-
Junior Member
- Вес репутации
- 47
Во всех браузерах за место сайтов открывает исходный код
Добрый день.
Сегодня заметил что все браузеры (Opera, Firefox, IE) открывают за место запрошенных сайтов исходный код страницу причем только часть.
В разделе видел много таких тем по поводу этого странного вируса.
Провел анализ компьютера с помощью AVZ и HiJackThis, файлы прикрепил к теме. Заранее спасибо
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Simbofko, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\Program Files\Common Files\msado320.tlb','');
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\igfxtray.exe','');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\igfxtray.exe');
DeleteFile('C:\Program Files\Common Files\msado320.tlb');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\lanmanserver\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\srvsvc.dll');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- обновите базы AVZ
- Сделайте повторные логи по правилам п.1-3 раздела Диагностика.(virusinfo_syscure.zip;virusinfo_syscheck.zip; hijackthis.log)
-
-
Junior Member
- Вес репутации
- 47
Файл quarantine.zip залил.
Сделал проверку еще раз.
p.s проблема осталась
Последний раз редактировалось Simbofko; 24.06.2011 в 17:50.
-
Junior Member
- Вес репутации
- 47
up please
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\difavon.dll','');
DeleteFile('C:\WINDOWS\system32\difavon.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 47
Отчеты загрузил, а вот о файле карантина не разобрался.
Вырезка из правил
Приложение 3. Как прислать запрошенные файлы.
1. Запустите AVZ, выберите в меню "Файл" -> "Просмотр карантина".
2. Справа в списке файлов отметьте те файлы, которые нужно выслать.
3. Нажмите на кнопку "Архивировать" и укажите место на диске где будет сохранен архив. Настоятельно рекомендуется принимать название файла по умолчанию, т.е. virus.zip.
4. Загрузите полученный архив, используя ссылку на страницу загрузки (Прислать запрошенный карантин) в шапке Вашей темы.
А какой именно файл мне нужно вам выслать?
-
Сообщение от
Simbofko
А какой именно файл мне нужно вам выслать?
Если не указано,то все что есть. По идее,он там один должен быть - difavon.dll.
Добавлено через 1 минуту
В логах чисто.
Что с проблемой?
Последний раз редактировалось Bratez; 25.06.2011 в 16:57.
Причина: Добавлено
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 47
В списке карантинов не наблюдаю difavon.dll.
Заархивировал все что там было.
Проблема осталась.
Кстати, пытался в ручную добавить difavon.dll но файл не был найден.
Добавлено через 2 минуты
Прислал запрошенный карантин.
Последний раз редактировалось Simbofko; 25.06.2011 в 17:37.
Причина: Добавлено
-
Загрузитесь с установочного диска Windows в косоли восстановления (Recovery Console).
Выполните в консоли восстановления команды:
fixmbr
fixboot
Перезагрузите компьютер.
-
-
Junior Member
- Вес репутации
- 47
Одна проблема, диска Windows нет, случаем других способов нет?
-
Junior Member
- Вес репутации
- 47
up please
-
Сделайте проверку свежим AVPTool.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 47
Сделал проверку, последней версией (9.0.0.722)
Перезагрузил компьютер.
Проблема к сожалению осталась
Добавлено через 21 минуту
Заметил что если подключится к прокси серверу то проблема решается, значит вирус не на самом компьютере выполняется а из вне? Тоесть исходный файл (вирус) находится на компьютере а приёмник на стороннем сервере, при этом идет привязка по IP.
P.S моё имхо
Последний раз редактировалось Simbofko; 26.06.2011 в 18:31.
Причина: Добавлено
-
Сообщение от
Simbofko
Сделал проверку, последней версией (9.0.0.722)
Вы ее сейчас скачивали?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 47
Позавчера скачал.
А есть разница? Обновления же не вышли вроде как.
Поправьте если ошибаюсь.
-
Сообщение от
Simbofko
Позавчера скачал.
Смотря в какое время скачивали. Лечение уже есть в базах AVP Tool
Скачайте его еще раз
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 47
Окей, отпишу о результатах
Добавлено через 3 часа 23 минуты
такс, скачал последнюю версию AVPTool, выполнил сканированние системы, нашелся троян этот мерзкий. перезагрузил компьютер, и вуаля. проблема решена спасибо
странно что ЛК на сайте не изменил версию обнавления.
Последний раз редактировалось Simbofko; 27.06.2011 в 06:20.
Причина: Добавлено
-
Сообщение от
Simbofko
странно что ЛК на сайте не изменил версию обнавления.
Версия самой программы осталась прежней. Ее пересобрали с новыми базами
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 16
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\admin\\главное меню\\программы\\автозагрузка\\igfxtray.exe - Trojan-Spy.Win32.Carberp.uh ( DrWEB: Trojan.Carberp.5, BitDefender: Trojan.Generic.6078514, AVAST4: Win32:Carberp2 [Trj] )
- c:\\program files\\common files\\msado320.tlb - Trojan.Win32.Pakes.pde ( DrWEB: BackDoor.Tdss.7, BitDefender: Trojan.Generic.6257282, AVAST4: Win32:Malware-gen )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
-