В опере всё время перекидывает на сайт internet.com

[ck1248]

Браузер перекидывает на сайт internet.com или открывает страницы в виде кода!

[Info_bot]

Уважаемый(ая) ck1248, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Nikkollo]

Обновите базы AVZ.
Если базы не обновляются через меню Файл - Обновление баз,
скачайте архив баз http://z-oleg.com/secur/avz_up/avzbase.zip
и распакуйте его в папку Base внутри папки AVZ, заменив имеющиеся файлы и перезапустите AVZ.

Выполните скрипт в AVZ (как выполнить):

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\zwqtahb.dll','');
 DeleteFile('C:\WINDOWS\system32\zwqtahb.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки выполните скрипт в AVZ:

Код:

 begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
 end.

Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

Сделайте заново лог virusinfo_syscheck.zip и лог HijackThis (пункты 2 и 3 раздела Диагностика правил) и приложите в теме.

[ck1248]

Карантин отправил! и Всё выполнил!

[thyrex]

Пофиксите в HiJack

Код:

O4 - HKLM\..\Policies\Explorer\Run: [50077] C:\DOCUME~1\ALLUSE~1.WIN\LOCALS~1\Temp\msdubmnax.exe
O4 - HKCU\..\Policies\Explorer\Run: [Windows Debugger 32] C:\WINDOWS\system32\machineupdate32.exe
O4 - Startup: AdobeUpdate.lnk = C:\WINDOWS\system32\cmd.exe
O4 - Startup: KsLz0wvRjQ0.exe
O4 - Startup: uUMXyhHV0wM.exe

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\machineupdate32.exe','');
 QuarantineFile('C:\Documents and Settings\Евгений.USERPC\Главное меню\Программы\Автозагрузка\KsLz0wvRjQ0.exe','');
 QuarantineFile('C:\Documents and Settings\Евгений.USERPC\Главное меню\Программы\Автозагрузка\uUMXyhHV0wM.exe','');
 DeleteFile('C:\Documents and Settings\Евгений.USERPC\Главное меню\Программы\Автозагрузка\uUMXyhHV0wM.exe');
 DeleteFile('C:\Documents and Settings\Евгений.USERPC\Главное меню\Программы\Автозагрузка\KsLz0wvRjQ0.exe');
 DeleteFile('C:\WINDOWS\system32\machineupdate32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

Сделайте лог RSIT
Сделайте лог полного сканирования МВАМ

[ck1248]

Карантин отправил!

[thyrex]

Удалите в МВАМ только указанные строки

Код:

Обнаруженные ключи в реестре:  1
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SETUP.EXE (Spyware.Passwords) -> Действие не было предпринято.

Обнаруженные параметры в реестре:  4
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|50077 (Trojan.Zbot.FMC) -> Параметры: C:\DOCUME~1\ALLUSE~1.WIN\LOCALS~1\Temp\msdubmnax.exe -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Параметры: 1 -> Действие не было предпринято.
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon|SysDebug32 (Trojan.Agent) -> Параметры: њ°ґp.!*щБXп?$Nй„Вp’ґц1
FР[^ўssВШЋ#ЕOQ`nзБъ)ї»–ў_Фu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iГ+‰„е9*=.%‰VnµСT=Xё#u“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„i»њmьEеЙЮ’л]Јб{qu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iѕ•ЌґІQ[ -> Действие не было предпринято.
HKCU\Software\Microsoft\Windows\CurrentVersion\Run|Netprotocol (Spyware.Agent) -> Параметры: C:\Documents and Settings\Евгений.USERPC\Application Data\netprotocol.exe -> Действие не было предпринято.

Обнаруженные файлы:  71
C:\Documents and Settings\All Users.WINDOWS\Local Settings\Temp\msdubmnax.exe (Trojan.Zbot.FMC) -> Действие не было предпринято.
C:\Documents and Settings\Евгений.USERPC\Application Data\apache.exe (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Евгений.USERPC\Application Data\Sun\Java\Deployment\cache\6.0\50\500d26b2-3867672f (Trojan.Cryptbel.Gen) -> Действие не было предпринято.
C:\Documents and Settings\Евгений.USERPC\Рабочий стол\avz4\Quarantine\2012-03-01\avz00001.dta (Trojan.Backdoor) -> Действие не было предпринято.
C:\Documents and Settings\Евгений.USERPC\Рабочий стол\avz4\Quarantine\2012-03-01\avz00002.dta (Trojan.VUPX.PTI1) -> Действие не было предпринято.
C:\Documents and Settings\Евгений.USERPC\Рабочий стол\avz4\Quarantine\2012-03-01\avz00003.dta (Trojan.Cryptbel.Gen) -> Действие не было предпринято.
C:\Documents and Settings\Евгений.USERPC\Рабочий стол\avz4\Quarantine\2012-03-01\bcqr00001.dat (Trojan.Backdoor) -> Действие не было предпринято.
C:\Documents and Settings\Евгений.USERPC\Рабочий стол\avz4\Quarantine\2012-03-01\bcqr00002.dat (Trojan.Backdoor) -> Действие не было предпринято.
C:\Documents and Settings\Евгений.USERPC\Рабочий стол\avz4\Quarantine\2012-03-01\bcqr00003.dat (Trojan.VUPX.PTI1) -> Действие не было предпринято.
C:\Documents and Settings\Евгений.USERPC\Рабочий стол\avz4\Quarantine\2012-03-01\bcqr00004.dat (Trojan.VUPX.PTI1) -> Действие не было предпринято.
C:\Program Files\Trend Micro\HiJackThis\backups\backup-20120301-103243-720-KsLz0wvRjQ0.exe (Trojan.VUPX.PTI1) -> Действие не было предпринято.
C:\WINDOWS\Temp\0.4085042200135557fdrgs.exe (Trojan.Zbot.FMC) -> Действие не было предпринято.
C:\WINDOWS\Temp\0.6407577922222149fdrgs.exe (Trojan.Zbot.FMC) -> Действие не было предпринято.
C:\WINDOWS\Temp\AF.tmp (Trojan.VUPX.PTI1) -> Действие не было предпринято.
C:\WINDOWS\Temp\machineupdate32.exe (Trojan.Backdoor) -> Действие не было предпринято.
C:\Documents and Settings\Евгений.USERPC\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.

Файл C:\plg.txt и папки

Код:

C:\Documents and Settings\Евгений.USERPC\Application Data\oIaiGFLDjIlyAf6
C:\oIaiGFLDjIlyAf6
C:\5zjF7Ku1upffOLD
C:\3MmoIiCgNt6vMNL
C:\Documents and Settings\Евгений.USERPC\Application Data\MicroST

удалите вручную

Сдлеайте новые логи МВАМ и RSIT

[ck1248]

На счёт удаления в МВАМ не уверен , что всё правильно сделал!но вот логи!

[thyrex]

Плохого не увидел. Что с проблемой?

[ck1248]

Вроде всё нормально!Спасибо за помощь!

[thyrex]

Смените все пароли

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 12
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\documents and settings\\евгений.userpc\\главное меню\\программы\\автозагрузка\\kslz0wvrjq0.exe - Backdoor.Win32.Gbot.udd ( DrWEB: Trojan.DownLoader5.52550, BitDefender: Trojan.Generic.KD.548596, NOD32: Win32/TrojanDownloader.Carberp.AD trojan, AVAST4: Win32:Rootkit-gen [Rtk] )
  2. c:\\documents and settings\\евгений.userpc\\главное меню\\программы\\автозагрузка\\uumxyhhv0wm.exe - Trojan-Spy.Win32.Carberp.dzm ( DrWEB: Trojan.Carberp.29, BitDefender: Trojan.Generic.KDV.540198, NOD32: Win32/TrojanDownloader.Carberp.AD trojan, AVAST4: Win32:Downloader-NCN [Trj] )
  3. c:\\windows\\system32\\machineupdate32.exe - Trojan.Win32.Menti.mjbu ( DrWEB: Trojan.PWS.Turist.1, BitDefender: Trojan.Generic.KD.546597, NOD32: Win32/Spy.Ranbyus.E trojan, AVAST4: Win32:MalOb-JS [Cryp] )
  4. c:\\windows\\system32\\zwqtahb.dll - Trojan-Dropper.Win32.Cidox.tjo ( DrWEB: Trojan.Mayachok.552, BitDefender: Gen:Variant.Zbot.26, NOD32: Win32/Agent.SFM trojan, AVAST4: Win32:MalOb-JZ [Cryp] )

Рекомендации:

1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !