Добрый день.
Проблема: постоянно вылезают баннеры в браузере, после некоторого времени компьютер перестает отвечать на запросы, все зависает. Внизу страницы постоянно вылезает окно, но посмотреть его содержимое нет возможности.
Printable View
Добрый день.
Проблема: постоянно вылезают баннеры в браузере, после некоторого времени компьютер перестает отвечать на запросы, все зависает. Внизу страницы постоянно вылезает окно, но посмотреть его содержимое нет возможности.
Уважаемый(ая) [B]jess[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('E:\My_doc\CommonData\Winhlp31.exe','');
QuarantineFile('C:\Documents and Settings\Olya\imdhjque.exe','');
QuarantineFile('C:\Documents and Settings\Olya\Application Data\Taqor\orehm.exe','');
QuarantineFile('C:\Documents and Settings\Olya\Application Data\Microsoft\Windows\dllcache\bootvrfy.exe','');
QuarantineFile('C:\Documents and Settings\Olya\Application Data\Brother\BrotherSync.exe','');
QuarantineFile('C:\DOCUME~1\Olya\LOCALS~1\Temp\00009f0e.exe','');
QuarantineFile('C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msiinr.exe','');
TerminateProcessByName('c:\docume~1\olya\locals~1\temp\bxvtzgh.exe');
QuarantineFile('c:\docume~1\olya\locals~1\temp\bxvtzgh.exe','');
DeleteFile('c:\docume~1\olya\locals~1\temp\bxvtzgh.exe','32');
DeleteFile('C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msiinr.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','28071');
DeleteFile('C:\DOCUME~1\Olya\LOCALS~1\Temp\00009f0e.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','NetworkNotifyer');
DeleteFile('C:\Documents and Settings\Olya\Application Data\Brother\BrotherSync.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','BrotherSync');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BrotherSync','command');
DeleteFile('C:\Documents and Settings\Olya\Application Data\Microsoft\Windows\dllcache\bootvrfy.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\bootvrfy','command');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Command Processor','AutoRun');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Command Processor\','Autorun');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer','Run');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','bootvrfy');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce','bootvrfy');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Command Processor','AutoRun');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Command Processor\','Autorun');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer','Run');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','bootvrfy');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce','bootvrfy');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Command Processor','AutoRun');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Command Processor\','Autorun');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer','Run');
DeleteFile('C:\Documents and Settings\Olya\Application Data\Taqor\orehm.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','{FAF4E414-BE65-845B-949D-AB1B119A358A}');
DeleteFile('C:\Documents and Settings\Olya\imdhjque.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MSConfig');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MSConfig','command');
DeleteFile('E:\My_doc\CommonData\Winhlp31.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Winhlp31','command');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи
Сделайте лог [url="http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657"]полного сканирования МВАМ[/url]
приложены логи
Удалите в МВАМ (поместите в Карантин) только
[CODE]Registry Keys: 1
Trojan.Agent.XN, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\Kak 1.22, , [0b4c7129d3a8fa3c6f63d83250b44db3],
Registry Values: 1
Trojan.Agent, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER\RUN|28071, C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msiinr.exe, , [3e190c8e3c3fcd690938019141c2f20e]
Folders: 3
Trojan.Agent.XN, C:\Program Files\Inst\Kak, , [0b4c7129d3a8fa3c6f63d83250b44db3],
Trojan.Agent, C:\Documents and Settings\Olya\Application Data\Microsoft\Windows\dllcache, , [26311e7cee8d33034073c2dbbd456f91],
Trojan.Agent, C:\Documents and Settings\Olya\Application Data\Microsoft\Windows\dllcache\drivers, , [26311e7cee8d33034073c2dbbd456f91],
Files: 151
Trojan.Agent.RV, C:\Documents and Settings\Olya\Application Data\Qigyrao\tuqicuu.exe, , [104771292a51b0860b9c4fcfe61af20e],
Trojan.Bicololo, C:\Documents and Settings\Olya\Local Settings\Temp\0000808a.exe, , [61f61882d5a6d85ebffd057da064c937],
Trojan.Crypt.NKN, C:\Documents and Settings\Olya\Local Settings\Temp\0011e963.exe, , [124508928eedc472339729431be68a76],
Trojan.Crypt.NKN, C:\Documents and Settings\Olya\Local Settings\Temp\00e65499.exe, , [7add465494e7b185ca00294326dbd32d],
Trojan.Dorkbot.ED, C:\Documents and Settings\Olya\Local Settings\Temp\mtlzdjtz.exe, , [97c085150a71c57105e0acb8a16016ea],
Trojan.Dorkbot.ED, C:\Documents and Settings\Olya\Local Settings\Temp\iwcxpjp.exe, , [ec6b455548338da960857de7768b53ad],
Trojan.Downloader.ED, C:\Documents and Settings\Olya\? ?°?±??N????? N?N????»\avz4\avz4\Quarantine\2014-06-23\avz00011.dta, , [2334b4e6d1aad85e7f62197821e051af],
Trojan.Dorkbot.ED, C:\Documents and Settings\Olya\? ?°?±??N????? N?N????»\avz4\avz4\Quarantine\2014-06-23\avz00012.dta, , [94c3aaf08bf03afc0d286ff2a75a22de],
Trojan.Kelihos.ED, C:\Documents and Settings\Olya\? ?°?±??N????? N?N????»\avz4\avz4\Quarantine\2014-07-01\avz00001.dta, , [71e6a6f477047abcd8e4117ad1308b75],
Trojan.Agent.ED, C:\WINDOWS\zdriver32.exe, , [7dda45555e1dcf678d53563bf70ab44c],
Trojan.Miner, C:\Documents and Settings\Olya\Application Data\Microsoft\sys32\minerd.exe, , [72e599011467de581d32cd01639f0000],
Trojan.Miner, C:\Documents and Settings\Olya\Application Data\Microsoft\sys32\Elevate.exe, , [8acd98023843a591af2625ddb94b0af6],
Trojan.Miner, C:\Documents and Settings\Olya\Application Data\Microsoft\sys32\Elevate.pdb, , [a1b6ebaf07743006a1341ae8f50f837d],
Trojan.Miner, C:\Documents and Settings\Olya\Application Data\Microsoft\sys32\drive.exe, , [f760a9f1e49790a6fadc4ab8c53f3fc1],
Trojan.Miner, C:\Documents and Settings\Olya\Application Data\Microsoft\sys32\sys32.7z, , [92c59802463562d45d7a768c48bc6997],
Misused.Legit, C:\Documents and Settings\Olya\Application Data\Microsoft\sys32\7za.exe, , [fd5ad5c53c3f1b1b07d15aa8f311d030],
Trojan.Miner, C:\WINDOWS\system\sys32.7z, , [084fc1d94734b97da7329072de261fe1],
Backdoor.Agent.ZTGen, C:\Documents and Settings\Olya\Local Settings\Temp\ztmp\t15318.bat, , [4f08ecae08734de942158c7c5fa53ac6],
Backdoor.Agent.ZTGen, C:\Documents and Settings\Olya\Local Settings\Temp\ztmp\t15331.exe, , [480fbfdb29523006f3640cfcbf454fb1],
Trojan.Agent.XN, C:\Program Files\Inst\Kak\Uninstall.ini, , [0b4c7129d3a8fa3c6f63d83250b44db3],
Trojan.Agent.XN, C:\Program Files\Inst\Kak\1.txt, , [0b4c7129d3a8fa3c6f63d83250b44db3],
Trojan.Agent.XN, C:\Program Files\Inst\Kak\buhlo.vbs, , [0b4c7129d3a8fa3c6f63d83250b44db3],
Trojan.Agent.XN, C:\Program Files\Inst\Kak\cheburek.bat, , [0b4c7129d3a8fa3c6f63d83250b44db3],
Trojan.Agent.XN, C:\Program Files\Inst\Kak\Uninstall.exe, , [0b4c7129d3a8fa3c6f63d83250b44db3], [/CODE]
Сделано
Новый лог сканирования MBAM сделайте.
Лог mam
Папку avz4\Quarantine\ удалите, что с проблемой?
[QUOTE=regist;1132735]Папку avz4\Quarantine\ удалите, что с проблемой?[/QUOTE]
Проблема вроде бы решена, спасибо большое.
Что дальше рекомендовано предпринять? Еще разок прогнать CureIt'ом?
MBAM деинсталируйте
Выполните скрипт в AVZ при наличии доступа в интернет:
[CODE]var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.[/CODE]
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.
[url=http://virusinfo.info/showthread.php?t=121902]Советы и рекомендации после лечения компьютера[/url]
Спасибо большое за помощь.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]19[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]