Не работают браузеры

**kotrine** · 14.12.2011, 20:30

Здравствуйте. Проблема в следующем - google chrome не открывает интернет страницы, opera перенаправляет на internet.com или выдает сообщение, что "Соединение закрыто удаленным сервером", IE работает но очень медленно. Также поменялась домашняя страница во всех браузерах, восстанавливается вручную, но при перезапуске опять изменяется. После прокруткой AVZ выдал, что винда не прошла проверку подлинности, рабочий стол стал черным, в правом углу экрана теперь висит напоминание об этом.
Как бы со всем этим справиться?

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 14.12.2011, 20:31

Уважаемый(ая) kotrine, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**thyrex** · 14.12.2011, 21:14

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\autorun.inf','');
 QuarantineFile('C:\WINDOWS\system32\dprclient32.exe','');
 QuarantineFile('C:\Documents and Settings\Андрей.PAPA\Application Data\xarchzip\xarchzip.exe','');
 QuarantineFile('C:\WINDOWS\system32\eaqzkqk.dll','');
 TerminateProcessByName('c:\documents and settings\Андрей.papa\application data\netprotocol.exe');
 QuarantineFile('c:\documents and settings\Андрей.papa\application data\netprotocol.exe','');
 DeleteFile('c:\documents and settings\Андрей.papa\application data\netprotocol.exe');
 DeleteFile('C:\WINDOWS\system32\eaqzkqk.dll');
 DeleteFile('C:\Documents and Settings\Андрей.PAPA\Application Data\xarchzip\xarchzip.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','winsmartzip');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Netprotocol');
 DeleteFile('C:\Program Files\pchd\PCHDPlayer.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PCHDPlayer');
 DeleteFile('C:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
DeleteFileMask('C:\Program Files\pchd', '*.*', true);
DeleteDirectory('C:\Program Files\pchd');
DeleteFileMask('C:\pchd', '*.*', true);
DeleteDirectory('C:\pchd');
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

Сделайте лог полного сканирования МВАМ

**kotrine** · 14.12.2011, 23:43

Браузеры заработали, домашняя страница стала родной. По-прежнему висит сообщение о поддельной копии винды.
Новые логи.

**thyrex** · 14.12.2011, 23:49

Лог МВАМ где?

**kotrine** · 14.12.2011, 23:54

Еще сканирует, как закончит сразу выложу.

**kotrine** · 16.12.2011, 00:11

лог MBAM, только он сам отчет автоматически не сохранил.

**thyrex** · 16.12.2011, 01:02

Удалите в МВАМ только указанные строки

Код:

Зараженные процессы в памяти:
c:\WINDOWS\system32\dprclient32.exe (Trojan.Zbot.CBCGen) -> 3908 -> No action taken.

Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\StimulProfit (Adware.Agent) -> No action taken.

Зараженные параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Windows Debugger 32 (Trojan.Zbot.CBCGen) -> Value: Windows Debugger 32 -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SysDebug32 (Trojan.Agent) -> Value: SysDebug32 -> No action taken.

Зараженные папки:
c:\program files\connectionservices (Trojan.BHO) -> No action taken.
c:\program files\microsoft common (Trojan.Agent) -> No action taken.
c:\program files\video add-on (Trojan.Zlob) -> No action taken.
c:\program files\videoaccesscodec (Trojan.FakeAlert) -> No action taken.
c:\documents and settings\андрей.papa\application data\winxrar (Trojan.Agent) -> No action taken.

Зараженные файлы:
c:\WINDOWS\system32\dprclient32.exe (Trojan.Zbot.CBCGen) -> No action taken.
c:\documents and settings\андрей.papa\application data\readme.exe (Trojan.Vundo) -> No action taken.
c:\documents and settings\андрей.papa\local settings\Temp\0.8899215431511162fdrgs.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\андрей.papa\local settings\Temp\dprclient32.exe (Trojan.Zbot.CBCGen) -> No action taken.
c:\documents and settings\андрей.papa\мои документы\downloads\identifikatsiya_i_falsifikatsiya_neprodovolstvennih_tovarov.zip (1).exe (PUP.SmsPay) -> No action taken.
c:\documents and settings\андрей.papa\мои документы\downloads\identifikatsiya_i_falsifikatsiya_neprodovolstvennih_tovarov.zip (2).exe (PUP.SmsPay) -> No action taken.
c:\documents and settings\андрей.papa\мои документы\downloads\identifikatsiya_i_falsifikatsiya_neprodovolstvennih_tovarov.zip.exe (PUP.SmsPay) -> No action taken.
c:\documents and settings\андрей.papa\рабочий стол\kniga_identifikatsiya_i_falsifikatsiya_neprodovolstvennih_tovarov_i_sh__dzahmisheva.exe (PUP.SmsPay) -> No action taken.
c:\downloads\avz4\avz4\Infected\2011-12-14\avz00001.dta (Malware.Packer.Gen) -> No action taken.
c:\downloads\avz4\avz4\Infected\2011-12-14\avz00002.dta (Malware.Packer.Gen) -> No action taken.
c:\downloads\avz4\avz4\Infected\2011-12-14\avz00003.dta (Malware.Packer.Gen) -> No action taken.
c:\WINDOWS\Temp\DWH3606.tmp (Trojan.Downloader) -> No action taken.
c:\program files\videoaccesscodec\install.ico (Trojan.FakeAlert) -> No action taken.
c:\program files\videoaccesscodec\Thumbs.db (Trojan.FakeAlert) -> No action taken.
c:\program files\videoaccesscodec\uninstall.exe (Trojan.FakeAlert) -> No action taken.
c:\documents and settings\андрей.papa\application data\winxrar\a.htm (Trojan.Agent) -> No action taken.
c:\documents and settings\андрей.papa\application data\winxrar\after.png (Trojan.Agent) -> No action taken.
c:\documents and settings\андрей.papa\application data\winxrar\aview (Trojan.Agent) -> No action taken.
c:\documents and settings\андрей.papa\application data\winxrar\dir.png (Trojan.Agent) -> No action taken.
c:\documents and settings\андрей.papa\application data\winxrar\dot.gif (Trojan.Agent) -> No action taken.
c:\documents and settings\андрей.papa\application data\winxrar\htmlayout.dll (Trojan.Agent) -> No action taken.
c:\documents and settings\андрей.papa\application data\winxrar\key (Trojan.Agent) -> No action taken.
c:\documents and settings\андрей.papa\application data\winxrar\logo.png (Trojan.Agent) -> No action taken.
c:\documents and settings\андрей.papa\application data\winxrar\logo2.png (Trojan.Agent) -> No action taken.
c:\documents and settings\андрей.papa\application data\winxrar\myriadwebpro-condensed.ttf (Trojan.Agent) -> No action taken.
c:\documents and settings\андрей.papa\application data\winxrar\rules.css (Trojan.Agent) -> No action taken.
c:\documents and settings\андрей.papa\application data\winxrar\sb-h-scroll-next.png (Trojan.Agent) -> No action taken.
c:\documents and settings\андрей.papa\application data\winxrar\sb-h-scroll-prev.png (Trojan.Agent) -> No action taken.
c:\documents and settings\андрей.papa\application data\winxrar\sb-scroll-back.png (Trojan.Agent) -> No action taken.
c:\documents and settings\андрей.papa\application data\winxrar\sb-scroll-base.png (Trojan.Agent) -> No action taken.
c:\documents and settings\андрей.papa\application data\winxrar\sb-scroll-slider.png (Trojan.Agent) -> No action taken.
c:\documents and settings\андрей.papa\application data\winxrar\sb-v-scroll-next.png (Trojan.Agent) -> No action taken.
c:\documents and settings\андрей.papa\application data\winxrar\sb-v-scroll-prev.png (Trojan.Agent) -> No action taken.
c:\documents and settings\андрей.papa\application data\winxrar\scroll.css (Trojan.Agent) -> No action taken.

Смените все пароли

**kotrine** · 17.12.2011, 01:24

Удалила. перезапустила, пароли поменяла. А от черного рабочего стола и сообщения "ищите подлинное по Майкрософт" никак не избавиться? Просто я не знаю какая винда стоит лицензионная или ломанная.
Сейчас запустила быстрое сканирование в МВАМ.
Спасибо.

**CyberHelper** · 18.12.2011, 01:24

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 5
В ходе лечения обнаружены вредоносные программы:
1. c:\\documents and settings\\андрей.papa\\application data\\netprotocol.exe - Trojan.Win32.Jorik.Buterat.anx ( DrWEB: Trojan.DownLoader5.25879, BitDefender: Gen:Variant.Kazy.48304, AVAST4: Win32:Vundo-MK [Trj] )
2. c:\\documents and settings\\андрей.papa\\application data\\xarchzip\\xarchzip.exe - Hoax.Win32.ArchSMS.khyw ( DrWEB: Trojan.SMSSend.1552, BitDefender: Trojan.Generic.6823566, AVAST4: Win32:Malware-gen )
3. c:\\windows\\system32\\dprclient32.exe - Trojan-Banker.Win32.Fibbit.da ( DrWEB: Trojan.PWS.Turist.1, BitDefender: Gen:Trojan.Heur.Zbot.6, AVAST4: Win32:MalOb-IT [Cryp] )
4. c:\\windows\\system32\\eaqzkqk.dll - Trojan-Ransom.Win32.Cidox.anp ( DrWEB: Trojan.Mayachok.550, BitDefender: Trojan.Generic.7031538, AVAST4: Win32:MalOb-IL [Cryp] )