проблема с Рабочим столом, редирект в браузере.

**Сергей Малышев** · 20.01.2012, 01:25

Добрый день!
Как болван нажал на ссылку в скайпе от знакомого, результат нехороший. На компьютере стоит KIS2012, находит в различных сочетаниях и разных папках Backdoor.Win32.ZAccess.avy. DR.Web CureIt! загрузить не удалось. Через несколько минут работы начинают не открываться ярлыки рабочего стола (с ошибкой "...не является приложением WIn32"), происходит редирект в Mozilla на сайт mediashifting/kom, который не открывается. Касперский находит указанный вирус все чаще, удаляет, предлагает перезагрузиться, но перезагрузка не проходит (останавливается на "завершение работы Windows", максимум ждал около 10 минут

), приходится перезагружать через reset. После работы AVZ KIS перестал запускаться. Также использовал TDSSKiller, он также находит 1-2 угрозы, но не может перезагрузить компьютер.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 20.01.2012, 01:28

Уважаемый(ая) Сергей Малышев, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Сергей Малышев** · 20.01.2012, 10:51

помогите мне, пожаалуйста!

**Techno** · 20.01.2012, 13:20

- Сделайте лог ComboFix.

**Сергей Малышев** · 20.01.2012, 20:47

Сделал, с проблемами. При старте утилиты и при завершении ее работы перед созданием лога программа не смогла перезвгрузить компьютер, сделал это самостоятельно. Лог прикрепляю.
Во время работы вываливались окна Puntoswitcher, Warboard (ПО клавиатуры) и Мkey (hot keys).

**Techno** · 20.01.2012, 22:42

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::

File::
c:\windows\system32\dds_log_trash.cmd

Driver::


NetSvc::

Folder::
c:\documents and settings\Sergey\Local Settings\Application Data\5dcea8bb

Registry::

FileLook::
C:\WINDOWS\system32\mindretrieve.dll

DirLook::
Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

**Сергей Малышев** · 21.01.2012, 03:25

Выполнил, симптомы исчезли еще после первого запуска combofix, Windows ринулся обновляться. Ссылки стали открываться в IE (пользуюсь mozilla), можно обратно переключить? (и где

)

**Techno** · 21.01.2012, 08:50

Удалите файл и папку вручную:

Код:

c:\windows\system32\dds_log_trash.cmd
c:\documents and settings\Sergey\Local Settings\Application Data\5dcea8bb

- Выполните в АВЗ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\mindretrieve.dll','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Удалите ComboFix

Сообщение от Сергей Малышев

можно обратно переключить?

Что переключить?

**Сергей Малышев** · 21.01.2012, 14:14

папки и файла по указанному пути нет. Скрипт выполнил, карантин отправил.
Удалить Combofix не удалось, скриншот ошибки прилагаю.

Что переключить?

У меня сейчас ссылки из документов и skype стали открываться в IE, которым я совсем не пользуюсь. Вот и осмелился спросить, можно ли обратно переключить, чтобы открытие происходило в Mozilla, и как

Этот неходячка KIS2012, кстати, за ночь нашел те же трояны, и удалил их, находил в папке C:\ system volume information\...

**Techno** · 21.01.2012, 14:24

Сообщение от Сергей Малышев

Удалить Combofix не удалось, скриншот ошибки прилагаю.

вместо combofix напишите полный путь к файлу combofix.exe

Сообщение от Сергей Малышев

Этот неходячка KIS2012, кстати, за ночь нашел те же трояны, и удалил их, находил в папке C:\ system volume information\...

отключите восстановление системы, потом снова включите.

Сообщение от Сергей Малышев

У меня сейчас ссылки из документов и skype стали открываться в IE, которым я совсем не пользуюсь. Вот и осмелился спросить, можно ли обратно переключить, чтобы открытие происходило в Mozilla, и как

Поменяйте браузер по умолчанию.

**Сергей Малышев** · 21.01.2012, 14:38

Сообщение от Techno

вместо combofix напишите полный путь к файлу combofix.exe

Та же ошибка.

Сообщение от Techno

отключите восстановление системы, потом снова включите.

Восстановление системы было выключено..

Сообщение от Techno

Поменяйте браузер по умолчанию.

Спасибо, получилось!

**Techno** · 21.01.2012, 14:47

Сообщение от Сергей Малышев

Та же ошибка.

Не может быть

Покажите фотку)

**Сергей Малышев** · 21.01.2012, 14:50

вот, я пробовал указывать как combofix, так и combofix.exe

**Techno** · 21.01.2012, 15:01

Попробуйте взять путь в кавычки ""

**Сергей Малышев** · 21.01.2012, 18:48

Получилось, спасибо! все, я здоров?

Или еще что нить нужно сделать/подождать?

**Techno** · 21.01.2012, 18:51

В логах порядок

**CyberHelper** · 22.01.2012, 18:51

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 2
В ходе лечения вредоносные программы в карантинах не обнаружены

проблема с Рабочим столом, редирект в браузере. (заявка № 115262)

Опции темы

проблема с Рабочим столом, редирект в браузере.

Это понравилось:

Это понравилось:

Это понравилось:

Это понравилось:

Итог лечения

Похожие темы

Проблема с рабочим столом

Проблема с рабочим столом

Проблема с рабочим столом

Тоже проблема с рабочим столом

проблема с рабочим столом

Метки для этой темы

Ваши права в разделе