-
Junior Member
- Вес репутации
- 41
Не открываются любые страницы https [Trojan.Win32.FakeGina.dl, Trojan-Spy.Win32.Agent.cglf
]
Не открываются любые страницы https. Антивирус - DrWeb8. При тестировании им обнаружен ряд угроз, которые удалены. Тем не менее после этого Dr.Web CureIt! обнаружил зараженный каталог в Program Files с файлами mpk.exe и mpk.dll, который также был удален. Но после перезапуска проблема с https не исчезла.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) DrWlad, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
> Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
if not IsWOW64 then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
TerminateProcessByName('c:\windows\system32\mscrilkh.exe');
QuarantineFile('C:\WINDOWS\system32\xtgina.dll','');
QuarantineFile('C:\WINDOWS\system32\BeTwinServiceXP.exe','');
QuarantineFile('C:\WINDOWS\system32\mscrilkh.exe','');
DeleteService('Network Adapter Events');
DeleteFile('C:\WINDOWS\system32\mscrilkh.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
После выполнения скрипта компьютер будет перезагружен.
> Используйте ссылку "Прислать запрошенный карантин", которая находится над первым сообщением этой темы, чтобы прислать quarantine.zip.
> Повторите действия, указанные в правилах и подготовьте новые отчеты AVZ и hijackthis.
_________________
> как выполнить скрипт в AVZ
-
-
Junior Member
- Вес репутации
- 41
1. Скрипт выполнил. Система перезапустилась, результатов нет: https так и не запускаются в IE8. Пробовал IE8 без надстроек - то же.
2. Выслал карантин.
3. Сделал новые отчеты, высылаю.
-
Выполните скрипт в AVZ:
Код:
begin
ExecuteAVUpdate;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\xtgina.dll','');
QuarantineFile('C:\WINDOWS\System32\BeTwinServiceXP.exe','');
QuarantineFile('C:\WINDOWS\system32\ifkf_mfLEnWa_g.exe','');
DeleteFile('C:\WINDOWS\system32\ifkf_mfLEnWa_g.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','LmihNjzSczsUOFeQZJkVKCBFoz');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки выполните скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантин
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log ) + Сделайте лог быстрого сканирования MBAM
-
-
Junior Member
- Вес репутации
- 41
Карантин отправил. Логи тоже. После этого запустил IE8 - https не запускается.
-
Удалите:
Обнаруженные параметры в реестре: 1
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon|SysDebug32 (Trojan.Agent) -> Параметры: ≑頺暚蚳맲ʄﮧ뼀ﭿ䞹켧ꢄ챠ɕ멭㖅厗ዯ芴溆ཷ乕鱾༒넧乕鱾༒넧乕鱾༒넧乕鱾༒넧乕鱾༒넧乕鱾༒넧乕鱾 ༒넧¤텮ቼ儔㦋⤜椇떈瀈螰퇎乕鱾༒넧乕鱾༒넧乕鱾༒넧乕鱾༒넧乕鱾༒넧乕鱾༒넧乕鱾༒넧乕鱾༒넧ুᖐꩋ䳮 乕鱾༒넧䟩揓쁩륌䜗摠겻乕鱾༒넧乕鱾༒넧乕鱾༒넧乕鱾༒넧乕鱾༒넧乕鱾༒넧乕鱾༒넧乕鱾༒넧乕鱾༒넧乕鱾 ༒넧乕鱾༒넧乕鱾༒넧乕鱾༒넧乕鱾༒넧乕鱾༒넧乕鱾༒넧乕鱾༒넧乕鱾༒넧乕鱾༒넧乕鱾༒넧乕鱾༒넧乕鱾༒넧 乕鱾༒넧乕鱾༒넧乕鱾༒넧乕鱾༒넧乕鱾༒넧乕鱾༒넧乕鱾༒넧乕鱾༒넧乕鱾༒넧乕鱾༒넧乕鱾༒넧乕鱾༒넧乕鱾 ༒넧乕鱾༒넧乕鱾༒넧乕鱾༒넧乕鱾༒넧乕鱾༒넧乕鱾༒넧乕鱾༒넧乕鱾༒넧乕鱾༒넧乕鱾༒넧乕鱾༒넧乕鱾༒넧 乕鱾༒넧乕鱾༒넧乕鱾༒넧乕鱾༒넧乕鱾༒넧乕鱾༒넧乕鱾༒넧乕鱾༒넧乕鱾༒넧乕鱾༒넧乕鱾༒넧乕鱾༒넧乕鱾 ༒넧乕鱾༒넧乕鱾༒넧乕鱾༒넧乕鱾༒넧乕鱾༒넧乕鱾༒넧乕鱾༒넧乕鱾༒넧乕鱾༒넧乕鱾༒넧㪼ീ 㼛 -> Действие не было предпринято.
Обнаруженные файлы: 1
C:\Documents and Settings\Olga\Application Data\txt.exe (Trojan.Downloader) -> Действие не было предпринято.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 41
Удалил, перезагрузил - то же самое (https - не открывается)
-
1. Можно внести сайт с https в доверенные
2. Проверить в настройках браузера стоит ли галочка на SSL
3. Проверить настроики фаервалла
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Сделайте логи RSIT
Проверьте не появились ли на компьютере лишние учётные записи с административными правами. Мой компьютер (правой кнопкой мыши) - Управление - Локальные пользователи и группы - Группы - Администраторы - Сделайте скриншот пользователей этой группы.
-
-
Junior Member
- Вес репутации
- 41
PavelA
1. Во-первых, блокируются ВСЕ сайты https, во-вторых нужный мне сайт изначально вставлен в доверенные
2. Галочка на SSL стоит.
3. Фаервола нет, виндовый брендмауэр тоже отключил.
mrak74
В учетных записях кроме основной ("Olga") есть действующая учетная запись из группы администраторов "SUPPORT_8712". Скриншот я выслать уже не могу, т.к. ее только что удалил. Перезапустил комп - все осталось по-прежнему, удаленная учетка не восстановилась.
- - - Добавлено - - -
Попробовал переустановить IE8. сначала инсталлятор удалил предыдущую версию IE8, причем после перезагрузки появилось сообщение о том, что была ошибка, отправлять ли мол отчет.
Снова запустил инсталлятор ie8 - началась установка и вышло сообщение, что установка не произвелась. В логе ie8.log нашел, почему именно не удалось установить:
Unwriteable key HKCR\.exe
Unwriteable key HKCR\lnkfile
Такое на другом компе уже было, там я изменил в реестре владельца на текщего и поставил ему полные права для этих разделов. На этом же компе это сделать не удалось: "Отказано в доступе".
Последний раз редактировалось DrWlad; 18.02.2013 в 14:14.
-
Сделайте логи RSIT
С сертификатами Crypto Pro порядок ?
-
-
Junior Member
- Вес репутации
- 41
1. Логи RSIT прикрепил.
2. Сертификаты Crypto Pro на месте. И до заражения они нормально работали.
-
Выполните скрипт в AVZ:
Код:
begin
RegSearch('HKLM','','LmihNjzSczsUOFeQZJkVKCBFoz');
SaveLog(GetAVZDirectory+'search.log');
end.
Файл search.log из папки с AVZ прикрепите к следующему сообщению.
-
-
Junior Member
- Вес репутации
- 41
-
Все найденное, след от трояна, добавил себя в исключения брандмауэра. Необходимо удалить из реестра, предварительно сделав бэкап, для подстраховки. Так же эти следы можно увидеть через Панель управления - Брандмауэр Windows - Исключения, можно и там удалить, но через реестр надёжнее. Самостоятельно справитесь ?
-
-
Junior Member
- Вес репутации
- 41
-
Действия производимые с реестром, чаще всего срабатывают после перезагрузки. Отпишитесь о проблеме, после удаления этих строк и перезагрузки.
+ менйте пароли, на веббанкинги, почту и т.п.
-
-
Junior Member
- Вес репутации
- 41
Удалил ветки, перезагрузил - то же. К тому же брэндмауэр у меня отключен.Сейчас главная проблема в невозможности изменения разрешений к ключам HKCR\.exe
и HKCR\lnkfile - не устанавливается IE8. Уже потом будет основным недоступность hhtps. Хотя и сейчас под IE6 https также недоступен.
-
Все-таки Доктора на предмет блокировки https надо проверить.
Я инструменты в Докторе8 вижу, да и в Вашем логе тоже.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-