-
Junior Member
- Вес репутации
- 57
При попытке войти в интернет IE выгружается
Открывал страницы в интернете. Сработал КИС. Выдал сообщения
обнаружено: троянская программа Trojan-Downloader.Java.Agent.ft URL:
обнаружено: троянская программа Exploit.SWF.Agent.du URL:
обнаружено: троянская программа Exploit.Java.CVE-2010-0886.a (модификация) Скрипт:
После этого при попытке открыть любую страницу IE выгружается
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Пофиксите в hijackthis -
Код:
F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe algn.tso qccrtc
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\algn.tso','');
QuarantineFile('C:\DOCUME~1\CA92~1\LOCALS~1\Temp\r5nauGuL.sys','');
QuarantineFile('C:\Program Files\Internet Explorer\rasadhlp.dll','');
DeleteFile('C:\Program Files\Internet Explorer\rasadhlp.dll');
DeleteFile('C:\DOCUME~1\CA92~1\LOCALS~1\Temp\r5nauGuL.sys');
DeleteFile('C:\WINDOWS\system32\algn.tso');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
ExecuteRepair(1);
ExecuteRepair(16);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Повторите логи
-
-
Junior Member
- Вес репутации
- 57
Выполнил скрипты. Теперь страницы грузятся. Мелочь: в трее значок локальной сети зачеркнутый, хотя сеть работает.
-
Junior Member
- Вес репутации
- 57
-
Сделайте дополнительно лог полного сканирования МВАМ
-
-
Junior Member
- Вес репутации
- 57
Вот лог mbam. Пока ничего не удалял. Значок локалки в трее исправился, показывает наличие соединения.
-
Удалите в МВАМ -
Код:
Зараженные ключи в реестре:
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.
В остальном - чисто.
-
-
Junior Member
- Вес репутации
- 57
Ключ удалил. Спасибо за помощь. MBAM с компьютера лучше удалить?
-
Как пожелаете, если не нужен - удалите
- Microsoft прекратил поддержку и выпуск обновлений безопасности для ОС Windows XP, на которых не установлен Сервис Пак 3. Установите Сервис Пак 3 - возможно потребуется активация. Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите все важные обновления.
- Установите IE 8 - даже если Вы им не пользуетесь.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- c:\\program files\\internet explorer\\rasadhlp.dll - Trojan.Win32.Agent.fglh ( DrWEB: Trojan.PWS.Stealer, BitDefender: Rootkit.40518, NOD32: Win32/Delf.NNT trojan, AVAST4: Win32:MalOb-IJ [Cryp] )
- c:\\windows\\system32\\algn.tso - Trojan.Win32.Oficla.xb ( DrWEB: Trojan.Oficla.65, BitDefender: Trojan.Generic.5871644, NOD32: Win32/Oficla.IF trojan, AVAST4: Win32:Oficla-AI [Trj] )
-