Здравствуйте. Ситуация следующая - периодически пользователю выводится страничка о необходимости установки прокси. Естественно, за смс. Скриншот страницы и логи сканирования прилагаются.
Printable View
Здравствуйте. Ситуация следующая - периодически пользователю выводится страничка о необходимости установки прокси. Естественно, за смс. Скриншот страницы и логи сканирования прилагаются.
Уважаемый(ая) [B]vagurz[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Здравствуйте.
Отключите Восстановление системы.
Выполните скрипт в AVZ [URL="http://virusinfo.info/showthread.php?t=7239"](как выполнить)[/URL]:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Program Files\Microsoft Security Client\Backup\en-us\epploc_x86.msi','');
QuarantineFile('C:\Program Files\Microsoft Security Client\Backup\ru-ru\epploc_x86.msi','');
QuarantineFile('C:\Windows\Installer\6ebba.msi','');
QuarantineFile('C:\Users\rustam_n\appdata\local\temp\ms0cfg32.exe','');
QuarantineFile('C:\Users\rustam_n\appdata\roaming\microsoft\windows\start menu\programs\startup\igfxtray.exe','');
QuarantineFile('C:\Windows\system32\qptqail.dll','');
DeleteFile('C:\Windows\system32\qptqail.dll');
DeleteFile('C:\Users\rustam_n\appdata\roaming\microsoft\windows\start menu\programs\startup\igfxtray.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
После перезагрузки выполните скрипт в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
[/CODE]
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".
Повторите пункт "Диагностика" правил и приложите получившиеся логи в теме.
После выполнения скриптов и повторного прогона сканирования ситуация, кажется, не изменилась. =\
Сделайте лог MBAM:
[url]http://virusinfo.info/showthread.php?t=53070[/url]
и приложите.
Скачайте, распакуйте и запустите TDSSKiller:
[url]http://support.kaspersky.ru/faq/?qid=208636926[/url]
Если программа обругается на файл WINDOWS\system32\Drivers\sptd.sys, то не удаляйте его.
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.
MBAM нашел два трояна, TDSSKiller не нашел ничего. :scratch_one-s_head:
Удалите все найденное в МВАМ.
Сделайте заново лог МВАМ и приложите.
Трояны удалили, но проблема все еще есть. =\ Логи сканирования после удаления прилагаются.
В Internet Explorer эта проблема наблюдается? А так же в других браузерах?
В Chrome ни одна страница просто не открывается. В IE часть страниц, таких, как mail.ru, открываются. При попытке зайти на virusinfo было заявлено, что "невозможно отобразить эту страницу". В Опере, которая обычно используется менеджером, обычно тоже заявляется, что подключиться невозможно, а при запуске самой Оперы выводится предложение воспользоваться прокси. Есть предположения, что это может быть?
Установите все обновления безопасности, вышедшие после Service Pack 3:
[url]http://windowsupdate.microsoft.com/[/url]
Выполните скрипт в AVZ отсюда:
[url]http://dataforce.ru/~kad/ScanVuln.txt[/url]
Файл avz_log.txt из папки AVZ\LOG приложите в теме.
Сделайте заново лог virusinfo_syscheck.zip и приложите в теме.
Сделайте заново лог МВАМ и приложите в теме.
В Win7 пользователя, насколько можно судить из списка, уже установлены все обновления безопасности. Логи скрипта и проверок прилагаются.
Сделайте лог [url="http://virusinfo.info/showpost.php?p=493610&postcount=1"]ComboFix[/url]
После использования ComboFix на всякий случай перезапустил сокеты связи ("route -f" и далее "netsh winsock reset"), после чего прочистил реестр и кэш инета CCleaner'ом. Пока что вроде бы инет у менеджера снова работает без проблем.
Все, что ошибочно удалено от 1С, восстановите [URL="http://virusinfo.info/showthread.php?t=58309&p=514765&viewfull=1#post514765"]так[/URL]
Если я его еще не удалил... :scratch_one-s_head:В любом случае, спасибо за помощь.:ok:
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]18[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\users\\rustam_n\\appdata\\roaming\\microsoft\\windows\\start menu\\programs\\startup\\igfxtray.exe - [B]Backdoor.Win32.Gbot.pqq[/B] ( DrWEB: Trojan.Carberp.10, BitDefender: Gen:Variant.Kazy.40299, AVAST4: Win32:MalOb-HN [Cryp] )[*] c:\\windows\\system32\\qptqail.dll - [B]Trojan-Ransom.Win32.Cidox.xy[/B] ( DrWEB: Trojan.Mayachok.550, BitDefender: Trojan.Generic.6752479, NOD32: Win32/Agent.SFM trojan, AVAST4: Win32:Cidox-H [Drp] )[/LIST][/LIST]