-
Junior Member
- Вес репутации
- 50
Вирус. Mbam находит TCPRoute.Hijack
Здравствуйте.
Столкнулся с вирусом, браузер IE просто не запускается, FireFox закрывается с ошибкой, под оперой только работает нормально, но не заходит на некоторые сайты, например на virusinfo.info и сайт с загрузкой avz (зашел сюда через прокси). Проверял CureIt, он ничего не нашел. Проверил Malwarebytes' Anti-Malware, он нашел много записей в системном реестре вида:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Tcpip\Parameters\PersistentRoutes\128.111.48.0, 255.255.255.0,192.168.0.1,1 (TCPRoute.Hijack) -> Quarantined and deleted successfully.
Я их удаляю, но после перезагрузки они появляются снова.
Вирус, также, закрывает hijackthis и avz, если в системе запущен explorer, без него все запускается.
Прилогаю логи HiJackThis и avz.
Заранее благодарен за помощь.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Доброго времени суток
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\\?\globalroot\systemroot\system32\WbeVZh5.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\A3Hxtoq.exe','');
QuarantineFile('C:\WINDOWS\system32\e53ae2ba.exe','');
DeleteFile('C:\WINDOWS\system32\e53ae2ba.exe');
DeleteFile('\\?\globalroot\systemroot\system32\A3Hxtoq.exe');
DeleteFile('\\?\globalroot\systemroot\system32\WbeVZh5.exe');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам (virusinfo_syscheck.zip и hijackthis.log)
-
-
Junior Member
- Вес репутации
- 50
Выполнил скрипт, первый раз avz при его выполнении завис, пришлось перезагрузиться, файлов карантина не создалось. После перезагрузки еще раз выполнил скрипт, он выполнился и появились файлы карантина, их прилагаю.
Файл e53ae2ba.exe я удалил руками еще до этого.
Также прилагаю новые логи avz и HiJackThis.
По первым впечатлениям, вроде бы вирус нейтрализован.
-
Зловреды уничтожены, доступ к сайтам должен открыться
Обновите Internet Explorer до 8 версии с целью безопасности
-
-
Junior Member
- Вес репутации
- 50
Сообщение от
DefesT
Зловреды уничтожены, доступ к сайтам должен открыться
Обновите Internet Explorer до 8 версии с целью безопасности
Да, доступ к сайтам открылся.
Спасибо за оказаную помощь! =)
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 6
- В ходе лечения вредоносные программы в карантинах не обнаружены
-