-
Junior Member
- Вес репутации
- 48
Вместо сайтов браузеры открывают код страниц, наименование сервера
Добрый день!
Со вчерашнего дня Chrome и Mozilla не пускают в интернет. Вместо сайтов открывают код страницы (в прицепе есть скриншот). CureIT ничего не нашел. Стационарный антивирь - тоже (F-secure). Сделал все по инструкции с сайта, может сможете помочь?
С уважением,
Виктор
P.S. интернет-приложения работают (google talk, skype), адреса пингуются нормально. Началось все вчера когда ни с того ни с сего комп сам перегрузился
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Здравствуйте!
В HiJackThis пофиксите строки:
Код:
R3 - URLSearchHook: (no name) - {468CD8A9-7C25-45FA-969E-3D925C689DC4} - (no file)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
Знакомы ли Вам эти строки -
Код:
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = 3stepit.com
O17 - HKLM\Software\..\Telephony: DomainName = 3stepit.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = 3stepit.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = 3stepit.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = 3stepit.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = 3stepit.com
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = 3stepit.com
В AVZ выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
QuarantineFile('C:\WINDOWS\system32\rzcipom.dll','');
QuarantineFile('C:\Program Files\3 Step IT - Profiler\QuietRun.bat','');
DeleteFile('C:\WINDOWS\system32\rzcipom.dll');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Загрузите карантин согласно приложению 3 правил помощи.
Повторите логи AVZ и HiJackThis.
C:\Program Files\3 Step IT
известная Вам программа?
-
Junior Member
- Вес репутации
- 48
Спасибо за ответ! Обязательно сделаю все как Вы сказали.
Это рабочий нотник, но админов у нас нет. Сам по себе решаю незадачи. По первому блоку - доменное имя 3stepit.com - это рабочий домен. Думаю, что с ним все в порядке.
А вот в Program Files что за папка 3 Step IT - не понимаю. Это наше название компании, такой программы быть не может. Да и физически я ее не вижу. Скорее всего скрытая. Можно сносить?
Добавлено через 2 минуты
Аа, все понял. Да, это 3 Step IT Profiler. Это программа автоматической инвентаризации. С ней все в порядке.
есть подозрения на нее?
Последний раз редактировалось ganjurik; 23.03.2011 в 12:13.
Причина: Добавлено
-
Нет, тогда программу 3 Step IT Profiler и записи связанные с 3stepit.com не трогайте. Остальное - выполняйте
-
Junior Member
- Вес репутации
- 48
Карантин отправил. Получили?
Ниже логи.
Кстати, попробовал открыть браузер после запуска скрипта. Заработало
а что за зверь то был?
-
Junior Member
- Вес репутации
- 48
по логам: искоренили ли или еще что-нибудь нужно сделать?
-
Ничего подозрительного.
Выполните инструкцию из этой темы http://virusinfo.info/showthread.php?t=3519
C:\WINDOWS\system32\rzcipom.dll - Trojan-Downloader.Win32.Vundo.hiy, остальные, увы, не попали, но в системе их больше нет.
-
Junior Member
- Вес репутации
- 48
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 7
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\rzcipom.dll - Trojan.Win32.Zapchast.fdq ( DrWEB: Trojan.Mayachok.based, BitDefender: Trojan.Vundo.4110, NOD32: Win32/TrojanDownloader.Agent.QJE trojan, AVAST4: Win32:MalOb-HG [Cryp] )
-