Не обновляется и не активирует лицензию касперский.С firefox не выходит на сайты kaspersky, nod, z-oleg, virusinfo и другие.В hosts ничего лишнего не прописано.С IE, Chrome, Opera на сайты выходит.Проверил cureit и kav removal tools - зловредов не найдено.Подскажите, где искать проблему?Все логи от avz и hijack во вложении (делал в safe mode).Спасибо!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) create, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ (как выполнить):
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('G:\install.exe',''); QuarantineFile('G:\autorun.inf',''); QuarantineFile('C:\WINDOWS\apppatch\maetqc.exe',''); QuarantineFile('C:\Program Files\Windows SteadyState\sctutil.dll',''); QuarantineFile('c:\program files\windows steadystate\sctsvc.exe',''); DeleteFile('C:\WINDOWS\apppatch\maetqc.exe'); DeleteFile('G:\autorun.inf'); DeleteFile('G:\install.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После перезагрузки выполните скрипт в AVZ:
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".Код:begin CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); end.
Сделайте заново лог virusinfo_syscheck.zip и лог HijackThis (пункты 2 и 3 раздела Диагностика правил) и приложите в теме.
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Подключите флешку (диск G.
Профиксите в HijackThis
Выполните скрипт в АВЗ -Код:F3 - REG:win.ini: load=C:\WINDOWS\apppatch\maetqc.exe F3 - REG:win.ini: run=C:\WINDOWS\apppatch\maetqc.exe F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\apppatch\maetqc.exe,
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('G:\install.exe',''); QuarantineFile('G:\autorun.inf',''); QuarantineFile('C:\WINDOWS\apppatch\maetqc.exe',''); QuarantineFile('C:\DOCUME~1\ADMIN~1.MAR\LOCALS~1\Temp\kjK1d91G.sys',''); DeleteFile('C:\DOCUME~1\ADMIN~1.MAR\LOCALS~1\Temp\kjK1d91G.sys'); DeleteFile('C:\WINDOWS\apppatch\maetqc.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','System'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userinit'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows NT\CurrentVersion\Windows','Run'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows NT\CurrentVersion\Windows','Load'); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\System32\userinit.exe,'); BC_ImportALL; ExecuteSysClean; BC_Activate; ExecuteWizard('TSW',2,3,true); RebootWindows(true); end.
После перезагрузки:
- Выполните в АВЗ:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
Добавлено через 2 минуты
эти файлы вам знакомы ?Код:G:\autorun.inf G:\install.exe
qip.ru в настройках браузера вам нужно? если нет, то
Профиксите в HijackThis
Код:R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://qip.ru R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.qip.ru R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.qip.ru/ie R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.qip.ru R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://qip.ru R3 - URLSearchHook: QIPBHO Class - {95289393-33EA-4F8D-B952-483415B9C955} - C:\Documents and Settings\Admin.MARIO\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll
Последний раз редактировалось regist; 24.02.2012 в 20:23. Причина: Добавлено
Карантин:Файл сохранён как 120224_164407_quarantine_4f47be57e1021.zip Новые логи во вложениифайлы g:\autorun.inf и g:\install.exe знакомы - это установка драйверов wacom.ps. это я по посту regist сделал. А в первом сообщении немного другой скрипт, его тоже выполнить?
Сделал еще и то что в сообщении от Nikkollo было.
Логи после этого действия во вложении
И это, подскажите пожалуйста что за зловред? За пароли стоит волноваться и менять все? Кейлоггинг? Сертификаты?
В логах порядок. Что с проблемами?
C:\WINDOWS\apppatch\maetqc.exe - Backdoor.Win32.Shiz.bxlgСообщение от create
Меняйте пароли...
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 11
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\apppatch\\maetqc.exe - Backdoor.Win32.Shiz.bxlg ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Heur.Zybut.1, NOD32: Win32/Spy.Shiz.NCF trojan, AVAST4: Win32:MalOb-KC [Cryp] )
Уважаемый(ая) create, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
