вирусы

Printable View

16.03.2011, 00:23
histenemy

вирусы

на компьютере при включении запускаются какие-то программы, в браузерах невозможно сменить стартовую страницу.

со слов пострадавших - "там не наш браузер, не наши программы и рабочий стол, кажется, тоже не наш вообще"

файла virusinfo_syscheck в LOG нету
есть архив virusinfo_cure, но он не прикрепляется
16.03.2011, 00:45
thyrex

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\ADMIN\Application Data\winzipsoft\wzipstart.exe','');
TerminateProcessByName('c:\documents and settings\admin\local settings\application data\{3e1fcbf0-2495-f41a-2ad4-2cb7ff365d86}\.exe');
QuarantineFile('c:\documents and settings\admin\local settings\application data\{3e1fcbf0-2495-f41a-2ad4-2cb7ff365d86}\.exe','');
DeleteFile('c:\documents and settings\admin\local settings\application data\{3e1fcbf0-2495-f41a-2ad4-2cb7ff365d86}\.exe');
DeleteFile('C:\Documents and Settings\ADMIN\Application Data\winzipsoft\wzipstart.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','winxarj');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи

Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]
16.03.2011, 13:34
histenemy

Карантин отправлен. Логи прилагаются.

И ещё, как убрать установленые стратовые страницы в браузерах? До всех сканирований их невозможно было поменять, как я поняла, они были установлены вирусами или что-то типа того. Их просто так теперь можно поменять? А то выполняю всё строго по указанию, никуда сама не лезу :)
16.03.2011, 16:57
Bratez

Пофиксите в HijackThis:
[code]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxi.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxi.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
[/code]
Перезагрузите компьютер.
Проверьте, какие проблемы остались?
16.03.2011, 17:14
histenemy

в IE домашнюю страницу поменять получилось, в Опере - никак пока.
Что дальше делать?

И что делать с тем, что нашлось при сканировании МВАМ?
16.03.2011, 17:18
Bratez

Попробуйте удалить Оперу и поставить ее заново.
16.03.2011, 17:23
histenemy

Удалила, установила.
Стартовая страница - всё тот же дурацкий ctel.ru :(
16.03.2011, 17:33
Bratez

Сделайте новые логи согласно п.2 и 3 раздела [I]Диагностика[/I] [URL="http://virusinfo.info/pravila.html"]правил[/URL].
16.03.2011, 17:46
histenemy

новые логи
16.03.2011, 17:57
histenemy

Помимо всего прочего Антивирус не может скачать обновления.
Выскакивает ошибка (скрин во вложении)
16.03.2011, 18:04
Bratez

Когда лог AVZ делали, Опера была запущена?

[QUOTE='histenemy;775570']Антивирус не может скачать обновления[/QUOTE]
Возможно, потому, что у вас системная дата неверная (год).
16.03.2011, 19:34
histenemy

да, во время выполнени скрипта были открыты оба браузера, установленные на ноуте. Причём Опера как раз была открыта на той самой злосчастной страничке

Насчёт даты спасибо, не обратила внимания. Поменяла, обновления установились

[size="1"][color="#666686"][B][I]Добавлено через 1 час 18 минут[/I][/B][/color][/size]

В system32 нашла файлы opera6.ini и operaprefs_fixed.ini
с сылками на тот самый сайт

Удалила оба файла, перегрузилась. Всё ок теперь.
Ну, это если вдруг опять на такое натолкнётесь :)
17.03.2011, 19:34
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\admin\\local settings\\application data\\{3e1fcbf0-2495-f41a-2ad4-2cb7ff365d86}\\.exe - [B]Trojan.Win32.Agent.hnwu[/B] ( DrWEB: BackDoor.Siggen.28461, BitDefender: Backdoor.Generic.691560, AVAST4: Win32:Sirefef-PF [Trj] )[/LIST][/LIST]