Другие страницы тоже либо не открываются, либо после нескольких нажатий "обновить". С других ящиков, в т.ч. inbox, почта приходит, но отправить по протоколу pop3 невозможно ниоткуда. По imap все нормально.
ping mail.ru проходит, но, по сервису whois, вместо mail.ru на какую-то деревню из GB (ip 91.224.160.10 - bergdorf-group.com). Кстати, в ваших скриптах проверки на mail.ru не увидел.
Антивирус drWeb последней версии, обновленный по немогу. Прогонял и утилитами и CureIt и KVRT и в обычном и в безопасном режимах. KVRT в безопасном ругается, что не может поставить какие-то драйвера, но проходит. Улова, помимо AMMYY и VNC, нет. Очистка DNC-кэша, остановка DNS-службы результатов не дали. Таблица статических маршрутов чистая. И работаю-то под обычным пользователем, не под администратором. В каком месте стрелки на эту ср..ю деревню переводятся...
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) barvin, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
1. Установил. При установке пробной версии не предлагалось. По смыслу - отключил "предоставить тестовый период"
2. При полной проверке всех дисков программа вылетает с ошибкой. Логи пустые. Только файлы dat имеют вес. Оставил диск C:. Скан прошел. Найдено 179 подозрительных объектов. По ходу проверки просматривал.
Основная масса - funmoods;
В system32 признан подозрительным hidcon.exe;
Найдено приложение в AppData Systweak\AdvancedSystemProtector. Такие штуки не ставлю;
Смутили строки из реестра с "Disabled.SecurityCentr от Microsoft" -firewall, update, antivirus. Хотя возможно, отключен в связи с использованием другого антивируса - DrWeb.
Подробно излагаю, потому что экспортированный лог - смешной. И никакого имени по умолчанию не предложил при экспорте.
Видимо, неправильно понял, установил MBAM.
Возможные пути заражения:
- был небольшой перерыв между продлением лицензии. DrWeb подвел: раньше только обновление прекращалось, а теперь, оказывается, защита полностью отключается. За что платили, спрашивается...
- ставил флешку с компьютера, вообще не имеющего антивируса. Хотя уже в период действия лицензии.
Да, эта версия завершила работу нормально. И лог создался. Однако объектов нашла меньше - 86. Среди них не увидел ни hidcon.exe из system32, ни SystemTweak\AdvancedSystemProtector. А может, не заметил.
Понял, почему меньше: обновляться отказалась. Возможно, потому, что верия устарела.
И, попутно, при установке пробной версии здесь тоже не предлагалось, только "предоставить тестовый период на -PROверсию", с которого отметку при установке тоже снял.
Последний раз редактировалось barvin; 21.02.2015 в 14:05.
При повторном запуске
Registry Values Detected: 1
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon|SysDebug32 (Trojan.Agent) -> Data: �倦呚㼿콾䭈⻗旆짎뵐哒祪階ꚴ␢嚵䝸焖狞嶫榐螬ㄶ냪⨲捆ꇪ⨲捆ꇪ⨲捆ꇪ⨲捆ꇪ⨲捆ꇪ⨲捆ꇪ⨲捆 ꇪ㽝㓛∜戇柾郣ᥴ誣ᒈ�聚�틈澩辸튁龔⨲捆ꇪ⨲捆ꇪ⨲捆ꇪ⨲捆ꇪ⨲捆ꇪ⨲捆ꇪ⨲捆ꇪ ⨲捆ꇪ㹂앟猗塈ᄅ㌱ᴃ⌀⨲捆ꇪ⨲捆ꇪ⨲捆ꇪ⨲捆ꇪ⨲捆ꇪ⨲捆ꇪ⨲捆ꇪ⨲捆ꇪ⨲捆ꇪ⨲捆 ꇪ⨲捆ꇪ⨲捆ꇪ⨲捆ꇪ⨲捆ꇪ⨲捆ꇪ⨲捆ꇪ⨲捆ꇪ⨲捆ꇪ⨲捆ꇪ⨲捆ꇪ⨲捆ꇪ⨲捆ꇪ ⨲捆ꇪ⨲捆ꇪ⨲捆ꇪ⨲捆ꇪ⨲捆ꇪ⨲捆ꇪ⨲捆ꇪ⨲捆ꇪ⨲捆ꇪ⨲捆ꇪ⨲捆ꇪ⨲捆ꇪ⨲捆 ꇪ⨲捆ꇪ⨲捆ꇪ⨲捆ꇪ⨲捆ꇪ⨲捆ꇪ⨲捆ꇪ⨲捆ꇪ⨲捆ꇪ⨲捆ꇪ⨲捆ꇪ⨲捆ꇪ⨲捆ꇪ ⨲捆ꇪ⨲捆ꇪ⨲捆ꇪ⨲捆ꇪ⨲捆ꇪ⨲捆ꇪ⨲捆ꇪ⨲捆ꇪ⨲捆ꇪ⨲捆ꇪ⨲捆ꇪ⨲捆ꇪ⨲捆 ꇪ⨲捆ꇪ⨲捆ꇪ⨲捆ꇪ⨲捆ꇪ⨲捆ꇪ⨲捆ꇪ⨲捆ꇪ⨲捆ꇪ⨲捆ꇪ⨲捆ꇪ誱茰 -> No action taken.
оказался уже в ветке HKU.
Зачистил все. При перезагрузке MBAM обновился до последней версии. Еще нашлись Фунмуды. Тоже убрал. Результата нет. Тот же пинг, та же блокировка почты.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
проверьте на virustotal.com и пришлите ссылки на результат проверки
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.funmoods.com/?f=1&a=tube&chnl=tube&cd=2XzuyEtN2Y1L1QzuyDtDyCyB0FtDyDyC0EtB0FtByEtCyDyEtN0D0Tzu0CtByBtCtN1L2XzutBtFtCtFtCtFtAtCtB&cr=1831212437
HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "http://start.funmoods.com/?f=2&a=tube&chnl=tube&cd=2XzuyEtN2Y1L1QzuyDtDyCyB0FtDyDyC0EtB0FtByEtCyDyEtN0D0Tzu0CtByBtCtN1L2XzutBtFtCtFtCtFtAtCtB&cr=1831212437" <======= ATTENTION
SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=tube&chnl=tube&cd=2XzuyEtN2Y1L1QzuyDtDyCyB0FtDyDyC0EtB0FtByEtCyDyEtN0D0Tzu0CtByBtCtN1L2XzutBtFtCtFtCtFtAtCtB&cr=1831212437
SearchScopes: HKLM -> Backup.Old.DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=tube&chnl=tube&cd=2XzuyEtN2Y1L1QzuyDtDyCyB0FtDyDyC0EtB0FtByEtCyDyEtN0D0Tzu0CtByBtCtN1L2XzutBtFtCtFtCtFtAtCtB&cr=1831212437
Toolbar: HKU\S-1-5-21-2025429265-573735546-1801674531-1005 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File
Toolbar: HKU\S-1-5-21-2025429265-573735546-1801674531-1005 -> No Name - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - No File
Toolbar: HKU\S-1-5-21-2025429265-573735546-1801674531-1006 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File
Toolbar: HKU\S-1-5-21-2025429265-573735546-1801674531-1006 -> No Name - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - No File
CHR StartupUrls: Default -> "hxxp://www.yandex.ru/?win=90&clid=2039048", "hxxp://start.funmoods.com/?f=1&a=tube&chnl=tube&cd=2XzuyEtN2Y1L1QzuyDtDyCyB0FtDyDyC0EtB0FtByEtCyDyEtN0D0Tzu0CtByBtCtN1L2XzutBtFtCtFtCtFtAtCtB&cr=1831212437"
2015-02-22 00:30 - 2013-01-12 10:45 - 00000000 ____D () C:\Documents and Settings\Рабочая3\Application Data\Funmoods
2015-02-22 00:30 - 2012-11-05 20:16 - 00000000 ____D () C:\Documents and Settings\4\Application Data\Funmoods
2015-02-22 00:30 - 2012-09-19 22:07 - 00000000 ____D () C:\Documents and Settings\Рабочая3\Application Data\Systweak
CustomCLSID: HKU\S-1-5-21-2025429265-573735546-1801674531-1005_Classes\CLSID\{0a3f4dfe-fd14-49c7-9d51-748d15a767d2}\InprocServer32 -> C:\Documents and Settings\Рабочая3\Local Settings\Temp\v8_68_64.tmp No File
CustomCLSID: HKU\S-1-5-21-2025429265-573735546-1801674531-1005_Classes\CLSID\{122D5FEF-8711-4d87-A5BC-41ED5DF77258}\InprocServer32 -> C:\Documents and Settings\Рабочая3\Local Settings\Temp\v8_230_5f.tmp No File
CustomCLSID: HKU\S-1-5-21-2025429265-573735546-1801674531-1005_Classes\CLSID\{13cae5e0-317d-4dc4-9f06-a01ce92c698c}\InprocServer32 -> C:\Documents and Settings\Рабочая3\Local Settings\Temp\v8_15A_50.tmp No File
CustomCLSID: HKU\S-1-5-21-2025429265-573735546-1801674531-1005_Classes\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153}\InprocServer32 -> %AppData%\DAOuq\Rtkfnet.cod No File
CustomCLSID: HKU\S-1-5-21-2025429265-573735546-1801674531-1005_Classes\CLSID\{37bcb01c-0b25-45b6-8a7e-8e56b77d18ff}\InprocServer32 -> C:\Documents and Settings\Рабочая3\Local Settings\Temp\v8_68_64.tmp No File
CustomCLSID: HKU\S-1-5-21-2025429265-573735546-1801674531-1005_Classes\CLSID\{56C2D5F5-0F32-45cb-AD75-87AF17CFDC27}\InprocServer32 -> C:\Documents and Settings\Рабочая3\Local Settings\Temp\v8_230_5f.tmp No File
CustomCLSID: HKU\S-1-5-21-2025429265-573735546-1801674531-1005_Classes\CLSID\{57963704-EE80-4bc5-8421-66098E5832AE}\InprocServer32 -> C:\Documents and Settings\Рабочая3\Local Settings\Temp\v8_230_5f.tmp No File
CustomCLSID: HKU\S-1-5-21-2025429265-573735546-1801674531-1005_Classes\CLSID\{68C0D34D-264F-4d64-AEF1-51C728DFDAD8}\InprocServer32 -> C:\Documents and Settings\Рабочая3\Local Settings\Temp\v8_230_5f.tmp No File
CustomCLSID: HKU\S-1-5-21-2025429265-573735546-1801674531-1005_Classes\CLSID\{6b0424b6-7ac3-4521-8b5c-894cdaffd92e}\InprocServer32 -> C:\Documents and Settings\Рабочая3\Local Settings\Temp\v8_15A_50.tmp No File
CustomCLSID: HKU\S-1-5-21-2025429265-573735546-1801674531-1005_Classes\CLSID\{7365bebe-ac14-47f3-bff2-252f9ead5c7b}\InprocServer32 -> C:\Documents and Settings\Рабочая3\Local Settings\Temp\v8_68_64.tmp No File
CustomCLSID: HKU\S-1-5-21-2025429265-573735546-1801674531-1005_Classes\CLSID\{7446bb6e-5720-405b-8839-464d958a95d5}\InprocServer32 -> C:\Documents and Settings\Рабочая3\Local Settings\Temp\v8_68_64.tmp No File
CustomCLSID: HKU\S-1-5-21-2025429265-573735546-1801674531-1005_Classes\CLSID\{7baafa79-37ac-411c-88a9-573ae46e3065}\InprocServer32 -> C:\Documents and Settings\Рабочая3\Local Settings\Temp\v8_15A_50.tmp No File
CustomCLSID: HKU\S-1-5-21-2025429265-573735546-1801674531-1005_Classes\CLSID\{a87602aa-13fc-4d6a-b2e8-e02787e59dad}\InprocServer32 -> C:\Documents and Settings\Рабочая3\Local Settings\Temp\v8_68_64.tmp No File
CustomCLSID: HKU\S-1-5-21-2025429265-573735546-1801674531-1005_Classes\CLSID\{cdfb4d3f-01e2-4259-b016-fd6ede8b8204}\InprocServer32 -> C:\Documents and Settings\Рабочая3\Local Settings\Temp\v8_15A_50.tmp No File
CustomCLSID: HKU\S-1-5-21-2025429265-573735546-1801674531-1005_Classes\CLSID\{d0b2a3c2-dda6-48d3-8193-a3bb748d6440}\InprocServer32 -> C:\Documents and Settings\Рабочая3\Local Settings\Temp\v8_15A_50.tmp No File
CustomCLSID: HKU\S-1-5-21-2025429265-573735546-1801674531-1005_Classes\CLSID\{F62D2442-FE48-4cbc-9FCA-E19FC839461B}\InprocServer32 -> C:\Documents and Settings\Рабочая3\Local Settings\Temp\v8_230_5f.tmp No File
Reboot:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
На этот раз утилита FRST не удалилась. Файл прилагаю.
С зараженной машины проверить указанные файлы проверить не получилось. Сайт открывается, выбранный файл в поле выбора не садится. Так и пишет - файл не выбран (но если навести на поле курсор, всплывает подсказка с именем файла). Соответственно, кнопка Проверить не срабатывает. Мало того, при повторном выборе сначала explorer.exe пропал, затем его однофамилец (с иконкой - папка с лупой), а потом вообще выбрать не стало давать - окно все время возвращалось к началу списка.
Через обычный просмотр дисков все файлы на месте. Скопировал на другой компьютер эти файлы по-отдельности и в сжатом виде (для исключения автолечения) . Оттуда же отправил на проверку. Архив и explorer показывают 2/57. По этим 2-м: результаты одинаковые и антивирусы те же. Ссылка https://www.virustotal.com/ru/file/a...is/1424597322/
user32 - 0/57. Ссылка https://www.virustotal.com/ru/file/f...is/1424597403/
Если бы. Так и пишу через gmail. Пинг по-прежнему шлет меня на ... деревню. Браузер при запросе сайта mail.ru выдает Couldn't resolve host 'mail.ru'.
Но плюс есть - фундю пропал. Во всяком случае раньше при открытии новой вкладки всегда выходил блок от DrWeb.
Такая же картина - стоял всю ночь и до 4-х дня. Что-то, наверное, делал. Потому что мышь-то шевелилась, а закрыть - только перезагрузкой. Один плюс - установилась консоль восстановления.
Вопрос закрываю: проблема решилась заменой всех dll-лок в папках Windows и System32 из резервного образа. Разбираться не стал - пора работать. Хотя на всякий случай порченую папку Windows сохранил.
Большое спасибо thyrex за участие. Много нового узнал.