В браузере постоянная проверка на вирусы

Printable View

24.11.2010, 07:31
dance_machine

В браузере постоянная проверка на вирусы

Доброго времени суток. В поиске гугл нажимаю на любые 3 ссылки, нужные мне, появляется окно с проверкой на вирусы и антивирус ругается на атаку, мне это уже изрядно надоело. Можно вылечить?
24.11.2010, 08:09
Aleksandra

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile(GetAVZDirectory+'log\virusinfo_cure.zip');
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\setsdbd.dll','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\qmkin.exe','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\sesnaestzupa.exe','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\sesnaestbre.exe','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\sesdessetri.exe','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\sesdessecetra.exe','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\dvadessest.exe','');
DeleteService('ylbzrjug');
DeleteService('yjwskyxm');
DeleteService('vfoewske');
DeleteService('lguozkln');
DeleteService('kvgavtkg');
DeleteService('jezyurws');
DeleteService('hwvrrudn');
DeleteService('hnlhzihq');
DeleteService('gopccygf');
DeleteService('eckvnikr');
DeleteService('bhifbnrv');
DeleteService('baykhqms');
DeleteService('ajvydzlf');
QuarantineFile('C:\WINDOWS\system32\cryptnet32.dll','');
QuarantineFile('c:\docume~1\admin\locals~1\temp\sesdessecetra.exe','');
TerminateProcessByName('c:\docume~1\admin\locals~1\temp\sesdessecetra.exe');
QuarantineFile('c:\docume~1\admin\locals~1\temp\dvadessest.exe','');
TerminateProcessByName('c:\docume~1\admin\locals~1\temp\dvadessest.exe');
DeleteFile('c:\docume~1\admin\locals~1\temp\dvadessest.exe');
DeleteFile('c:\docume~1\admin\locals~1\temp\sesdessecetra.exe');
DeleteFile('C:\WINDOWS\system32\cryptnet32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\ajvydzlf.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\baykhqms.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\bhifbnrv.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\eckvnikr.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\gopccygf.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\hnlhzihq.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\hwvrrudn.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\jezyurws.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\kvgavtkg.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\lguozkln.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\vfoewske.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\yjwskyxm.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ylbzrjug.sys');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\dvadessest.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Driver Control Manager v5.3');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\sesdessecetra.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Driver Control Manager v8.2');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Driver Control Manager v8.2');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\sesdessetri.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Driver Control Manager v8.1');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\sesnaestbre.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Driver Control Manager v7.8');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\sesnaestzupa.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Driver Control Manager v8.0');
DeleteFile('C:\Documents and Settings\Admin\Application Data\qmkin.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet32','DLLName');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(6);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!

3. Выполните скрипт в AVZ:

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Загрузите файл quarantine.zip, используя ссылку [url]http://virusinfo.info/upload_virus.php?tid=92324[/url]

4. [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в HijackThis:[/URL]

[QUOTE]O20 - Winlogon Notify: cryptnet32 - cryptnet32.dll (file missing)[/QUOTE]

5. Обновите базы AVZ и повторите логи.
24.11.2010, 09:05
dance_machine

Карантин отправил, профиксил. AVZ не обновляется "Ошибка в ходе автоматического обновления - Ошибка загрузки файла с описанием обновления avzupd.zip с [url]http://www.z-oleg.com/secur/avz_up/[/url] [21, 00000002]"

Логи:
24.11.2010, 09:19
Aleksandra

[QUOTE=dance_machine;736930]Карантин отправил[/QUOTE]
Не вижу Вашего карантина.
24.11.2010, 10:32
dance_machine

А сейчас есть?
24.11.2010, 11:05
Aleksandra

[QUOTE=dance_machine;736966]А сейчас есть?[/QUOTE]
Сейчас вижу.

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile(GetAVZDirectory+'log\virusinfo_cure.zip');
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\setsdbd.dll','');
DeleteFile('J:\autorun.inf');
DeleteFile('J:\MICROSOF-1DBB0C\MICROSOF-1DBB0C\MICROSOF-1DBB0Cdl14.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!

3. Выполните скрипт в AVZ:

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Загрузите файл quarantine.zip, используя ссылку [url]http://virusinfo.info/upload_virus.php?tid=92324[/url]

4. Пофиксите в HijackThis:

[QUOTE]O20 - Winlogon Notify: cryptnet32 - cryptnet32.dll (file missing)[/QUOTE]

5. Обновите базы AVZ и повторите логи.
24.11.2010, 12:28
dance_machine

Скрипт выполнен.

[QUOTE]4. Пофиксите в HijackThis:

Цитата:O20 - Winlogon Notify: cryptnet32 - cryptnet32.dll (file missing)[/QUOTE]
Этого нет в hijach

[QUOTE]5. Обновите базы AVZ и повторите логи.[/QUOTE]
я же говорю - [QUOTE]AVZ не обновляется "Ошибка в ходе автоматического обновления - Ошибка загрузки файла с описанием обновления avzupd.zip с [url]http://www.z-oleg.com/secur/avz_up/[/url] [21, 00000002]"[/QUOTE]

Карантин выслал.

Логи:
24.11.2010, 12:40
thyrex

Сделайте лог [url="http://virusinfo.info/showpost.php?p=493610&postcount=1"]ComboFix[/url]
25.11.2010, 08:05
dance_machine

Лог ComboFix:
25.11.2010, 08:52
snifer67

Выполните скрипт в avz
[code]begin
QuarantineFile('c:\windows\system32\winlogon.exe','');
QuarantineFile('c:\windows\explorer.exe','');
end.[/code]

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
25.11.2010, 11:12
dance_machine

Скрипт выполнен.
Карантин отправлен.
25.11.2010, 15:20
snifer67

c:\windows\system32\winlogon.exe и c:\windows\explorer.exe замените на чистые [url]http://virusinfo.info/showthread.php?t=51654[/url]
26.11.2010, 15:20
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]14[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\docume~1\\admin\\locals~1\\temp\\dvadessest.exe - [B]Trojan.Win32.Jorik.IRCbot.la[/B] ( DrWEB: Win32.HLLW.Autoruner.29375, BitDefender: Trojan.Generic.4846269, NOD32: Win32/AutoRun.IRCBot.FL worm, AVAST4: Win32:IRCBot-EON [Trj] )[*] c:\\docume~1\\admin\\locals~1\\temp\\sesdessecetra.exe - [B]Trojan.Win32.Jorik.Skor.fs[/B] ( DrWEB: BackDoor.IRC.Bot.592, BitDefender: Trojan.Generic.6778486, NOD32: Win32/AutoRun.IRCBot.FL worm, AVAST4: Win32:Malware-gen )[*] c:\\program files\\usb_anti_autorun\\usb.wsf - [B]Worm.VBS.VirusProtection.d[/B] ( DrWEB: VBS.Autoruner.103, BitDefender: Generic.ScriptWorm.22F0F47D, AVAST4: VBS:VirusProtection-C )[*] c:\\windows\\explorer.exe - [B]Trojan.Win32.Patched.kl[/B] ( DrWEB: Win32.Dat.14, BitDefender: Trojan.Patched.GR, NOD32: Win32/Bamital.EV trojan, AVAST4: Win32:Bamital-AO )[*] c:\\windows\\setsdbd.dll - [B]Trojan-Downloader.Win32.Mufanom.aqda[/B] ( DrWEB: Trojan.Hiloti.based.2, BitDefender: Gen:Variant.Kazy.3358, AVAST4: Win32:MalOb-DT [Cryp] )[*] c:\\windows\\system32\\cryptnet32.dll - [B]Trojan.Win32.Delf.ahrs[/B] ( DrWEB: Trojan.Siggen2.5088, BitDefender: Trojan.Generic.5065862, NOD32: Win32/Lukicsel.Q trojan, AVAST4: Win32:Malware-gen )[*] c:\\windows\\system32\\winlogon.exe - [B]Trojan.Win32.Patched.kl[/B] ( DrWEB: Win32.Dat.14, BitDefender: Trojan.Patched.GR, NOD32: Win32/Bamital.EV trojan, AVAST4: Win32:Bamital-AO )[*] j:\\microsof-1dbb0c\\microsof-1dbb0c\\microsof-1dbb0cdl14.exe - [B]Trojan.Win32.Jorik.Skor.fs[/B] ( DrWEB: BackDoor.IRC.Bot.592, BitDefender: Trojan.Generic.6778486, NOD32: Win32/AutoRun.IRCBot.FL worm, AVAST4: Win32:Malware-gen )[/LIST][/LIST]