Показано с 1 по 19 из 19.

Вирус закрывает браузер опера (заявка № 120322)

  1. #1
    Junior Member Репутация
    Регистрация
    26.11.2011
    Сообщений
    19
    Вес репутации
    23

    Thumbs up Вирус закрывает браузер опера

    Здравствуйте! Ситуация такая: при входе на сайт (мой личный) браузер закрывается самопроизвольно. и в последствии больше не запускается пока не перезагрузишь систему. возможно данная ситуация не только с моим сайтом, подозрение что вирус реагирует (проявляет себя) на скрипты сайта. вирус сидит в автозагрузке. При его запуске появляется несколько папок в корне С и не только с файлами dll и info.
    пробовал удалять их с помощью загрузочной флешки (загружался с Alkid) но все равно как зайешь на мой сайт сразу вирь появляется снова. раньше такого не было. Сайт мой личный.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,459
    Вес репутации
    342
    Уважаемый(ая) Meys, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Users\Дима\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Автозагрузка\.exe','');
     QuarantineFile('C:\Users\Дима\0.22533957495573165.exe','');
     DeleteFile('C:\Users\Дима\0.22533957495573165.exe');
     DeleteFile('C:\Users\Дима\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Автозагрузка\.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил
    повторите логи

  5. #4
    Junior Member Репутация
    Регистрация
    26.11.2011
    Сообщений
    19
    Вес репутации
    23
    В AVZ выходит ошибка ";" expected в позиции 12:1

    Скрипт выполнил, почему то в опере была не видна последняя строка скрипта "end."
    Сейчас проблема в карантине - там нет ни одного файла. Слева есть папка с сегодняшним числом а справа нет файлов

    Добавлено через 57 минут

    Понял в чем причина. Дело в том что файлы, которые должны были занестись в карантин изменились (поменялось название файла в автозагрузке, а 0.22533957495573165.exe вообще не стало)
    Вот новые логи.
    Последний раз редактировалось Meys; 16.05.2012 в 12:27. Причина: Добавлено

  6. #5
    Junior Member Репутация
    Регистрация
    26.11.2011
    Сообщений
    19
    Вес репутации
    23
    Посмотрите новые логи пожалуйста.
    Последний раз редактировалось Meys; 16.05.2012 в 18:25.

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    429
    Загрузите virusinfo_cure.zip из папки AVZ\LOG по красной ссылке вверху темы "Прислать запрошенный карантин".

    Выполните скрипт в AVZ (как выполнить):
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\Users\Дима\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Автозагрузка\z1B2pnakG9Q.exe');
    BC_ImportAll;
    ExecuteWizard('TSW',2,2,true);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Сделайте заново лог virusinfo_syscheck.zip (пункт 2 раздела Диагностика правил) и приложите в теме.

    Сделайте логи RSIT:
    http://virusinfo.info/showthread.php...292#post859292
    и приложите.
    Последний раз редактировалось Nikkollo; 16.05.2012 в 22:15.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  8. #7
    Junior Member Репутация
    Регистрация
    26.11.2011
    Сообщений
    19
    Вес репутации
    23

    Новые логи

    Все выполнил. Логи прилагаю.

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    429
    Эти папки и файл удалите вручную:
    Код:
    C:\Users\Дима\AppData\Roaming\Cljton04hR84x9f
    C:\Cljton04hR84x9f
    C:\Users\Дима\AppData\Roaming\bJlbDjVEY17T0XD
    C:\bJlbDjVEY17T0XD
    C:\Users\Дима\AppData\Roaming\tIz5Ph3OTFBR3ip
    C:\tIz5Ph3OTFBR3ip
    C:\plg.txt
    Смените все пароли.

    Что с проблемой?
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  10. #9
    Junior Member Репутация
    Регистрация
    26.11.2011
    Сообщений
    19
    Вес репутации
    23
    Спасибо сейчас все хорошо. Пароли сменю. У меня стоит антивирус Eset Smart Security 4. И по видимому он не реагирует и пропускает вирусы такого типа. Что вы посоветуете, может установить что нибудь дополнительно или удалить eset и поставить что нибудь другое?

    Добавлено через 16 минут

    нет, оказалось все таки проблема так и осталась. Видимо этот зловред где-то глубоко сидит. Сейчас зашел опять на свой сайт и браузер снова закрылся, опять появились эти файлы и папки в автозагрузке и в корне.
    Сайт чистый, на другом компе проверял.
    Последний раз редактировалось Meys; 17.05.2012 в 13:25. Причина: Добавлено

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Делайте логи заново AVZ и RSIT
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  12. #11
    Junior Member Репутация
    Регистрация
    26.11.2011
    Сообщений
    19
    Вес репутации
    23

    Новые логи

    Сделал новые логи.
    virusinfo_cure.zip не нужно загружать?

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    429
    В указанном порядке:

    Выполните скрипт в AVZ отсюда:
    http://dataforce.ru/~kad/ScanVuln.txt
    Файл avz_log.txt из папки AVZ\LOG приложите в теме.

    Пройдите по всем ссылкам (http:...) в avz_log.txt и установите указанные там обновления.
    Выполните еще раз скрипт в http://dataforce.ru/~kad/ScanVuln.txt и убедитесь, что обновления установились.

    Скачайте, распакуйте и запустите TDSSKiller:
    http://support.kaspersky.ru/faq/?qid=208636926
    Если программа обругается на файл WINDOWS\system32\Drivers\sptd.sys, то не удаляйте его.
    Файл C:\TDSSKiller.***_log.txt приложите в теме.
    (где *** - версия программы, дата и время запуска).

    Выполните скрипт в AVZ (как выполнить):
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\Users\Дима\Главное меню\Программы\Автозагрузка\z1B2pnakG9Q.exe');
    BC_ImportDeletedList;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Сделайте заново лог virusinfo_syscheck.zip и лог HijackThis (пункты 2 и 3 раздела Диагностика правил) и приложите в теме.

    Сделайте логи RSIT:
    http://virusinfo.info/showthread.php...292#post859292
    и приложите.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  14. #13
    Junior Member Репутация
    Регистрация
    26.11.2011
    Сообщений
    19
    Вес репутации
    23
    Вот все что вы сказали.
    Обновления указанные в логе установил

  15. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    429
    При подключенном интернете выполните скрипт в AVZ (как выполнить):
    Код:
    begin
     DeleteFileMask('C:\Users\Дима\AppData\Roaming\Cljton04hR84x9f','*.*', true);
     DeleteFileMask('C:\Cljton04hR84x9f','*.*', true);
     DeleteDirectory('C:\Users\Дима\AppData\Roaming\Cljton04hR84x9f');
     DeleteDirectory('C:\Cljton04hR84x9f');
     ClearQuarantine;
     ExecuteAVUpdate;
     ExecuteStdScr(4);
    end.
    Скрипт будет выполняться несколько минут (обычно не больше 10), по окончании появится окно с сообщением о успешном выполнении скрипта.
    После этого в папке AVZ\LOG появится файл вида virusinfo_files_<имя вашего компьютера>.zip.
    Загрузите этот файл по этой ссылке:
    http://virusinfo.info/upload_clean.php
    По окончании загрузки скопируйте информацию о загрузке и вставьте ее в ваше следующее сообщение.

    Воздержитесь от посещения сомнительных сайтов, скачивания и установки неизвестных программ. Программы и драйверы скачивайте только с сайтов их производителей.

    Смените опять все пароли (если еще не сменили).

    Проверьте ваш сайт на наличие посторонних файлов и скриптов.

    Понаблюдайте за компьютером и отпишитесь что с проблемой.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  16. #15
    Junior Member Репутация
    Регистрация
    26.11.2011
    Сообщений
    19
    Вес репутации
    23
    Файл сохранён как 120517_170601_virusinfo_files_DIMA_4fb52ff9db9a5.z ip
    Размер файла 19665345
    MD5 1c76601a18d3616ec8e6c230898794f7
    Не могли бы вы проверить (зайти на одну из страниц моего сайта)?
    Боюсь что открою сайт он опять появится.
    Последний раз редактировалось Meys; 17.05.2012 в 20:15.

  17. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    429
    В привате ссылки пришлите, здесь не выкладывайте.
    Но сегодня наверное не успею.

    Что сейчас с аномальным поведением?
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  18. Это понравилось:


  19. #17
    Junior Member Репутация
    Регистрация
    26.11.2011
    Сообщений
    19
    Вес репутации
    23
    Пока все нормально браузеры работают в "штатном" режиме, на свой сайт пока не буду заходить.
    Большое спасибо вам за помощь! Ссылки сейчас отправлю в ЛС.

  20. #18
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    429
    Все 3 ссылки заражены.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  21. Это понравилось:


  22. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\users\\дима\\главное меню\\программы\\автозагрузка\\z1b2pnakg9q.exe - Trojan-Spy.Win32.Carberp.lrx ( DrWEB: Trojan.Carberp.486, BitDefender: Gen:Variant.Kazy.70744, AVAST4: Win32:MalOb-KL [Trj] )

    Рекомендации:
    1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !


  • Уважаемый(ая) Meys, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Вирус закрывает любой браузер.
      От tomas1q в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 04.07.2012, 09:54
    2. Ответов: 9
      Последнее сообщение: 27.02.2012, 10:33
    3. Ответов: 10
      Последнее сообщение: 13.05.2011, 19:28
    4. здраствуйте, не открывает браузер опера
      От sasha-peg в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 30.01.2010, 17:03
    5. Не запускается антивирус, браузер Опера....
      От andreydgk в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 30.09.2009, 15:46

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01225 seconds with 16 queries