В безопасном режиме проверил Cure It. Найденное прибил.
Далее по правилам.
Логи прикладываю.
В безопасном режиме проверил Cure It. Найденное прибил.
Далее по правилам.
Логи прикладываю.
Последний раз редактировалось Denis79; 06.09.2010 в 15:27.
Пофиксите в Hijackthis:Отключите компьютер от интернета, а также антивирус и/или файрвол.Код:R3 - URLSearchHook: (no name) - - (no file) F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,\\?\globalroot\systemroot\system32\kwswubg.exe,
Закройте все программы, выполните скрипт в AVZ:После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам + файл avz.log из папки AVZ прикрепите к своему сообщениюКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\Администратор\DoctorWeb\Quarantine\netprotocol.dll',''); QuarantineFile('C:\DOCUME~1\AC3D~1\LOCALS~1\Temp\esp8A25.tmp',''); QuarantineFile('C:\WINDOWS\system32\ykywhle.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\svchost.exe',''); QuarantineFile('c:\program files\viikiidesktopplugin\viikiidesktopplugin.exe',''); RegSearch('HKLM', '', 'esp8A25.tmp'); SaveLog(GetAVZDirectory + 'avz.log'); DeleteFile('C:\WINDOWS\system32\drivers\svchost.exe'); DeleteFile('C:\WINDOWS\system32\ykywhle.exe'); DeleteFile('C:\DOCUME~1\AC3D~1\LOCALS~1\Temp\esp8A25.tmp'); DeleteFile('C:\Documents and Settings\Администратор\DoctorWeb\Quarantine\netprotocol.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Generic Host for Win32 Services'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SVCHOST.EXE'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1); BC_ImportALL; ExecuteSysClean; BC_Activate; ExecuteRepair(20); RebootWindows(true); end.
Карантин прислал.
Логи повторил.
При выполнении скрипта комп не перегрузился, показалось что "завис", пришлось помочь.
Последний раз редактировалось Denis79; 06.09.2010 в 15:27.
Закройте все программы, выполните скрипт в AVZ:После выполнения скрипта компьютер перезагрузится! Сделайте новые логи virusinfo_syscheck.zip, hijackthis.log и лог combofixКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Control\Print\Providers\6BF30BFD'); RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Control\Print\Providers\6BF30BFD'); RegKeyDel('HKLM', 'SYSTEM\ControlSet001\Control\Print\Providers\6BF30BFD'); DeleteFile('C:\WINDOWS\system32\ykywhle.exe'); DeleteFile('C:\WINDOWS\system32\pngfixt.dll'); BC_DeleteFile('C:\WINDOWS\system32\ykywhle.exe'); DeleteFile('C:\DOCUME~1\AC3D~1\LOCALS~1\Temp\esp8A25.tmp'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Выполнил.
После выполнения последних процедур перестали отображаться страницы в браузерах, хотя пинг проходит и до DNS провайдера и непосредственно до сайтов различных только по IP. При явном указании тишина. Пробовал открывать в браузере по IP тоже тишина. Логи отсылаю с другого компьютера.
Последний раз редактировалось Denis79; 05.10.2010 в 16:15.
Извините за причиненные неудобства
Скачайте файл во вложении и распакуйте.
Файл afd.sys поместите в папку system32\drivers.
Информацию из файла afd.reg внесите в реестр по двойному клику левой кнопкой мыши
Последний раз редактировалось thyrex; 11.06.2010 в 00:28.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Выполнил. Все заработало, спасибо. Лечение закончено, я так понимаю?
Первоначальная проблема решена?
Установите Internet Explorer 8 (даже если им не пользуетесь)
Установите Adobe Acrobat 9.3 или удалите старый
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Все в порядке. Спасибо.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 12
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\администратор\doctorweb\quarantine\netpro tocol.dll - Backdoor.Win32.Buterat.ll ( DrWEB: BackDoor.Siggen.20744, AVAST4: Win32:Zbot-MTV [Trj] )
Уважаемый(ая) Denis79, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.