-
Junior Member
- Вес репутации
- 43
Периодическое попытка загрузить: http://durzue.com/hKkfHer2/proxy.pac
Во время работы Касперский (6.0.4.1424) выдает периодическое появление запроса:
"URL-адрес durzue.com/hKkfHer2/proxy.pac, содержащий вредоносную программу обнаружен"...
Помогите почистить зловред.
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
Последний раз редактировалось Nikkollo; 19.08.2012 в 11:49.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) hlevak, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 43
-
Удалите в МВАМ только указанные ниже записи
Код:
Обнаруженные модули в памяти: 1
C:\WINDOWS\system32\cgmopenbho.dll (Trojan.BHO) -> Действие не было предпринято.
Обнаруженные ключи в реестре: 12
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{C44D2EA2-FCCE-4CE8-8710-5ED0D33F7677} (PUP.Rubar) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{C44D2EA2-FCCE-4CE8-8710-5ED0D33F7677} (PUP.Rubar) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{23DD83B5-BDDC-49CE-B77B-514819C6D551} (PUP.Rubar) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\CronosPro (Spyware.Passwords.XGen) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SETUP.EXE (Spyware.Passwords.XGen) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{56B38F40-4E70-11d4-A076-0080AD86BA2F} (Trojan.BHO) -> Действие не было предпринято.
HKCR\CLSID\{56B38F40-4E70-11d4-A076-0080AD86BA2F} (Trojan.BHO) -> Действие не было предпринято.
HKCR\TypeLib\{56B38F41-4E70-11D4-A076-0080AD86BA2F} (Trojan.BHO) -> Действие не было предпринято.
HKCR\Interface\{56B38F42-4E70-11D4-A076-0080AD86BA2F} (Trojan.BHO) -> Действие не было предпринято.
HKCR\WebCGMHlprObj.WebCGMHlprObj.1 (Trojan.BHO) -> Действие не было предпринято.
HKCR\WebCGMHlprObj.WebCGMHlprObj (Trojan.BHO) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{56B38F40-4E70-11D4-A076-0080AD86BA2F} (Trojan.BHO) -> Действие не было предпринято.
Обнаруженные параметры в реестре: 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\WINDOWS\SYSTEM32\CGMOPENBHO.DLL (Trojan.BHO) -> Параметры: 1 -> Действие не было предпринято.
Обнаруженные папки: 3
C:\Documents and Settings\user\Application Data\WebaltaService (Adware.Webalta) -> Действие не было предпринято.
C:\Documents and Settings\admin\Application Data\Rubar-Toolbar (PUP.Rubar) -> Действие не было предпринято.
C:\Documents and Settings\LocalService\Application Data\Rubar-Toolbar (PUP.Rubar) -> Действие не было предпринято.
Обнаруженные файлы: 20
C:\Documents and Settings\user\Мои документы\Downloads\2918_dw.exe (Hoax.ArachSMS) -> Действие не было предпринято.
C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.
C:\Documents and Settings\user\Application Data\WebaltaService\WebaltaService.cfg (Adware.Webalta) -> Действие не было предпринято.
C:\Documents and Settings\user\Application Data\WebaltaService\WebaltaService.exe (Adware.Webalta) -> Действие не было предпринято.
C:\Documents and Settings\admin\Application Data\Rubar-Toolbar\Broker.log.log (PUP.Rubar) -> Действие не было предпринято.
C:\Documents and Settings\admin\Application Data\Rubar-Toolbar\MsiHelper.log.log (PUP.Rubar) -> Действие не было предпринято.
C:\Documents and Settings\LocalService\Application Data\Rubar-Toolbar\Service.log.log (PUP.Rubar) -> Действие не было предпринято.
C:\Temp\svchost.pif.rar (Heuristics.Reserved.Word.Exploit) -> Действие не было предпринято.
C:\WINDOWS\system32\cgmopenbho.dll (Trojan.BHO) -> Действие не было предпринято.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 43
Проблема сохранилась
Kaspersky Anti-Virus 6.0 выдает сообщение:
Подобное повторяется примерно каждые 8 минут.
P.s.
Стоит ли пробовать отловить URL-адрес с помощью Process Monitor от Марка Руссиновича (SysInternals) ?
Последний раз редактировалось hlevak; 20.08.2012 в 16:43.
Причина: Была рабочая ссылка на опасный ресурс
-
hlevak, где новый лог MBAM ?
+ сделайте полный образ автозапуска uVS
-
-
Junior Member
- Вес репутации
- 43
полный образ автозапуска uVSHOME1_2012-08-20_16-48-18.rar
Сообщение от
regist
hlevak, где новый лог MBAM ?
Выполняется...
- - - Updated - - -
новый лог MBAM
mbam-log-2012-08-20 (18-55-17).txt
-
Junior Member
- Вес репутации
- 43
-
-
-
Junior Member
- Вес репутации
- 43
Сообщение от
regist
Лог ComboFix
ComboFix.txt
-
Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt на диск С.
Код:
KillAll::
File::
Driver::
Folder::
C:\Nqiu5GqHQpw
Registry::
FileLook::
DirLook::
Reboot::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
что с проблемой ?
смените все пароли!
-
-
Junior Member
- Вес репутации
- 43
Сообщение от
regist
Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt на диск С.
Возникла проблема с ComboFix. При запуске с CFScript.txt стоит вхолостую (пробовал 2 раза: Время простоя 5-6 часов). Надпись в консоли при этом:
Код:
Scanning for infected files...
This typically doesn't take more than 10 minutes
However, scan times for badly infected machines may easily double
P.s. Консоль восстановления не устанавливалась/
Что делаю не так?
-
попробуйте выполнить из безопасного режима.
зы. файл сохранили действительно в корень С диска ?
-
-
Junior Member
- Вес репутации
- 43
Сообщение от
regist
попробуйте выполнить из безопасного режима.
Спасибо, выполнилось, но проблема сохранилась.
Новый лог ComboFix
ComboFix.txt
-
Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt на диск С.
Код:
KillAll::
File::
Driver::
Folder::
c:\documents and settings\All Users\Application Data\IBank
c:\documents and settings\admin\Application Data\Nqiu5GqHQpw
Registry::
FileLook::
DirLook::
Reboot::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
проблема осталась ?
- - - Добавлено - - -
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
-
-
Junior Member
- Вес репутации
- 43
новый отчет ComboFix.txt
ComboFix.txt
проблема осталась:
screen.JPG
Уязвимости устранены.
-
в интернет через выходите? если да то попробуйте подключить напрямую или через другой.
-