Добрый день!
При соединении с интернет, автоматически начинают загружаться страницы. Адреса страниц разные, но в основном [URL]http://ya.ru[/URL] . Пожалуйста, помогите справиться с проблемой, трафик кушает немерянно ....
Printable View
Добрый день!
При соединении с интернет, автоматически начинают загружаться страницы. Адреса страниц разные, но в основном [URL]http://ya.ru[/URL] . Пожалуйста, помогите справиться с проблемой, трафик кушает немерянно ....
1.[URL="http://virusinfo.info/showthread.php?t=4491"]Профиксите[/URL] в HijackThis
[CODE]
O2 - BHO: (no name) - {259F616C-A300-44F5-B04A-ED001A26C85C} - (no file)
O9 - Extra button: JsConsole - {549D3A98-1496-42B4-BC43-BF1D6E8E3EE7} - C:\Program Files\Sleuth\SleuthBrowserExtensions.exe/custom (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ Lite - {E59EB121-F339-4851-A3BA-FE49C35617C2} - ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {E59EB121-F339-4851-A3BA-FE49C35617C2} - ICQ.exe (file missing)
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
[/CODE]
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\vxdpla.dll','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\system32\dls.exe','');
QuarantineFile('c:\windows\system32\smphost.exe','');
TerminateProcessByName('c:\windows\system32\smphost.exe');
DeleteFile('c:\windows\system32\smphost.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','smphost');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\WINDOWS\system32\dls.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.([COLOR="Blue"]virusinfo_syscheck.zip;hijackthis.log[/COLOR])
- Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"][COLOR="Blue"][B]MBAM[/B][/COLOR][/URL]
Программка долго сканировала...
Жду Ваших дальнейших указаний
Отключите[B][COLOR="Red"] Системное восстановление!!![/COLOR][/B][URL="http://avptool.ru/ru/AVPTool_helpdesk_sysrestore.htm"] как- посмотреть можно тут[/URL]
- [URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]удалите[/URL] в [B]MBAM[/B]
[CODE]
Зараженные ключи в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{42f2c9ba-614f-47c0-b3e3-ecfd34eed658} (Adware.ISTBar) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{7c559105-9ecf-42b8-b3f7-832e75edd959} (Adware.ISTBar) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1d4db7d2-6ec9-47a3-bd87-1e41684e07bb} (Adware.MyWebSearch) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b64f4a7c-97c9-11da-8bde-f66bad1e3f3a} (Rogue.WinAntiVirus) -> No action taken.
Зараженные параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\host (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\id (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Services\del (Malware.Trace) -> No action taken.
Зараженные файлы:
C:\System Volume Information\_restore{3F5D6CC0-FE79-43BB-8A8C-DAC638BBEB46}\RP1478\A0515623.exe (Trojan.Agent.CK) -> No action taken.
C:\System Volume Information\_restore{3F5D6CC0-FE79-43BB-8A8C-DAC638BBEB46}\RP1478\A0515715.exe (Malware.NSPack) -> No action taken.
C:\System Volume Information\_restore{3F5D6CC0-FE79-43BB-8A8C-DAC638BBEB46}\RP1478\A0515716.exe (Malware.NSPack) -> No action taken.
C:\WINDOWS\hosts (Trojan.Agent) -> No action taken.
[/CODE]
повторите лог
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]12[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\dls.exe - [B]Backdoor.Win32.Agent.bcmt[/B] ( BitDefender: Gen:Variant.Buzy.102, AVAST4: Win32:BHO-ADC [Trj] )[*] c:\\windows\\system32\\sdra64.exe - [B]Packed.Win32.Katusha.o[/B] ( DrWEB: Trojan.PWS.Panda.114, BitDefender: Trojan.Spy.ZBot.WF, AVAST4: Win32:MalOb-IF [Cryp] )[*] c:\\windows\\system32\\smphost.exe - [B]Trojan-Spy.Win32.Lpxenur.l[/B] ( BitDefender: Spyware.13432, AVAST4: Win32:BHO-ADC [Trj] )[*] c:\\windows\\system32\\vxdpla.dll - [B]Trojan.Win32.BHO.azou[/B] ( DrWEB: Trojan.Click1.27838, BitDefender: Gen:Variant.Buzy.161, AVAST4: Win32:BHO-ADC [Trj] )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]