppID\tmasrv.exe (Adware.TMAagent) -> No action taken.
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.
Заражено значений реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Вера\Local Settings\Application Data\Target Marketing Agency\TMAgent\params.bin','');
QuarantineFile('C:\Documents and Settings\Вера\Local Settings\Application Data\Target Marketing Agency\TMAgent\data.bin','');
QuarantineFile('C:\Documents and Settings\Вера\Local Settings\Application Data\Target Marketing Agency\TMAgent\tmagent.bin','');
QuarantineFile('E:\distrib\Мастер эффектов 1.5\patch.exe','');
QuarantineFile('C:\WINDOWS\system32\sfcfiles.dll','');
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFileMask('C:\Program Files\Common Files\Target Marketing Agency\TMAgent', '*.*', true);
DeleteDirectory('C:\Program Files\Common Files\Target Marketing Agency\TMAgent');
DeleteFileMask('C:\Documents and Settings\Вера\Local Settings\Application Data\Target Marketing Agency', '*.*', true);
DeleteDirectory('C:\Documents and Settings\Вера\Local Settings\Application Data\Target Marketing Agency');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
+ лог MBAM
+ в командной строке наберите:
Код:
route print >c:\route.txt
route.txt прикрепите к теме.
-
-
Junior Member
- Вес репутации
- 60
Карантин:
Файл сохранён как 100302_231611_quarantine_4b8d720ba588a.zip
Размер файла 3202
MD5 47201ec4e45e1b4c922056aaa8639ee4
Логи прилагаются.
P.S. в этот раз проверку я выполнял сам. И заметил, что на компьютере 2 "сетевых подключения", хотя связь осуществляется с инетом только через одно. Отключение соединения с именем "1394" не меняет работу.
Последний раз редактировалось -Алексей-; 04.12.2010 в 11:46.
-
Выполните скрипт
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('usb.exe','');
QuarantineFile('C:\WINDOWS\system32\sfcfiles.dll','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Удалите в MBAM
Код:
Заражено значений реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.
Заражено папок:
C:\Program Files\Common Files\Target Marketing Agency (Adware.TMAagent) -> No action taken.
C:\Documents and Settings\Вера\Local Settings\Application Data\Target Marketing Agency (Adware.TMAagent) -> No action taken.
C:\Documents and Settings\Вера\Local Settings\Application Data\Target Marketing Agency\TMAgent (Adware.TMAagent) -> No action taken.
Сделайте лог MBAM
-
-
Junior Member
- Вес репутации
- 60
Файл сохранён как 100309_194137_virus_4b967a413f008.zip
Размер файла 966190
MD5 69965734137c3d38086ffa760eb47117
Последний раз редактировалось -Алексей-; 04.12.2010 в 11:46.
-
В логе чисто, что с проблемой?
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20627)
Рекомендую обновить, + установить последние обновления на ОС.
-
-
Junior Member
- Вес репутации
- 60
Со слов девушки проблема осталась.
Например: на сайт www.drweb.ru выходит, но при нажатие на ссылку для скачивания CureIt выходит сообщение об отсутствии соединения с интернетом. Та же картина при попытке выйти на некоторые другие сайты. Этот топик она прочитать может. И выполняла все задания самостоятельно по рекомендациям хэлперов.
Обновление операционной системы пока не проводили.
Основной браузер: Mozilla FireFox
-
-
-
Junior Member
- Вес репутации
- 60
вновь направляем логи ...
Последний раз редактировалось -Алексей-; 04.12.2010 в 11:46.
-
Выполните скрипт
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\usb.exe','');
QuarantineFile('usb.exe','');
DeleteFile('C:\WINDOWS\usb.exe');
DeleteFile('usb.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run','Microsoft USB Driver');
BC_ImportAll;
ExecuteSysClean;
ClearHostsFile;
BC_Activate;
RebootWindows(true);
end.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Сделайте новый лог virusinfo_syscheck.zip
-
-
Junior Member
- Вес репутации
- 60
Карантин загружен.
Лог приложен
Последний раз редактировалось -Алексей-; 04.12.2010 в 11:46.
-
Выполните скрипт
Код:
begin
ExecuteWizard('TSW', 2, 2, true);
RebootWindows(true);
end.
Внимание !!! База поcледний раз обновлялась 28.02.2010 необходимо обновить базы при помощи автоматического обновления
Обновите базы, сделайте новые логи.
-