вирус открывает сайт 2

[blackcat72]

другой комп

[snifer67]

Выполните скрипт в avz

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\Администратор\Рабочий стол\DrWeb_Portable_5.00.3.04220_MultiLang\DrWebPortable.exe','');
 QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\c2020Y59.sys','');
 QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\nsj4C.tmp\newadvsplash.dll','');
 QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\nsj4C.tmp\Registry.dll','');
 QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\nsj4C.tmp\System.dll','');
 DeleteFileMask('C:\Documents and Settings\Администратор\Local Settings\Temp', '*.*', true);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

Выполнить скрипт в AVZ.

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Загрузите карантин согласно правилам.

Сделайте новые логи.

[AndreyKa]

Какой сайт открывается? При каких условиях?

[blackcat72]

AndreyKa, Про вирус писал тут:
Ни одна авирпрога (последние с обновлениями касп, дрвеб, нод) не смогла полностью вылечить его.
Нод назвал его как Kryptik.AJT (троян) - когда переходит по адресу 85,131,154,31/~pornicari/kajgana.exe
и Kryptik.AKG (троян) - когда переходит по адресу 85,131,154,31/~pornicari/sock.exe
Конкретнее:
Время от времени (минут через 20-30) запускается браузер (который по умолчанию в системе) и открывается один и тот же сайт с разными страницами (хорошо придумано для раскрутки сайта) www. thenewspedia. com/ index.php/ components/ auto-and-trucks
В папке с темпами создаются файлы (создает вирус) 2 штуки (иногда 4). То могу удалить, то нет. В памяти нигде не могу обнаружить, в автозапусках не вижу.... Как его избавиться не понятно.

Сейчас уже (другой комп) меняется указанный выше сайт с другим (не запоминал какой). Но смысл тот же.

Логи готовлю....

snifer67,
какой файл загружать - quarantine.zip, который вы создали или упаковать самому папку карантина? По умолчанию закидываю ваш (он же без пароля).

[snifer67]

Загрузить надо quarantine.zip

[blackcat72]

Выполнил. Карантин закачал. Логи приложил.

[Bratez]

Пофиксите в HijackThis:

Код:

R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - C:\Program Files\Mail.Ru\Agent\Mra\dll\newmrasearch.dll (file missing)
R3 - URLSearchHook: (no name) -  - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll (file missing)
O2 - BHO: MultiShop v2.0 - {39AA6D29-4236-4F25-A36A-3410EF5283D9} - C:\PROGRA~1\PIVIMM~1\MULTIS~1.DLL (file missing)
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll (file missing)

Больше ничего подозрительного не видно.

Рекомендуется установить SP3 и последующие обновления.

[PavelA]

C:\WINDOWS\system32\sfcfiles.dll.BAK - вот это пришлите через карантин.

[snifer67]

Логи чисты.Проблемы наблюдаются ?

[blackcat72]

Пофиксил (лог приложил).
Запрошенный файл выслал.
Пока проблема не наблюдается.
Если в логах больше ничего нету, всем спасибо за помощь.

[AndreyKa]

Установите обновления безопасности для Windows.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 5
• В ходе лечения вредоносные программы в карантинах не обнаружены