-
Junior Member
- Вес репутации
- 46
Вирус закрывает браузер опера
Здравствуйте! Ситуация такая: при входе на сайт (мой личный) браузер закрывается самопроизвольно. и в последствии больше не запускается пока не перезагрузишь систему. возможно данная ситуация не только с моим сайтом, подозрение что вирус реагирует (проявляет себя) на скрипты сайта. вирус сидит в автозагрузке. При его запуске появляется несколько папок в корне С и не только с файлами dll и info.
пробовал удалять их с помощью загрузочной флешки (загружался с Alkid) но все равно как зайешь на мой сайт сразу вирь появляется снова. раньше такого не было. Сайт мой личный.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Meys, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Users\Дима\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Автозагрузка\.exe','');
QuarantineFile('C:\Users\Дима\0.22533957495573165.exe','');
DeleteFile('C:\Users\Дима\0.22533957495573165.exe');
DeleteFile('C:\Users\Дима\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Автозагрузка\.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
повторите логи
-
-
Junior Member
- Вес репутации
- 46
В AVZ выходит ошибка ";" expected в позиции 12:1
Скрипт выполнил, почему то в опере была не видна последняя строка скрипта "end."
Сейчас проблема в карантине - там нет ни одного файла. Слева есть папка с сегодняшним числом а справа нет файлов
Добавлено через 57 минут
Понял в чем причина. Дело в том что файлы, которые должны были занестись в карантин изменились (поменялось название файла в автозагрузке, а 0.22533957495573165.exe вообще не стало)
Вот новые логи.
Последний раз редактировалось Meys; 16.05.2012 в 13:27.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 46
Посмотрите новые логи пожалуйста.
Последний раз редактировалось Meys; 16.05.2012 в 19:25.
-
Загрузите virusinfo_cure.zip из папки AVZ\LOG по красной ссылке вверху темы "Прислать запрошенный карантин".
Выполните скрипт в AVZ (как выполнить):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Users\Дима\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Автозагрузка\z1B2pnakG9Q.exe');
BC_ImportAll;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте заново лог virusinfo_syscheck.zip (пункт 2 раздела Диагностика правил) и приложите в теме.
Сделайте логи RSIT:
http://virusinfo.info/showthread.php...292#post859292
и приложите.
Последний раз редактировалось Nikkollo; 16.05.2012 в 23:15.
-
-
Junior Member
- Вес репутации
- 46
Новые логи
Все выполнил. Логи прилагаю.
-
Эти папки и файл удалите вручную:
Код:
C:\Users\Дима\AppData\Roaming\Cljton04hR84x9f
C:\Cljton04hR84x9f
C:\Users\Дима\AppData\Roaming\bJlbDjVEY17T0XD
C:\bJlbDjVEY17T0XD
C:\Users\Дима\AppData\Roaming\tIz5Ph3OTFBR3ip
C:\tIz5Ph3OTFBR3ip
C:\plg.txt
Смените все пароли.
Что с проблемой?
-
-
Junior Member
- Вес репутации
- 46
Спасибо сейчас все хорошо. Пароли сменю. У меня стоит антивирус Eset Smart Security 4. И по видимому он не реагирует и пропускает вирусы такого типа. Что вы посоветуете, может установить что нибудь дополнительно или удалить eset и поставить что нибудь другое?
Добавлено через 16 минут
нет, оказалось все таки проблема так и осталась. Видимо этот зловред где-то глубоко сидит. Сейчас зашел опять на свой сайт и браузер снова закрылся, опять появились эти файлы и папки в автозагрузке и в корне.
Сайт чистый, на другом компе проверял.
Последний раз редактировалось Meys; 17.05.2012 в 14:25.
Причина: Добавлено
-
Делайте логи заново AVZ и RSIT
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 46
Новые логи
Сделал новые логи.
virusinfo_cure.zip не нужно загружать?
-
В указанном порядке:
Выполните скрипт в AVZ отсюда:
http://dataforce.ru/~kad/ScanVuln.txt
Файл avz_log.txt из папки AVZ\LOG приложите в теме.
Пройдите по всем ссылкам (http:...) в avz_log.txt и установите указанные там обновления.
Выполните еще раз скрипт в http://dataforce.ru/~kad/ScanVuln.txt и убедитесь, что обновления установились.
Скачайте, распакуйте и запустите TDSSKiller:
http://support.kaspersky.ru/faq/?qid=208636926
Если программа обругается на файл WINDOWS\system32\Drivers\sptd.sys, то не удаляйте его.
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска).
Выполните скрипт в AVZ (как выполнить):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Users\Дима\Главное меню\Программы\Автозагрузка\z1B2pnakG9Q.exe');
BC_ImportDeletedList;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте заново лог virusinfo_syscheck.zip и лог HijackThis (пункты 2 и 3 раздела Диагностика правил) и приложите в теме.
Сделайте логи RSIT:
http://virusinfo.info/showthread.php...292#post859292
и приложите.
-
-
Junior Member
- Вес репутации
- 46
Вот все что вы сказали.
Обновления указанные в логе установил
-
При подключенном интернете выполните скрипт в AVZ (как выполнить):
Код:
begin
DeleteFileMask('C:\Users\Дима\AppData\Roaming\Cljton04hR84x9f','*.*', true);
DeleteFileMask('C:\Cljton04hR84x9f','*.*', true);
DeleteDirectory('C:\Users\Дима\AppData\Roaming\Cljton04hR84x9f');
DeleteDirectory('C:\Cljton04hR84x9f');
ClearQuarantine;
ExecuteAVUpdate;
ExecuteStdScr(4);
end.
Скрипт будет выполняться несколько минут (обычно не больше 10), по окончании появится окно с сообщением о успешном выполнении скрипта.
После этого в папке AVZ\LOG появится файл вида virusinfo_files_<имя вашего компьютера>.zip.
Загрузите этот файл по этой ссылке:
http://virusinfo.info/upload_clean.php
По окончании загрузки скопируйте информацию о загрузке и вставьте ее в ваше следующее сообщение.
Воздержитесь от посещения сомнительных сайтов, скачивания и установки неизвестных программ. Программы и драйверы скачивайте только с сайтов их производителей.
Смените опять все пароли (если еще не сменили).
Проверьте ваш сайт на наличие посторонних файлов и скриптов.
Понаблюдайте за компьютером и отпишитесь что с проблемой.
-
-
Junior Member
- Вес репутации
- 46
Файл сохранён как 120517_170601_virusinfo_files_DIMA_4fb52ff9db9a5.z ip
Размер файла 19665345
MD5 1c76601a18d3616ec8e6c230898794f7
Не могли бы вы проверить (зайти на одну из страниц моего сайта)?
Боюсь что открою сайт он опять появится.
Последний раз редактировалось Meys; 17.05.2012 в 21:15.
-
В привате ссылки пришлите, здесь не выкладывайте.
Но сегодня наверное не успею.
Что сейчас с аномальным поведением?
-
-
Junior Member
- Вес репутации
- 46
Пока все нормально браузеры работают в "штатном" режиме, на свой сайт пока не буду заходить.
Большое спасибо вам за помощь! Ссылки сейчас отправлю в ЛС.
-
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\\users\\дима\\главное меню\\программы\\автозагрузка\\z1b2pnakg9q.exe - Trojan-Spy.Win32.Carberp.lrx ( DrWEB: Trojan.Carberp.486, BitDefender: Gen:Variant.Kazy.70744, AVAST4: Win32:MalOb-KL [Trj] )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
-