-
Junior Member
- Вес репутации
- 41
Порнобаннеры в браузерах. [Backdoor.Win32.Shiz.igwj
]
Во всех браузерах появились порнобаннеры. Затем опера, которая является основным браузером, перестала запускаться. Переустановка оперы прерывается сообщением об ошибке. Mozilla Thunderbird перестал читать письма.
virusinfo_syscheck.zip
virusinfo_syscure.zip
hijackthis.log
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Aleksey_, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
> Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
if not IsWOW64 then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
QuarantineFile('C:\Windows\AppPatch\usfirdv.exe','');
DeleteFile('C:\Windows\AppPatch\usfirdv.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userinit');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','System');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
После выполнения скрипта компьютер будет перезагружен.
> Используйте ссылку "Прислать запрошенный карантин", которая находится над первым сообщением этой темы, чтобы прислать quarantine.zip.
> Исправьте при помощи hijackthis:
(некоторые строки могут отсутствовать)
Код:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F3 - REG:win.ini: load=C:\Windows\AppPatch\usfirdv.exe
F3 - REG:win.ini: run=C:\Windows\AppPatch\usfirdv.exe
F2 - REG:system.ini: UserInit=C:\Windows\system32\userinit.exe,C:\Windows\apppatch\usfirdv.exe,
O17 - HKLM\System\CCS\Services\Tcpip\..\{9D90D7DE-1061-4ACF-9243-57B4DFEC069A}: NameServer = 80.82.209.180
O17 - HKLM\System\CCS\Services\Tcpip\..\{e29ac6c2-7037-11de-816d-806e6f6e6963}: NameServer = 80.82.209.180
O17 - HKLM\System\CS1\Services\Tcpip\..\{9D90D7DE-1061-4ACF-9243-57B4DFEC069A}: NameServer = 80.82.209.180
O17 - HKLM\System\CS2\Services\Tcpip\..\{9D90D7DE-1061-4ACF-9243-57B4DFEC069A}: NameServer = 80.82.209.180
Очистите временные файлы.
> Повторите действия, указанные в правилах и подготовьте новые отчеты AVZ и hijackthis.
_________________
> как выполнить скрипт в AVZ | > как исправить ("пофиксить") при помощи hijackthis
-
-
Junior Member
- Вес репутации
- 41
-
Для профилактики сделайте проверку с помощью Dr.Web CureIt или Microsoft Safety Scanner.
Проблема решена?
-
-
Junior Member
- Вес репутации
- 41
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\apppatch\\usfirdv.exe - Backdoor.Win32.Shiz.igwj ( DrWEB: Trojan.PWS.Ibank.456, BitDefender: Gen:Variant.Kazy.140638 )
-