Пересылка на clubrelaxx при обращении на нормальные сайты,загрязняется файл hosts
Доброе время суток!
1)Стало постоянно выскакивать сообщение AVP о попытке обращения на вредоносный сайт (даже при незапущенном браузере)
2)Периодически при обращении к нормальным сайтам Касперский дает сообщение о фишинге, в событиях Касперского - попытка обращения на сайт clubrelaxx...gibdd...
3)Постоянно засоряется файл hosts
4)При загрузке системы после слов "Добро пожаловать" экран мигает и потом опять картинка возвращается.
5)При открытии сеанса мелькает черное окно.
Мои действия:
Полная проверка Касперским
Проверка CureIt - ничего не найдено
Чистка текстовым редактором hosts - вскоре опять появился мусор
После выполнения первого запуска avz и перезагрузки Касперский нашел и удалил Trojan.Spy.Win32.carberp.tml - первая проблема пропала,остальные остались
Повторила запуск AVZ без интернета, с интернетом, hijack - логи прилагаю
Очевидно, надо убрать copy вызываемое по ключу реестра - но как это сделать чисто, не знаю.
Буду чрезвычайно благодарна за помощь.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Lenkas, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
begin
if not IsWOW64 then
begin
SetAVZGuardStatus(True);
end;
DeleteFile('C:\Users\helen\AppData\Local\Temp\28850668FdOh');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','28851480');
ClearHostsFile;
ExecuteSysClean;
RebootWindows(true);
end.
Компьютер перезагрузится.
Повторите действия, указанные в правилах. Прикрепите новые отчеты AVZ/hijackthis.
begin
if not IsWOW64 then
begin
SetAVZGuardStatus(True);
end;
DeleteFile('C:\Users\helen\AppData\Local\Temp\28850668FdOh');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','28851480');
ClearHostsFile;
ExecuteSysClean;
RebootWindows(true);
end.
Компьютер перезагрузится.
Повторите действия, указанные в правилах. Прикрепите новые отчеты AVZ/hijackthis.
Спасибо за быстрый ответ, все сделала, логи прикладываю
Похоже на то. Спасибо огромное - полдня билась, пока на решилась обратиться на форум.
А на желтые графы в логах - типа подозрительные объекты klif.sys и mscoree.dll (последний, кажется остался от борьбы с web Alta), небезопасные загрузки (если я про них ничего не знаю) - не обращать внимания или уничтожить ? Если уничтожать - то как ?
Пофиксила. Спасибо, наблюдавшиеся следы web Alta пропали! И реестр почистился!
Но ссылка на Webalta все же в одном месте осталась -
HKEYS_LOCAL_MACHINE\SOFTWARE\Volatile\00\MACHINE\S OFTWARE\Classes\CLSID\....\inProcServer32\1.1.0.0/\Assembly REG_SZ WebAltaSearch, Version 1.1.0.0. ....
Удалить вручную? И Только эту строку или весь раздел 1.1.0.0?
HKCR\CLSID\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
C:\Users\helen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\61\730ab57d-62c09231 (Trojan.Ransom) -> Действие не было предпринято.
C:\Windows\System32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.
HKCR\CLSID\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
C:\Users\helen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\61\730ab57d-62c09231 (Trojan.Ransom) -> Действие не было предпринято.
C:\Windows\System32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: