Подменен mail.ru в системе.
Здравствуйте! При доступе к сайту mail.ru из IE8 и firefox открывается фейковая страница отдаленно напоминающая mail.ru!
Как это устранить?
Также заметил, что при очистке авторана от записи
{B8FCF921-4BCA-D782-AE8B-B0E7B98F5A2D} C:\Documents and Settings\User\Application Data\Epabec\odhe.exe
она автоматически прописывается снова.
P.S. Хм, после обновления NOD32 на версию 4.2 mail.ru стал оригинальный открываться..
Последний раз редактировалось fragpit; 21.09.2010 в 12:50.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\Documents and Settings\User\Application Data\Epabec\odhe.exe',''); QuarantineFile('digeste.dll',''); QuarantineFile('C:\WINDOWS\system32\cmdow.exe',''); QuarantineFile('C:\WINDOWS\mkdrv.sys',''); DeleteFile('C:\WINDOWS\mkdrv.sys'); DeleteFile('C:\WINDOWS\system32\cmdow.exe'); DeleteFile('digeste.dll'); DeleteFile('C:\Documents and Settings\User\Application Data\Epabec\odhe.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','{B8FCF921-4BCA-D782-AE8B-B0E7B98F5A2D}'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,2,true); BC_Activate; RebootWindows(true); end.
После перезагрузки:
- выполните такой скрипт
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Повториет логи
- Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
mail.ru доступен.
А это?Сообщение от Olejah
а вот и это.
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); DeleteService('VIDEO'); QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.sys',''); DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys'); BC_DeleteSvc('VIDEO'); BC_ImportAll; ExecuteSysClean; RegKeyStrParamWrite('HKLM', 'system\currentcontrolset\control\securityproviders', 'SecurityProviders', 'msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll'); BC_Activate; RebootWindows(true); end.
После перезагрузки:
- выполните такой скрипт
Пришлите файл quarantine2.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip'); end.
После лечения настоятельно рекомендуется сменить все имеющиеся на компьютере пароли.
Выслал карантин. Спасибо за помощь!
Что с проблемой?
как я уже писал, сайт заработал после обновления NOD32 до версии 4.2
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 11
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\cmdow.exe - not-a-virus:RiskTool.Win32.HideWindows.o
Уважаемый(ая) fragpit, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
