С браузерами что-то не так [Trojan.MSIL.Agent.fedb ]

Printable View

Показывать 40 сообщений этой темы на одной странице

09.10.2014, 17:13
Yuri2510

С браузерами что-то не так [Trojan.MSIL.Agent.fedb ]

Заметил сейчас, что начальная страница браузера Mozilla Firefox изменена без моего участия, и как я понял в реестре. Также открылся сайт, но его заблокировал Adguard что-то там с баблом. Логи прилагаю.
09.10.2014, 17:15
Info_bot

Уважаемый(ая) [B]Yuri2510[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
09.10.2014, 19:44
thyrex

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Windows\fullhd.exe','');
QuarantineFile('C:\Windows\wsm.lnk','');
DeleteFile('C:\Program Files (x86)\Google\chrome.bat','32');
DeleteFile('C:\Users\User\AppData\Local\Yandex\browser.bat','32');
DeleteFile('C:\Windows\fullhd.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\linux','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ipadlo','command');
DeleteFile('C:\iexplore.bat','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи

Сделайте [url="http://virusinfo.info/soft/tool.php?tool=checkbrowserlnk"]такой лог[/url]
10.10.2014, 09:38
Yuri2510

Еще такой вопрос. После включения ноута, справа снизу на стрелку нажимаешь там потом флажок будет, который сделан для решения проблем, так вот нажимаю на него и написано Включить службу обеспечения безопасности Windiws (важное), я нажимаю и потом так же просит включить антивирус Аваст, но он включен. Мне кажется, что так не должно быть. Логи возможно не прикрепились, потому что раньше влезало окно, а сейчас новая вкладка и неудобная.
10.10.2014, 11:20
regist

1) - Проведите [url=http://virusinfo.info/content.php?r=290-virus-detector][b]эту[/b][/url] процедуру. Полученную ссылку после загрузки карантина [b]virusinfo_auto_имя_вашего_ПК.zip[/b] через [url=http://virusinfo.info/virusdetector/uploadform.php][b]данную форму[/b][/url] напишите в своём в сообщении здесь.

2) Выполните скрипт в AVZ

[CODE]
begin
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk','');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Яндекс\Элементы Яндекса\Страница Элементов Яндекса для Internet Explorer.lnk','');
QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk','');
QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk','');
QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yandex.lnk','');
QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk','');
QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yandex.lnk','');
QuarantineFile('C:\Program Files (x86)\Google\chrome.bat','');
QuarantineFile('C:\ProgramData\help.bat','');
QuarantineFile('C:\iexplore.bat','');
QuarantineFile('C:\Users\User\AppData\Local\Yandex\browser.bat','');
DeleteFile('C:\Program Files (x86)\Google\chrome.bat','');
DeleteFile('C:\ProgramData\help.bat','');
DeleteFile('C:\iexplore.bat','');
DeleteFile('C:\Users\User\AppData\Local\Yandex\browser.bat','');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.[/CODE]

- Файл [b][color=Red]quarantine.zip[/color][/b] из папки AVZ загрузите по ссылке [b][color=Red]Прислать запрошенный карантин[/color][/b] вверху темы.

- Исправьте с помощью [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]утилиты ClearLNK[/url] следующие ярлыки:

[CODE]C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk [C:\Program Files (x86)\Google\chrome.bat "http://helper365.ru" (File not found)]
C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\Яндекс\Элементы Яндекса\Страница Элементов Яндекса для Internet Explorer.lnk [C:\ProgramData\help.bat "http://helper365.ru" (File not found)]
C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk [C:\Program Files (x86)\Google\chrome.bat "http://helper365.ru" (File not found)]
C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk [C:\iexplore.bat "http://helper365.ru" (File not found)]
C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yandex.lnk [C:\Users\User\AppData\Local\Yandex\browser.bat "http://helper365.ru" (File not found)]
C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk [C:\iexplore.bat "http://helper365.ru" (File not found)]
C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yandex.lnk [C:\Users\User\AppData\Local\Yandex\browser.bat "http://helper365.ru" (File not found)]
C:\Users\Все пользователи\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk [C:\Program Files (x86)\Google\chrome.bat "http://helper365.ru" (File not found)]
C:\Users\Все пользователи\Microsoft\Windows\Start Menu\Programs\Яндекс\Элементы Яндекса\Страница Элементов Яндекса для Internet Explorer.lnk [C:\ProgramData\help.bat "http://helper365.ru" (File not found)]
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk [C:\Program Files (x86)\Google\chrome.bat "http://helper365.ru" (File not found)]
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Яндекс\Элементы Яндекса\Страница Элементов Яндекса для Internet Explorer.lnk [C:\ProgramData\help.bat "http://helper365.ru" (File not found)][/CODE]

отчёт о работе прикрепите.
10.10.2014, 11:47
Yuri2510

В авз скрипт сделал, в лнк тоже сделал, но скрипт 8 я немного позже сделаю, компьютер занят

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

MD5 карантина: 8A9D1E8D223F52F942787D461E4C49F5
http://virusinfo.info/virusdetector/report.php?md5=8A9D1E8D223F52F942787D461E4C49F5
10.10.2014, 12:05
regist

[quote="regist;1170291"]отчёт о работе прикрепите.[/quote]
где отчёт ClearLNK ?
10.10.2014, 12:22
Yuri2510

от него нет отчетов
10.10.2014, 12:34
regist

Рядом с утилитой в паке лог должен был создаться отчёт.
И что с проблемой?
10.10.2014, 12:39
Yuri2510

Все, понял))

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

В браузере мозила стартовая страница mygames . com . ua хотя должна быть стартовая Яндекса. Вручную в настройках браузера ставил, но все равно поменялось.
10.10.2014, 12:59
regist

[url=http://virusinfo.info/showthread.php?t=121767][b]Сделайте полный образ автозапуска uVS[/b][/url] только программу скачайте [url=https://yadi.sk/d/6A65LkI1WEuqC]отсюда[/url]
10.10.2014, 14:13
Yuri2510

Вот
10.10.2014, 14:51
regist

[url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS[/url]

[CODE];uVS v3.83.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v383c
BREG
del %SystemDrive%\WOTLAUNCHER.BAT
del %SystemDrive%\LAUNCHER.BAT
regt 1
regt 2
regt 28
regt 29
restart[/CODE]

сделайте новый образ автозапуска

что с проблемой?
10.10.2014, 16:24
Yuri2510

Сейчас образ делается. Зашел в мозилу, поменял еще раз стартовую страницу и теперь нормально работает. Там базовая была типа relinker и что-то там дальше. Но меня все же смущает, что меня просит включить аваст, я заскринил пару моментов, увидите. Я так понял /nogui это типо выключить защиту. Во вложения не помещается.
[url]https://yadi.sk/i/2Btp4KVdbvNB6[/url]
[url]https://yadi.sk/i/Gq-_V0kkbvN9s[/url]
[url]https://yadi.sk/i/t85OabGGbvNBW[/url]
10.10.2014, 17:17
regist

Аваст переустановите.

проблема решена?
10.10.2014, 17:25
Yuri2510

Только что включил яндекс браузер и высветилось сообщение от Aggurd'a что заблокирован фишинговый сайт
10.10.2014, 17:34
regist

а в яндексе стартовую страницу исправили? Если да, то пробуйте ещё отключить расширения браузеров.
11.10.2014, 07:06
Yuri2510

Да вроде нет ничего такого, стартовая нормальная, расширения я сам ставил
11.10.2014, 10:55
regist

Всё равно пробуйте все отключить и проверьте проблему.
11.10.2014, 11:12
Yuri2510

Сейчас не вылазит пока

Показывать 40 сообщений этой темы на одной странице