-
Вирус мменяет DNS [not-a-virus:Client-IRC.Win32.mIRC.g
]
Есть подозрения на вирус. Подменяет DNS в результате несколько сайтов не работает.
В панеле задач присутствует окно. Но оно нигде больше не высвечивается ни в диспетчере задач нигде. (Большое подозрения что дело в нем)
hijackthis.log
virusinfo_syscure.zip
virusinfo_syscheck.zip
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Pavia, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('epm-po.dll','');
QuarantineFile('C:\Windows\System32\epm-po.dll','');
DelBHO('{E0E899AB-F487-11D5-8D29-0050BA6940E3}');
DelBHO('{0BF43445-2F28-4351-9252-17FE6E806AA0}');
QuarantineFile('C:\Users\Pavia\0.008459183702745232.exe','');
DeleteFile('C:\Users\Pavia\0.008459183702745232.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','explorer');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- Выполните в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
http://software.kuaiche.com в доверенные сами прописали ? если нет, то
Профиксите в HijackThis
Код:
O15 - Trusted Zone: http://software.kuaiche.com
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Проведите процедуру, которая описана в первом сообщении тут. Результат загрузки напишите в сообщении здесь.
-
-
Скрипт выполнил эффект остался.
Вот результаты сканирования
virusinfo_syscheck.zip
virusinfo_syscure.zip
Карантин отправил.
Подозрительные файлы тоже отправил.
Результат загрузкиФайл сохранён как 120710_114635_virusinfo_files_PAVIA-НОУТ_4ffc161b4d963.zip
Размер файла 26331681
MD5 390c0470cd9a61511eaa06778dd4d633
Файл закачан, спасибо!
-
Сделайте лог ComboFix
- - - Добавлено - - -
+ поищите на диске файл epm-po.dll если найдёте заархивируйте в zip архив с паролем virus и загрузите по ссылке Прислать запрошенный карантин вверху темы.
-
-
Искал тотолкомандером epm-po.dll не нашел.
ComboFix обещал просканировать систему за 10 минут прождал 5 часа не дождался выключил компьютер. Лога программа не создала.
-
Сообщение от
Pavia
Вирус мменяет DNS
Где меняет? Чьи ip 192.168.2.20,192.168.1.1?
- Сделайте лог полного сканирования MBAM.
-
-
Где меняет? Чьи ip 192.168.2.20,192.168.1.1?
В браузере ряд сайтов перенаправляется на другие адреса. Как именно это происходит для меня загадка. Но вроде как идет подмена адреса. Я бы сам даже не заметил если бы несколько рабочих сайтов не поломалось(перестали открываться). На них я могу зайти через прокси. Бана нету и быть не может.
Эффект проявляется после запуска оперы.
К примеру если я запускаю IE и за хожу на сайты то они работают.
Если я запускаю оперу, а затем запускаю IE, то сайты уже не работают.
-
Сообщение от
Pavia
Чьи ip 192.168.2.20,192.168.1.1?
и жду MBAM...
-
-
10 с половиной часов. Сканирование закончил.
Думаю больше пока полные сканирования делать не буду.
mbam-log-2012-07-11 (22-03-25).txt
-
Pavia, Файлы вам знакомы?
Код:
D:\Project1.exe
D:\temp\Project1.exe
Если нет удалите все найденное в MBAM,если да, удалите все кроме них!
-
-
Удалите в MBAM только
Код:
Обнаруженные ключи в реестре: 1
HKCU\SOFTWARE\ADWare (Malware.Trace) -> Действие не было предпринято.
C:\Windows\Temp\NOD60EE.tmp (Trojan.Agent) -> Действие не было предпринято.
если остальные файлы/папки вам не знакомы, то тоже удалите.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 9
- В ходе лечения обнаружены вредоносные программы:
- c:\\program files\\mirc\\mirc.exe - not-a-virus:Client-IRC.Win32.mIRC.g
-