Printable View
Добрый вечер! Сегодня столкнулся со следующей проблемой: постоянно происходит переадресация на сайт internet.com или просто не открываются страницы. Проверил с помощью dr.web, cureit, и утилитой от касперского. Все что то нашли и что то лечили (причем по очереди чуть ли не одно и тоже , особенно файл netprotocol.exe ) Помогите решить проблему. Заранее спасибо за любую помощь!
Уважаемый(ая) [B]discord[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"] правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Выполнить скрипт:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('F:\WINDOWS\system32\debughelp32.exe','');
QuarantineFile('C:\Program Files\louderit\LouderIt.exe','');
QuarantineFile('F:\WINDOWS\system32\jzhfeod.dll','');
DeleteFile('F:\WINDOWS\system32\jzhfeod.dll');
DeleteFile('F:\WINDOWS\system32\debughelp32.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Debugger 32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится. Карантин прислать согласно правилам. Логи повторить.
Файл сохранён как 111116_194228_virus_4ec4122434a8e.zip
Размер файла 32449
MD5 c74b2f702e90fdc2c3f83d8247e137c3
логи присоеденил.
Ощущение, что проблема решена, на те сайты на которые не заходил, заходит, на интернет.ком не отправляет. Большое Спасибо!
В HiJackThis пофиксите:
[code]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.autocompletepro.com/?si=10197&bi=400
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.autocompletepro.com/?si=10197&bi=400
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.autocompletepro.com/?si=10197&bi=400
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://search.autocompletepro.com/?si=10197&bi=400
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.qip.ru/ie
R3 - URLSearchHook: (no name) - - (no file)
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
[/code]
[I]фикс опционален, так как сайты не зловредны.[/I]
[url=http://virusinfo.info/showthread.php?t=7239]Выполните в AVZ скрипт[/url] из файла [URL=http://dataforce.ru/~kad/ScanVuln.txt]ScanVuln.txt[/URL] откройте файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления. (Обратите внимание, при установке сервис паков, обновлении ОС, может потребоваться повторная активация Windows)
Перезагрузите компьютер.
Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.
В HiJackThis пофиксил. Обновления скачал, установил. Скрипт повторил ScanVuln.txt , уязвимости устранены.
Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]
При установке программы произошла ошибка, но все равно все поставилось, однако лог не сохранился после проверки, и в папке Logs его тоже не было, поэтому я просто нажал сохранить отчет и соответственно его и прикрепляю. нашлись зараженные файлы.
[b]discord[/b], [URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]удалите в MBAM[/URL] [COLOR="Red"]только эти строки[/COLOR]:
[CODE]Зараженные ключи в реестре:
HKEY_CLASSES_ROOT\CLSID\{1440AD10-6AA8-11D1-B6F9-00A024DDAFD1} (Spyware.OnlineGames) -> No action taken.
Зараженные параметры в реестре:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SysDebug32 (Trojan.Agent) -> Value: SysDebug32 -> No action taken.
Зараженные файлы:
f:\WINDOWS\qlprismupdater.exe (Adware.Kraddare) -> No action taken.[/CODE]
Повторите лог, обязательно отметьте еще диск С:\ если он у Вас присутствует в системе.
диск "C" не доступен из винды, на нем установлен линукс, доступ к диску С из винды я не делал, если нужно, сделаем. Строки удалил, сканирование повторил. Лог прилагается.
[b]discord[/b], так давайте разберемся:
[URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]удалите в MBAM[/URL] [COLOR="Red"]эту строку[/COLOR]:
[CODE]f:\system volume information\_restore{0fae04c4-7b36-4cae-812f-b47581bb248e}\RP9\A0000473.exe (Adware.Kraddare) -> No action taken.[/CODE] - такое ощущение, что у Вас включено системное восстановление. Проверьте перед лечением, если включено - ВЫКЛЮЧИТЬ.
Знаете ли Вы какие-либо из этих файлов:
[CODE]f:\program files\ra2.exe (Trojan.FakeAlert) -> No action taken.
f:\program files\ra2md.exe (Trojan.FakeAlert) -> No action taken.
f:\program files\blowfish.dll (Spyware.OnlineGames) -> No action taken.
f:\program files\drvmgt.dll (Spyware.OnlineGames) -> No action taken.[/CODE]
Если нет - удаляем тоже.
После всего проделанного отпишитесь о проблеме.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] f:\\windows\\system32\\jzhfeod.dll - [B]Trojan-Downloader.Win32.Agent.tmxw[/B] ( DrWEB: Trojan.Mayachok.550, BitDefender: Trojan.Generic.6935151, AVAST4: Win32:Vundo-LL [Trj] )[/LIST][/LIST]