-
Junior Member
- Вес репутации
- 51
Помогите побороть spy.shiz.nal
После включения компьютера выдаётся ошибка работы explorer, Explorer и Dr...
Поменялись стартовые страницы в Интернет Эксплорере и ФайрФоксе.
Загрузка ЦП на 50...80% когда ничего не запущено.
Проводник запускается только через команду "Выполнить", и то не всегда.
После обновления Nod32 (20.07.10) нашёлся вирус spy.shiz.nal (файл wpxmdq.exe в system32). Nod с ним ничего не делал, так что удалил вручную. Но проблемы остались.
После выполнения Ваших инструкций по подготовке материалов для передачи, стало легче. Но не уверен, что проблема решена до конца.
Помогите, пожалуйста.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1. Профиксите в HijackThis как "профиксить в HiJackThis"
Код:
O2 - BHO: IE ware plugin - {A9647484-125B-4CD9-B1B8-18F9456334F4} - (no file)
2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
QuarantineFile('D:\WINDOWS\system32\8eea477a.exe','');
QuarantineFile('D:\WINDOWS\system32\ozitnl.exe','');
QuarantineFile('D:\WINDOWS\system32\wpxmdq.exe','');
DeleteFile('D:\WINDOWS\system32\8eea477a.exe');
DeleteFile('D:\WINDOWS\system32\wpxmdq.exe');
DeleteFile('D:\WINDOWS\system32\ozitnl.exe');
QuarantineFile('D:\WINDOWS\system32\csrcs.exe','');
QuarantineFile('C:\Documents and Settings\All Users\systems.exe','');
DeleteFile('C:\Documents and Settings\All Users\systems.exe');
DeleteFile('D:\WINDOWS\system32\csrcs.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Скачайте RSIT тут. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
-
-
Junior Member
- Вес репутации
- 51
Файл quarantine.zip из папки AVZ не могу выслать по ссылке Прислать запрошенный карантин.
Компьютер сообщает, что файл уже выслан.
Сейчас буду повторно делать логи по п.п. 2 и 3
-
Junior Member
- Вес репутации
- 51
После запуска Firefox продолжает навязывать другую домашнюю страницу. В настройках всё нормально.
-
Junior Member
- Вес репутации
- 51
Запускаю Rsit, но негде указать проверку за последние 3 месяца. Выдаёт log.txt. Info.txt только за вчерашний день
-
1. Профиксите в HijackThis как "профиксить в HiJackThis"
Код:
R3 - URLSearchHook: MraSearch Class - {30DA811B-BCBF-4aa7-B5E3-CEE0E03EF2B2} - D:\WINDOWS\SYSTEM\MraSearch.dll (file missing)
2. Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('D:\Documents and Settings\Aleksey\Главное меню\Программы\Автозагрузка-\wwwznv32.exe','');
DeleteFile('D:\Documents and Settings\Aleksey\Главное меню\Программы\Автозагрузка-\wwwznv32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
-
-
Junior Member
- Вес репутации
- 51
quarantine.zip ссылка Прислать запрошенный карантин опять не принимает. Пишет, что файл уже отправлен. По-этому я прикрепил его к своему ответу.
Подскажите, пожалуйста, как мне сократить список "потенциальных уязвимостей"?
Последний раз редактировалось pig; 29.07.2010 в 01:25.
Причина: карантин в теме неуместен
Aleksey
-
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
На этом можно считать лечение законченным.
-
-
Junior Member
- Вес репутации
- 51
-
Профиксите в HijackThis как "профиксить в HiJackThis"
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
в настройках Firefox поменяйте домашнюю страницу
-
-
Junior Member
- Вес репутации
- 51
Всё сделал, перезагрузился, запускаю - то же самое.
Сменил стартовую страницу, вышел, перезагрузился. Ничего не поменялось.
На всякий случай прикрепил картинку, как это выглядит.
-
Сообщение от
Vadimych
Сменил стартовую страницу, вышел, перезагрузился. Ничего не поменялось.
Видимо в Firefox установлен плагин, который и меняет стартовую страницу.
-
-
Junior Member
- Вес репутации
- 51
А как от этого плагина избавиться? Я сам ничего дополнительного не устанавливал. После лечения поставил Cookiesafe и антискрипт
-
А вы посмотрите, что там есть по факту.
-
-
Junior Member
- Вес репутации
- 51
А как посмотреть и где? В инструментах - дополнения отключил все плагины. То же самое.
-
Попробуйте посмотреть в файле prefs.js в одной из папок Firefox что-либо связанное с webalta.ru
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-