Помогите!

[Mishka]

После перезагрузки ПК все время сбивается пароль для входа в интернет.

[Макcим]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\wt\webdriver\webdriver.dll','');
 QuarantineFile('C:\WINDOWS\internt.exe','');
 QuarantineFile('C:\WINDOWS\system32\system32.exe','');
 QuarantineFile('c:\windows\system32\itunesff.exe','');
RebootWindows(false);
end.

После перезагрузки пришлите файлы карантина по правилам раздела "Помогите".
Скачайте новую версию AVZ и обновите логи.

[Rene-gad]

Выполните скрипт в AVZ

Вдогонку: Пофиксите в HJT

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = x	"ôhE²AŠ@B*5L
 ª!Ä)4@ˆZ^y¤T2^y"Eˆ�Qš˜
¸0y^*'"Ç x!¨šbðH*‚" ‡E’Q˜Šñ™À2
Œ{ºæŒÃ^Q’¨b¢ø
&#225;^B&#162;ˆ&#227;x	žˆ&#202;(<Bb&#241;#&#246;®&#230;&#200;&#240;^�‰(TC&#202;
2&#246;lW&#218;•&#220;&#232;
4…s
&#218;{;VŒx@�’&#162;=&#208;&#163;:G&#242;^&#193;&#208;&#194;“¶…c&#203;&#222;s6–&#205;V&#230;&#161;&#222;&#224;q±&#189;myD&#241;4VNVx&#188;‚|qA>PxB)&#227;A&#195;‚ˆ¤*©M>
&#224;±†¬&#242;b&#184;f\™™€S+&#228;&#179;&#178;'&#232;€&#206;&#222;i&#179;&#165;.&#222;k&#237;'&#232;€p`&#225;—D"¤*©5&#199; x&#188;„ž"¬&#248;<y�&#162;¦&#196;&#199; 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = V&#230;&#161;&#222;&#224;q±&#189;myD&#241;4VNVx&#188;‚|qA>PxB)&#227;A&#195;‚ˆ¤*©M>
&#224;±†¬&#242;b&#184;f\™™€S+&#228;&#179;&#178;'&#232;€&#206;&#222;i&#179;&#165;.&#222;k&#237;'&#232;€p`&#225;—D"¤*©5&#199; x&#188;„ž"¬&#248;<y�&#162;¦&#196;&#199; 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.164.196/search.php?q=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = V&#230;&#161;&#222;&#224;q±&#189;myD&#241;4VNVx&#188;‚|qA>PxB)&#227;A&#195;‚ˆ¤*©M>
&#224;±†¬&#242;b&#184;f\™™€S+&#228;&#179;&#178;'&#232;€&#206;&#222;i&#179;&#165;.&#222;k&#237;'&#232;€p`&#225;—D"¤*©5&#199; x&#188;„ž"¬&#248;<y�&#162;¦&#196;&#199; 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = x	"&#244;hE&#178;AŠ@B*5L
 &#170;!&#196;)4@ˆZ^y¤T2^y"Eˆ�Qš˜
&#184;0y^*'"&#199; x!&#168;šb&#240;H*‚" ‡E’Q˜Š&#241;™&#192;2
Œ{&#186;&#230;Œ&#195;^Q’&#168;b&#162;&#248;
&#225;^B&#162;ˆ&#227;x	žˆ&#202;(<Bb
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = V&#230;&#161;&#222;&#224;q±&#189;myD&#241;4VNVx&#188;‚|qA>PxB)&#227;A&#195;‚ˆ¤*©M>
&#224;±†¬&#242;b&#184;f\™™€S+&#228;&#179;&#178;'&#232;€&#206;&#222;i&#179;&#165;.&#222;k&#237;'&#232;€p`&#225;—D"¤*©5&#199; x&#188;„ž"¬&#248;<y�&#162;¦&#196;&#199; 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = V&#230;&#161;&#222;&#224;q±&#189;myD&#241;4VNVx&#188;‚|qA>PxB)&#227;A&#195;‚ˆ¤*©M>
&#224;±†¬&#242;b&#184;f\™™€S+&#228;&#179;&#178;'&#232;€&#206;&#222;i&#179;&#165;.&#222;k&#237;'&#232;€p`&#225;—D"¤*©5&#199; x&#188;„ž"¬&#248;<y�&#162;¦&#196;&#199; 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = x	"&#244;hE&#178;AŠ@B*5L
 &#170;!&#196;)4@ˆZ^y¤T2^y"Eˆ�Qš˜
&#184;0y^*'"&#199; x!&#168;šb&#240;H*‚" ‡E’Q˜Š&#241;™&#192;2
Œ{&#186;&#230;Œ&#195;^Q’&#168;b&#162;&#248;
&#225;^B&#162;ˆ&#227;x	žˆ&#202;(<Bb
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = V&#230;&#161;&#222;&#224;q±&#189;myD&#241;4VNVx&#188;‚|qA>PxB)&#227;A&#195;‚ˆ¤*©M>
&#224;±†¬&#242;b&#184;f\™™€S+&#228;&#179;&#178;'&#232;€&#206;&#222;i&#179;&#165;.&#222;k&#237;'&#232;€p`&#225;—D"¤*©5&#199; x&#188;„ž"¬&#248;<y�&#162;¦&#196;&#199; 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = V&#230;&#161;&#222;&#224;q±&#189;myD&#241;4VNVx&#188;‚|qA>PxB)&#227;A&#195;‚ˆ¤*©M>
&#224;±†¬&#242;b&#184;f\™™€S+&#228;&#179;&#178;'&#232;€&#206;&#222;i&#179;&#165;.&#222;k&#237;'&#232;€p`&#225;—D"¤*©5&#199; x&#188;„ž"¬&#248;<y�&#162;¦&#196;&#199; 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = x	"&#244;hE&#178;AŠ@B*5L
 &#170;!&#196;)4@ˆZ^y¤T2^y"Eˆ�Qš˜
&#184;0y^*'"&#199; x!&#168;šb&#240;H*‚" ‡E’Q˜Š&#241;™&#192;2
Œ{&#186;&#230;Œ&#195;^Q’&#168;b&#162;&#248;
&#225;^B&#162;ˆ&#227;x	žˆ&#202;(<Bb
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = &#209;&#241;&#251;&#235;&#234;&#232;
O1 - Hosts: <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
O1 - Hosts: <HTML><HEAD>
O1 - Hosts: <TITLE>302 Found</TITLE>
O1 - Hosts: </HEAD><BODY>
O1 - Hosts: <H1>Found</H1>
O1 - Hosts: The document has moved <A HREF="http://pharmacyonlineshop.com/">here</A>.<P>
O1 - Hosts: <HR>
O1 - Hosts: <ADDRESS>Apache/1.3.33 Server at go-gi.com Port 80</ADDRESS>
O1 - Hosts: </BODY></HTML>
O4 - HKLM\..\Run: [system32.exe] C:\WINDOWS\system32\system32.exe
O4 - HKLM\..\Run: [itunesff] C:\WINDOWS\system32\itunesff.exe -go -c60 -w2
O16 - DPF: {33331111-1111-1111-1111-611111193423} - 
O16 - DPF: {33331111-1111-1111-1111-611111193429} - 
O16 - DPF: {33331111-1111-1111-1111-615111193427} - 
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - (no file)

и скажите (по-секрету ) - где можно такую коллекцию дичи наловить?

[Mishka]

Спасибо!

[Bratez]

internt.exe и itunesff.exe - Trojan.Win32.LipGame.cj

Выполните скрипт в свежей версии AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\internt.exe');
 DeleteFile('c:\windows\system32\itunesff.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки сделайте новые логи.
Попробуйте вручную найти файл C:\WINDOWS\system32\system32.exe.
Если найдется, пришлите по правилам (см. приложение 2).

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 3
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\internt.exe - Trojan.Win32.LipGame.cj (DrWEB: Trojan.LipGame)
  2. c:\\windows\\system32\\itunesff.exe - Trojan.Win32.LipGame.cj (DrWEB: Trojan.LipGame)