доброго времени суток,
суть проблемы:при попытке открыть окно в браузере нужная страница сначала грузиться в течении секунд 10, после чего перенаправляет наи сайт mvd.ru.При этом скайп полностью функционирует,доступ к данному ресурсу я получил с другого компьютера,подключенного к интернету через тот же роутер, ОС зараженного компьютера:windows 7 ultimate sp1
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) jamdat, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Пофиксите в HiJack
Выполните скрипт в AVZКод:R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1414224339&from=irs&uid=ST2000DM001-1CH164_Z1E3Z5EAXXXXZ1E3Z5EA R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1414224339&from=irs&uid=ST2000DM001-1CH164_Z1E3Z5EAXXXXZ1E3Z5EA&q={searchTerms} R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1414224339&from=irs&uid=ST2000DM001-1CH164_Z1E3Z5EAXXXXZ1E3Z5EA&q={searchTerms} R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1414224339&from=irs&uid=ST2000DM001-1CH164_Z1E3Z5EAXXXXZ1E3Z5EA R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1414224339&from=irs&uid=ST2000DM001-1CH164_Z1E3Z5EAXXXXZ1E3Z5EA R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1414224339&from=irs&uid=ST2000DM001-1CH164_Z1E3Z5EAXXXXZ1E3Z5EA&q={searchTerms} R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1414224339&from=irs&uid=ST2000DM001-1CH164_Z1E3Z5EAXXXXZ1E3Z5EA&q={searchTerms} R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1414224339&from=irs&uid=ST2000DM001-1CH164_Z1E3Z5EAXXXXZ1E3Z5EA R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file) O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing) O4 - HKLM\..\Run: [mobilegeni daemon] C:\Program Files (x86)\Mobogenie\DaemonProcess.exe O4 - HKCU\..\Run: [NextLive] C:\Windows\SysWOW64\rundll32.exe "C:\Users\emperor\AppData\Roaming\newnext.me\nengine.dll",EntryPoint -m l O4 - HKCU\..\Run: [CMD] cmd.exe /c start http://extendedunlimited.org && exit O17 - HKLM\System\CCS\Services\Tcpip\..\{61CE4989-A4C0-41F2-B499-019AB1BF7B87}: NameServer = 131.72.136.87,198.23.250.135,8.8.8.8 O17 - HKLM\System\CCS\Services\Tcpip\..\{AD2EDAF2-B02B-4331-B6BB-C0D16D6B64DC}: NameServer = 131.72.136.87,198.23.250.135,8.8.8.8
Компьютер перезагрузится.Код:procedure DeleteDirectoryF(N: String); begin DeleteFileMask(N, '*', true); DeleteDirectory(N); end; begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Windows\c1.exe',''); DelBHO('{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C}'); QuarantineFile('C:\Program Files (x86)\SupTab\SupTab.dll',''); QuarantineFile('C:\Windows\system32\drivers\ssnfd.sys',''); DeleteService('ssnfd'); DeleteService('TicnoIndexator'); DeleteService('SuperFitch_x86'); QuarantineFile('C:\Users\Default\AppData\Local\Microsoft\Super Fitch x86\SuperFitch_x86.exe',''); QuarantineFile('C:\Program Files (x86)\Ticno\Indexator\SearchService.exe',''); QuarantineFile('C:\Users\Default\AppData\Roaming\Microsoft\Windows\Loadmnge32\Loadmnge32.exe',''); DeleteService('Loadmnge32'); DeleteService('IePluginServices'); QuarantineFile('C:\ProgramData\IePluginServices\PluginService.exe',''); QuarantineFile('C:\ProgramData\Host32manager\Host32manager.exe',''); SetServiceStart('Host32manager', 4); DeleteService('Host32manager'); SetServiceStart('WindowsMangerProtect', 4); DeleteService('WindowsMangerProtect'); SetServiceStart('Sysconfig', 4); DeleteService('Sysconfig'); SetServiceStart('PowerManager', 4); DeleteService('PowerManager'); SetServiceStart('Officecompiler', 4); DeleteService('Officecompiler'); SetServiceStart('MicrosoapFileManager', 4); DeleteService('MicrosoapFileManager'); SetServiceStart('FirewallIntegrityChecker', 4); DeleteService('FirewallIntegrityChecker'); SetServiceStart('dsp', 4); DeleteService('dsp'); SetServiceStart('DiskAnalysis', 4); DeleteService('DiskAnalysis'); TerminateProcessByName('C:\ProgramData\Sysconfig\Sysconfig.exe'); QuarantineFile('C:\ProgramData\Sysconfig\Sysconfig.exe',''); TerminateProcessByName('c:\windows\svchost.exe'); QuarantineFile('c:\windows\svchost.exe',''); TerminateProcessByName('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe'); QuarantineFile('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe',''); TerminateProcessByName('C:\Users\Default\AppData\Local\Microsoft\Windows\Officecompiler\Officecompiler.exe'); QuarantineFile('C:\Users\Default\AppData\Local\Microsoft\Windows\Officecompiler\Officecompiler.exe',''); TerminateProcessByName('C:\Users\Default\AppData\Roaming\Microsoft\Windows\Microsoap File Manager\MicrosoapFileManager.exe'); QuarantineFile('C:\Users\Default\AppData\Roaming\Microsoft\Windows\Microsoap File Manager\MicrosoapFileManager.exe',''); TerminateProcessByName('C:\ProgramData\Firewall Integrity Checker\FirewallIntegrityChecker.exe'); QuarantineFile('C:\ProgramData\Firewall Integrity Checker\FirewallIntegrityChecker.exe',''); TerminateProcessByName('C:\ProgramData\Disk Analysis\DiskAnalysis.exe'); QuarantineFile('C:\ProgramData\Disk Analysis\DiskAnalysis.exe',''); TerminateProcessByName('C:\Users\Default\AppData\Local\Microsoft\Windows\Default settings protector\dsp.exe'); QuarantineFile('C:\Users\Default\AppData\Local\Microsoft\Windows\Default settings protector\dsp.exe',''); DeleteFile('C:\Users\Default\AppData\Local\Microsoft\Windows\Default settings protector\dsp.exe','32'); DeleteFile('C:\ProgramData\Disk Analysis\DiskAnalysis.exe','32'); DeleteFile('C:\ProgramData\Firewall Integrity Checker\FirewallIntegrityChecker.exe','32'); DeleteFile('C:\Users\Default\AppData\Roaming\Microsoft\Windows\Microsoap File Manager\MicrosoapFileManager.exe','32'); DeleteFile('C:\Users\Default\AppData\Local\Microsoft\Windows\Officecompiler\Officecompiler.exe','32'); DeleteFile('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe','32'); DeleteFile('c:\windows\svchost.exe','32'); DeleteFile('C:\ProgramData\Sysconfig\Sysconfig.exe','32'); DeleteFile('C:\ProgramData\Host32manager\Host32manager.exe','32'); DeleteFile('C:\ProgramData\IePluginServices\PluginService.exe','32'); DeleteFile('C:\Users\Default\AppData\Roaming\Microsoft\Windows\Loadmnge32\Loadmnge32.exe','32'); DeleteFile('C:\Program Files (x86)\Ticno\Indexator\SearchService.exe','32'); DeleteFile('C:\Users\Default\AppData\Local\Microsoft\Super Fitch x86\SuperFitch_x86.exe','32'); DeleteFile('C:\Windows\system32\drivers\ssnfd.sys','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','mobilegeni daemon'); DeleteFile('C:\Program Files (x86)\SupTab\SupTab.dll','32'); DeleteFile('C:\Windows\c1.exe','32'); DeleteDirectoryF('C:\Program Files (x86)\SupTab'); DeleteDirectoryF('C:\Users\Default\AppData\Local\Microsoft\Super Fitch x86'); DeleteDirectoryF('C:\Users\Default\AppData\Roaming\Microsoft\Windows\Loadmnge32'); DeleteDirectoryF('C:\ProgramData\IePluginServices'); DeleteDirectoryF('C:\ProgramData\Host32manager'); DeleteDirectoryF('C:\ProgramData\Sysconfig'); DeleteDirectoryF('c:\programdata\windowsmangerprotect'); DeleteDirectoryF('C:\Users\Default\AppData\Local\Microsoft\Windows\Officecompiler'); DeleteDirectoryF('C:\Users\Default\AppData\Roaming\Microsoft\Windows\Microsoap File Manager'); DeleteDirectoryF('C:\ProgramData\Firewall Integrity Checker'); DeleteDirectoryF('C:\ProgramData\Disk Analysis'); DeleteDirectoryF('C:\Users\Default\AppData\Local\Microsoft\Windows\Default settings protector'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Последний раз редактировалось thyrex; 13.11.2014 в 21:34.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
выполнил все требуемые деуствия с HiJack,создал новые логи,скрипт в AVZ выполнить неудалось Ошибка: ожидалось "(" в позиции 81:19
Поправил скрипт
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 14
- В ходе лечения обнаружены вредоносные программы:
- c:\programdata\disk analysis\diskanalysis.exe - Trojan.MSIL.Agent.fedb ( BitDefender: Trojan.GenericKD.1824925 )
- c:\programdata\firewall integrity checker\firewallintegritychecker.exe - Trojan.MSIL.Agent.fedb ( BitDefender: Trojan.GenericKD.1824925 )
- c:\programdata\host32manager\host32manager.exe - Trojan.MSIL.Agent.fedb ( BitDefender: Trojan.GenericKD.1824925 )
- c:\programdata\iepluginservices\pluginservice.exe - not-a-virus:AdWare.Win32.Agent.eqwa ( DrWEB: Trojan.Click3.9479, BitDefender: Adware.Agent.OKO, AVAST4: Win32:SupTab-C [Adw] )
- c:\programdata\sysconfig\sysconfig.exe - Trojan.MSIL.Agent.fedb ( BitDefender: Trojan.GenericKD.1824925 )
- c:\programdata\windowsmangerprotect\protectwindows manager.exe - not-a-virus:AdWare.Win32.Agent.guee ( BitDefender: Trojan.Generic.11889143, AVAST4: Win32:Rootkit-gen [Rtk] )
- c:\users\default\appdata\local\microsoft\super fitch x86\superfitch_x86.exe - Trojan.MSIL.Agent.fedb ( BitDefender: Trojan.GenericKD.1824925 )
- c:\users\default\appdata\local\microsoft\windows\d efault settings protector\dsp.exe - Trojan.MSIL.Agent.fedb ( BitDefender: Trojan.GenericKD.1824925 )
- c:\users\default\appdata\local\microsoft\windows\o fficecompiler\officecompiler.exe - Trojan.MSIL.Agent.fedb ( BitDefender: Trojan.GenericKD.1824925 )
- c:\users\default\appdata\roaming\microsoft\windows \loadmnge32\loadmnge32.exe - Trojan.MSIL.Agent.fedb ( BitDefender: Trojan.GenericKD.1824925 )
- c:\users\default\appdata\roaming\microsoft\windows \microsoap file manager\microsoapfilemanager.exe - Trojan.MSIL.Agent.fedb ( BitDefender: Trojan.GenericKD.1824925 )
- c:\windows\c1.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.msg ( DrWEB: Tool.BtcMine.277, BitDefender: Gen:Variant.Kazy.350301, AVAST4: Win32:Malware-gen )
- c:\windows\svchost.exe - Virus.Win32.Hidrag.a ( BitDefender: Win32.Jeefo.D, NOD32: Win32/Jeefo.A virus, AVAST4: Win32:Downloader-UAW [Trj] )
Уважаемый(ая) jamdat, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
