Браузер перекидывает на сайт internet.com или открывает страницы в виде кода!
Браузер перекидывает на сайт internet.com или открывает страницы в виде кода!
Последний раз редактировалось ck1248; 29.02.2012 в 12:24.
Уважаемый(ая) ck1248, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Обновите базы AVZ.
Если базы не обновляются через меню Файл - Обновление баз,
скачайте архив баз http://z-oleg.com/secur/avz_up/avzbase.zip
и распакуйте его в папку Base внутри папки AVZ, заменив имеющиеся файлы и перезапустите AVZ.
Выполните скрипт в AVZ (как выполнить):
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\zwqtahb.dll',''); DeleteFile('C:\WINDOWS\system32\zwqtahb.dll'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После перезагрузки выполните скрипт в AVZ:
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".Код:begin CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); end.
Сделайте заново лог virusinfo_syscheck.zip и лог HijackThis (пункты 2 и 3 раздела Диагностика правил) и приложите в теме.
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
Карантин отправил! и Всё выполнил!
Пофиксите в HiJack
Выполните скрипт в AVZКод:O4 - HKLM\..\Policies\Explorer\Run: [50077] C:\DOCUME~1\ALLUSE~1.WIN\LOCALS~1\Temp\msdubmnax.exe O4 - HKCU\..\Policies\Explorer\Run: [Windows Debugger 32] C:\WINDOWS\system32\machineupdate32.exe O4 - Startup: AdobeUpdate.lnk = C:\WINDOWS\system32\cmd.exe O4 - Startup: KsLz0wvRjQ0.exe O4 - Startup: uUMXyhHV0wM.exe
Компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\machineupdate32.exe',''); QuarantineFile('C:\Documents and Settings\Евгений.USERPC\Главное меню\Программы\Автозагрузка\KsLz0wvRjQ0.exe',''); QuarantineFile('C:\Documents and Settings\Евгений.USERPC\Главное меню\Программы\Автозагрузка\uUMXyhHV0wM.exe',''); DeleteFile('C:\Documents and Settings\Евгений.USERPC\Главное меню\Программы\Автозагрузка\uUMXyhHV0wM.exe'); DeleteFile('C:\Documents and Settings\Евгений.USERPC\Главное меню\Программы\Автозагрузка\KsLz0wvRjQ0.exe'); DeleteFile('C:\WINDOWS\system32\machineupdate32.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Сделайте лог RSIT
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Карантин отправил!
Удалите в МВАМ только указанные строкиФайл C:\plg.txt и папкиКод:Обнаруженные ключи в реестре: 1 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SETUP.EXE (Spyware.Passwords) -> Действие не было предпринято. Обнаруженные параметры в реестре: 4 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|50077 (Trojan.Zbot.FMC) -> Параметры: C:\DOCUME~1\ALLUSE~1.WIN\LOCALS~1\Temp\msdubmnax.exe -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Параметры: 1 -> Действие не было предпринято. HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon|SysDebug32 (Trojan.Agent) -> Параметры: њ°ґp.!*щБXп?$Nй„Вp’ґц1FР[^ўssВШЋ#ЕOQ`nзБъ)ї»–ў_Фu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iГ+‰„е9*=.%‰VnµСT=Xё#u“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„i»њmьEеЙЮ’л]Јб{qu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iѕ•ЌґІQ[ -> Действие не было предпринято. HKCU\Software\Microsoft\Windows\CurrentVersion\Run|Netprotocol (Spyware.Agent) -> Параметры: C:\Documents and Settings\Евгений.USERPC\Application Data\netprotocol.exe -> Действие не было предпринято. Обнаруженные файлы: 71 C:\Documents and Settings\All Users.WINDOWS\Local Settings\Temp\msdubmnax.exe (Trojan.Zbot.FMC) -> Действие не было предпринято. C:\Documents and Settings\Евгений.USERPC\Application Data\apache.exe (Trojan.Agent) -> Действие не было предпринято. C:\Documents and Settings\Евгений.USERPC\Application Data\Sun\Java\Deployment\cache\6.0\50\500d26b2-3867672f (Trojan.Cryptbel.Gen) -> Действие не было предпринято. C:\Documents and Settings\Евгений.USERPC\Рабочий стол\avz4\Quarantine\2012-03-01\avz00001.dta (Trojan.Backdoor) -> Действие не было предпринято. C:\Documents and Settings\Евгений.USERPC\Рабочий стол\avz4\Quarantine\2012-03-01\avz00002.dta (Trojan.VUPX.PTI1) -> Действие не было предпринято. C:\Documents and Settings\Евгений.USERPC\Рабочий стол\avz4\Quarantine\2012-03-01\avz00003.dta (Trojan.Cryptbel.Gen) -> Действие не было предпринято. C:\Documents and Settings\Евгений.USERPC\Рабочий стол\avz4\Quarantine\2012-03-01\bcqr00001.dat (Trojan.Backdoor) -> Действие не было предпринято. C:\Documents and Settings\Евгений.USERPC\Рабочий стол\avz4\Quarantine\2012-03-01\bcqr00002.dat (Trojan.Backdoor) -> Действие не было предпринято. C:\Documents and Settings\Евгений.USERPC\Рабочий стол\avz4\Quarantine\2012-03-01\bcqr00003.dat (Trojan.VUPX.PTI1) -> Действие не было предпринято. C:\Documents and Settings\Евгений.USERPC\Рабочий стол\avz4\Quarantine\2012-03-01\bcqr00004.dat (Trojan.VUPX.PTI1) -> Действие не было предпринято. C:\Program Files\Trend Micro\HiJackThis\backups\backup-20120301-103243-720-KsLz0wvRjQ0.exe (Trojan.VUPX.PTI1) -> Действие не было предпринято. C:\WINDOWS\Temp\0.4085042200135557fdrgs.exe (Trojan.Zbot.FMC) -> Действие не было предпринято. C:\WINDOWS\Temp\0.6407577922222149fdrgs.exe (Trojan.Zbot.FMC) -> Действие не было предпринято. C:\WINDOWS\Temp\AF.tmp (Trojan.VUPX.PTI1) -> Действие не было предпринято. C:\WINDOWS\Temp\machineupdate32.exe (Trojan.Backdoor) -> Действие не было предпринято. C:\Documents and Settings\Евгений.USERPC\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято. C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.
удалите вручнуюКод:C:\Documents and Settings\Евгений.USERPC\Application Data\oIaiGFLDjIlyAf6 C:\oIaiGFLDjIlyAf6 C:\5zjF7Ku1upffOLD C:\3MmoIiCgNt6vMNL C:\Documents and Settings\Евгений.USERPC\Application Data\MicroST
Сдлеайте новые логи МВАМ и RSIT
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
На счёт удаления в МВАМ не уверен , что всё правильно сделал!но вот логи!
Плохого не увидел. Что с проблемой?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Вроде всё нормально!Спасибо за помощь!
Смените все пароли
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 12
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\евгений.userpc\\главное меню\\программы\\автозагрузка\\kslz0wvrjq0.exe - Backdoor.Win32.Gbot.udd ( DrWEB: Trojan.DownLoader5.52550, BitDefender: Trojan.Generic.KD.548596, NOD32: Win32/TrojanDownloader.Carberp.AD trojan, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\\documents and settings\\евгений.userpc\\главное меню\\программы\\автозагрузка\\uumxyhhv0wm.exe - Trojan-Spy.Win32.Carberp.dzm ( DrWEB: Trojan.Carberp.29, BitDefender: Trojan.Generic.KDV.540198, NOD32: Win32/TrojanDownloader.Carberp.AD trojan, AVAST4: Win32:Downloader-NCN [Trj] )
- c:\\windows\\system32\\machineupdate32.exe - Trojan.Win32.Menti.mjbu ( DrWEB: Trojan.PWS.Turist.1, BitDefender: Trojan.Generic.KD.546597, NOD32: Win32/Spy.Ranbyus.E trojan, AVAST4: Win32:MalOb-JS [Cryp] )
- c:\\windows\\system32\\zwqtahb.dll - Trojan-Dropper.Win32.Cidox.tjo ( DrWEB: Trojan.Mayachok.552, BitDefender: Gen:Variant.Zbot.26, NOD32: Win32/Agent.SFM trojan, AVAST4: Win32:MalOb-JZ [Cryp] )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
Уважаемый(ая) ck1248, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.