Вечер добрый. Подхватил данную заразу. Интернет работает нестабильно, в соц. сети даже не суюсь.
Прошу помощи.
Printable View
Вечер добрый. Подхватил данную заразу. Интернет работает нестабильно, в соц. сети даже не суюсь.
Прошу помощи.
Здравствуйте.
Отключите:
-ПК от интернета
-Все защитные приложения
Выполните скрипт в AVZ:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\6.tmp','');
QuarantineFile('C:\WINDOWS\system32\5.tmp','');
QuarantineFile('C:\WINDOWS\system32\4.tmp','');
QuarantineFile('C:\WINDOWS\system32\3.tmp','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\SYS83.exe','');
QuarantineFile('C:\WINDOWS\system32\ppxlpil.dll','');
DeleteFile('C:\WINDOWS\system32\ppxlpil.dll');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\SYS83.exe');
DeleteFile('C:\WINDOWS\system32\3.tmp');
DeleteFile('C:\WINDOWS\system32\4.tmp');
DeleteFile('C:\WINDOWS\system32\5.tmp');
DeleteFile('C:\WINDOWS\system32\6.tmp');
DelCLSID('28ABC5C0-4FCB-33CF-AAX5-35GX1C642122');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', '');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
Затем выполните ещё один скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "[B][COLOR="Red"][U]Прислать запрошенный карантин[/U][/COLOR][/B]" наверху темы).
Сделайте повторные логи.
Скрипты выполнил. Карантин отправил. Логи повторил.
Чисто, что с проблемой?
Файл hosts сами правили?
Проблема исчезла, огромное спасибо!
С hosts да, сам правил. Где-то с год назад словил что-то похожее на рекламный модуль, который периодически вместе с нужными страничками открывал левые страницы с рекламой. Проблему решил игнорированием рекламных сайтов через hosts.
Еще раз огромное спасибо за помощь.
Беда. Через пару часов вирус вылез как ни в чем не бывало. Судя по соседним темам - проблема массовая.
Прикрепляю логи.
upd. Пустил скрипт из второго поста - помогло. Немного наблюдений - если в первый раз перезагрузка компьютера показалась мне случайной (а именно после "внезапной" перезагрузки посреди серфинга компьютер возвращается уже с трояном на борту), то во второй раз машина споткнулась и ребутнулась на том же самом сайте. Ради интереса провернул всю схему (заход на сайт - перезагрузка - скрипт) третий раз и действительно я заразился и тут же исцелился. Вопрос к знатокам - возможно ли такое? Т.е. я просто открываю сайт, ничего (вообще ничего) на нем не делаю, но через 2-3 секунды после открытия комп уход в ребут и выходит заболевшим. Это значит проблема в сайте и булки стоит напрячь его админам?
Посерфил 15 минут - пока жалоб нет, на злополучный сайт пока нос сувать не буду.
1.[URL="http://virusinfo.info/showthread.php?t=4491"]Профиксите[/URL] в HijackThis
[CODE]
R3 - Default URLSearchHook is missing
O2 - BHO: free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} - (no file)
O3 - Toolbar: free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} - (no file)
[/CODE]
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('C:\WINDOWS\system32\ppxlpil.dll');
DeleteFile('C:\WINDOWS\system32\4.tmp');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows','AppInit_DLLs','');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila.html"]правилам[/URL] п.2 и 3 раздела Диагностика.([COLOR=Blue]virusinfo_syscheck.zip;hijackthis.log[/COLOR])
- Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"][COLOR=Blue][B]MBAM[/B][/COLOR][/URL]
Все сделал. MBAM ругался на 1 файл, но его трогать пока не стал, жду ваших указаний.
плохого не видно
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]17[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\ppxlpil.dll - [B]Trojan-Ransom.Win32.Cidox.cp[/B] ( DrWEB: Trojan.Mayachok.based, BitDefender: Trojan.Generic.6331016, NOD32: Win32/Agent.SFM trojan, AVAST4: Win32:Malware-gen )[*] c:\\windows\\system32\\3.tmp - [B]Trojan-Ransom.Win32.Cidox.cp[/B] ( DrWEB: Trojan.Mayachok.based, BitDefender: Trojan.Generic.6331016, NOD32: Win32/Agent.SFM trojan, AVAST4: Win32:Malware-gen )[*] c:\\windows\\system32\\4.tmp - [B]Trojan-Ransom.Win32.Cidox.cp[/B] ( DrWEB: Trojan.Mayachok.based, BitDefender: Trojan.Generic.6331016, NOD32: Win32/Agent.SFM trojan, AVAST4: Win32:Malware-gen )[*] c:\\windows\\system32\\5.tmp - [B]Trojan-Ransom.Win32.Cidox.cp[/B] ( DrWEB: Trojan.Mayachok.based, BitDefender: Trojan.Generic.6331016, NOD32: Win32/Agent.SFM trojan, AVAST4: Win32:Malware-gen )[*] c:\\windows\\system32\\6.tmp - [B]Trojan-Ransom.Win32.Cidox.cp[/B] ( DrWEB: Trojan.Mayachok.based, BitDefender: Trojan.Generic.6331016, NOD32: Win32/Agent.SFM trojan, AVAST4: Win32:Malware-gen )[/LIST][/LIST]