Проблема- защищенное соединение (https) порт 443

[Magister]

В какой-то момент компьютер перестал соединяться с банком по банк-клиенту, да и вообще перестал заходить на защищенные (https) соединения типа "вход в интернет-помощник МТС - https://ihelper.mts.ru/selfcare/logon.aspx). Не работает автоматическое обновление- даже не проходит на сайт, не грузятся сайты производителей антивирусов.
Установленный антивирус AVAST ничего не находил. Была скачана последняя версия CureIt, которая опознала Trojan.PWS.Ibank и Win32.HLLW.Shadow, и попыталась их вычистить. После 3х зачисток WinXP обновился 1 раз (3 обновления) и больше не смог.
Проблемы остались те же.
Прошу помощи.

[olejah]

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление

Пофиксите в hijackthis -

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\Nwi6S8s.exe,\\?\globalroot\systemroot\system32\fvheii7.exe,\\?\globalroot\systemroot\system32\NQh8PBu.exe,

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);  
 QuarantineFile('\\?\globalroot\systemroot\system32\fvheii7.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\Nwi6S8s.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\NQh8PBu.exe','');
 DeleteFile('\\?\globalroot\systemroot\system32\NQh8PBu.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\Nwi6S8s.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\fvheii7.exe');  
 DelAutorunByFileName('\\?\globalroot\systemroot\system32\NQh8PBu.exe');   
 DelAutorunByFileName('\\?\globalroot\systemroot\system32\Nwi6S8s.exe'); 
 DelAutorunByFileName('\\?\globalroot\systemroot\system32\fvheii7.exe');        
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('TSW',2,2,true);     
 ExecuteRepair(20);
 BC_Activate;    
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

- Обновите базы, сделайте новые логи.

[Magister]

После выполнения основного скрипта появилось сообщение о выполнении скрипта без ошибок, но комп не перезагрузился, а завис.
Рестарт вручную, продолжаю выполнение по инструкции.

[olejah]

Обновить базы пускает?

[Magister]

Впервые успешно прошло обновление AVZ

[Magister]

Высылаю запрошенные отчеты.
На компе используется IE6 - сильно тормозит.

[Magister]

Карантин закачал.

[olejah]

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('','C:\WINDOWS\system32\drivers\vdi3ndu1.sys');
 QuarantineFile('C:\WINDOWS\system32\mjdhwjhl.dll','');
 DeleteFile('C:\WINDOWS\system32\drivers\vdi3ndu1.sys');
 DeleteFile('C:\WINDOWS\system32\mjdhwjhl.dll');  
 DelAutorunByFileName('C:\WINDOWS\system32\mjdhwjhl.dll');        
 BC_ImportAll;
 ExecuteSysClean;    
 BC_Activate;    
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

- Ещё раз, повторите логи АВЗ + сделайте лог MBAM

Добавлено через 1 минуту

На компе используется IE6 - сильно тормозит.

IE6 - прошлый век. Уже давно пора обновить до восьмого. Кстати ради безопасности в том числе.

[Magister]

После выполнения скрипта комп не перезагружается, а зависает.
Карантин перезалил.

Добавлено через 28 минут

Что-то долго крутится MBAM...

[olejah]

Ничего, лучше подождать, скажите, Вы Крипто Про пользуетесь?

[Magister]

Да, это программа используется для Банк-Клиента

[olejah]

Прошу прощения, случайно попала под топор библиотека. Сделайте так - АВЗ => Файл => Просмотр карантина, Отметьте галкой файл C:\WINDOWS\system32\mjdhwjhl.dll и нажмите Восстановить. Подтвердите восстановление.

[Magister]

Проделываю описанный Вами алгоритм, но файл все равно по не понятной мне причине остается в карантине

[olejah]

Проверьте работу Крипто Про, нам главное. чтобы она работала. Он восстанавливается, но из карантина не удаляется - нормальное явление. Логи делаются пока?

[PavelA]

Trojan.PWS.Ibank

после такого обычно пароли от клиент-банков уходят на сторону. Надо их менять

[Magister]

Один из отчетов

[PavelA]

Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.

Объекты реестра заражены:
(Вредоносных программ не обнаружено)

Зараженные папки:
(Вредоносных программ не обнаружено)

Зараженные файлы:
C:\WINDOWS\system32\vfp8rrus.dll (Malware.Packer.Gen) -> No action taken.
C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.

Удалите все вот это.

[Magister]

Отчеты AVZ

[Magister]

Удалил всё, что Вы написали, Павел.

[olejah]

+ к PavelA, предупредите банк, что Ваши пароли были скомпрометированы.