Добрый день!
Что-то подменяет страницу результата поиска Google, вставляя в начало html-файла div блок:
Код:<div id="lasbd128cf8dsa" style="height:3000px;width:2000px;left:0px;top:0px;position:absolute;z-index:99999;background:#FFFFFF;"></div>
Добрый день!
Что-то подменяет страницу результата поиска Google, вставляя в начало html-файла div блок:
Код:<div id="lasbd128cf8dsa" style="height:3000px;width:2000px;left:0px;top:0px;position:absolute;z-index:99999;background:#FFFFFF;"></div>
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите
- Выполните скриптКод:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twex.exe,
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\UACqidewiph.dll',''); QuarantineFile('C:\WINDOWS\system32\twex.exe',''); DeleteFile('C:\WINDOWS\system32\twex.exe'); DeleteFile('C:\WINDOWS\system32\UACqidewiph.dll'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Спасибо.
Выполнил скрипт.
Пофиксил.
Сделал новые логи.
Высылаю карантин
Ничего подозрительного не вижу.
1. Обновите систему до СП3 (возможно потербуется активация)
2. Обновите Адоби Ридер до 9-ки
3. Обновите Джаву.
UACqidewiph.dll откуда-то восстанавливается при входе в интернет ...
При условии что текущая учетная запись с админскими правами
Очищал темп-папки, кэш проводников с помощью АВЗ; корзина была пуста
Вот логи.
Лечится вот этим, но только до следующего входа с админскими правами
Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\UACqidewiph.dll',''); DeleteFile('C:\WINDOWS\system32\UACqidewiph.dll'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Последний раз редактировалось Rene-gad; 29.01.2009 в 10:15.
Установите AVZPM и сделайте логи AVZ...
Сделал при включенном AVZPM на уже инфицированной системе:
virusinfo_syscure.zip - при выключеном сетевом соединении
virusinfo_syscheck - при включенном соединении после перегрузки
Отчеты прилагаю
Последняя проверка с включенным AVZPM обнаружила драйвер:Выполнил следующий скрипт:Код:\systemroot\system32\drivers\UACthwbdvbl.sys
Проблема решилась.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('\systemroot\system32\drivers\UACthwbdvbl.sys',''); QuarantineFile('\\?\globalroot\systemroot\system32\UACqidewiph.dll',''); DeleteFile('\\?\globalroot\systemroot\system32\UACqidewiph.dll'); DeleteFile('\systemroot\system32\drivers\UACthwbdvbl.sys'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Спасибо Rene-gad и Гриша за помощь
Последний раз редактировалось Rene-gad; 29.01.2009 в 10:16.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 6
- В ходе лечения обнаружены вредоносные программы:
- \\\\?\\globalroot\\systemroot\\system32\\uacqidewi ph.dll - Rootkit.Win32.TDSS.eyj
- c:\\windows\\system32\\twex.exe - Backdoor.Win32.Bifrose.alcc (DrWEB: Trojan.Inject.5408)
Уважаемый(ая) lipaich, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.