Добрый день!
При соединении с интернет, автоматически начинают загружаться страницы. Адреса страниц разные, но в основном http://ya.ru . Пожалуйста, помогите справиться с проблемой, трафик кушает немерянно ....
Добрый день!
При соединении с интернет, автоматически начинают загружаться страницы. Адреса страниц разные, но в основном http://ya.ru . Пожалуйста, помогите справиться с проблемой, трафик кушает немерянно ....
1.Профиксите в HijackThis
2. Выполните скрипт в AVZКод:O2 - BHO: (no name) - {259F616C-A300-44F5-B04A-ED001A26C85C} - (no file) O9 - Extra button: JsConsole - {549D3A98-1496-42B4-BC43-BF1D6E8E3EE7} - C:\Program Files\Sleuth\SleuthBrowserExtensions.exe/custom (file missing) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: ICQ Lite - {E59EB121-F339-4851-A3BA-FE49C35617C2} - ICQ.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {E59EB121-F339-4851-A3BA-FE49C35617C2} - ICQ.exe (file missing) O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\vxdpla.dll',''); QuarantineFile('C:\WINDOWS\system32\sdra64.exe',''); QuarantineFile('C:\WINDOWS\system32\dls.exe',''); QuarantineFile('c:\windows\system32\smphost.exe',''); TerminateProcessByName('c:\windows\system32\smphost.exe'); DeleteFile('c:\windows\system32\smphost.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','smphost'); DeleteFile('C:\WINDOWS\system32\sdra64.exe'); DeleteFile('C:\WINDOWS\system32\dls.exe'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Сделайте лог MBAM
Программка долго сканировала...
Жду Ваших дальнейших указаний
Отключите Системное восстановление!!! как- посмотреть можно тут
- удалите в MBAM
повторите логКод:Зараженные ключи в реестре: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{42f2c9ba-614f-47c0-b3e3-ecfd34eed658} (Adware.ISTBar) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{7c559105-9ecf-42b8-b3f7-832e75edd959} (Adware.ISTBar) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1d4db7d2-6ec9-47a3-bd87-1e41684e07bb} (Adware.MyWebSearch) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b64f4a7c-97c9-11da-8bde-f66bad1e3f3a} (Rogue.WinAntiVirus) -> No action taken. Зараженные параметры в реестре: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\host (Malware.Trace) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\id (Malware.Trace) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Services\del (Malware.Trace) -> No action taken. Зараженные файлы: C:\System Volume Information\_restore{3F5D6CC0-FE79-43BB-8A8C-DAC638BBEB46}\RP1478\A0515623.exe (Trojan.Agent.CK) -> No action taken. C:\System Volume Information\_restore{3F5D6CC0-FE79-43BB-8A8C-DAC638BBEB46}\RP1478\A0515715.exe (Malware.NSPack) -> No action taken. C:\System Volume Information\_restore{3F5D6CC0-FE79-43BB-8A8C-DAC638BBEB46}\RP1478\A0515716.exe (Malware.NSPack) -> No action taken. C:\WINDOWS\hosts (Trojan.Agent) -> No action taken.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 12
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\dls.exe - Backdoor.Win32.Agent.bcmt ( BitDefender: Gen:Variant.Buzy.102, AVAST4: Win32:BHO-ADC [Trj] )
- c:\\windows\\system32\\sdra64.exe - Packed.Win32.Katusha.o ( DrWEB: Trojan.PWS.Panda.114, BitDefender: Trojan.Spy.ZBot.WF, AVAST4: Win32:MalOb-IF [Cryp] )
- c:\\windows\\system32\\smphost.exe - Trojan-Spy.Win32.Lpxenur.l ( BitDefender: Spyware.13432, AVAST4: Win32:BHO-ADC [Trj] )
- c:\\windows\\system32\\vxdpla.dll - Trojan.Win32.BHO.azou ( DrWEB: Trojan.Click1.27838, BitDefender: Gen:Variant.Buzy.161, AVAST4: Win32:BHO-ADC [Trj] )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
Уважаемый(ая) comdiv, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.