Показано с 1 по 8 из 8.

После банера (9800) не работают браузеры (заявка № 80965)

  1. #1
    Junior Member Репутация
    Регистрация
    15.06.2010
    Сообщений
    4
    Вес репутации
    28

    Thumbs up После банера (9800) не работают браузеры

    Доброго времени суток!

    Немного истории: хапнул вирус-банер, который висел поверх всех окон и вымогал смс на короткий номер 9800. На сайты антивирусов (в том числе и на этот сайт) попасть не мог. Каким-то образом наткнулся в поисковике на ссылку к теме http://virusinfo.info/showthread.php...highlight=9800 (в ссылке вместо virusinfo.info был ip адрес, поэтому вирус попытку зайти не прикрыл). Avz скачать с сайта не получилось, поэтому пришлось воспользоваться бог знает на сколько старой версией, лежавшей на местном фтп (обновить тоже не получилось). Увлёкшись процессом я выполнил скрипт в avz, указанный с вышеупомянутой теме (предварительно немного изменив). Т.е. как-то так:


    begin
    SetAVZGuardStatus(True);
    ExecuteWizard('TSW', 2, 2, true);
    DeleteFile('C:\Documents and Settings\Admin\AppData\jpsqqdoh.ddr');
    DeleteFile('C:\Documents and Settings\Admin\AppData\jpsqqdoh.exe');
    DeleteFile('C:\Documents and Settings\Admin\Application Data\jpsqqdoh.exe');
    DeleteFile('C:\Documents and Settings\Admin\Application Data\jpsqqdoh.ddr');
    DeleteFile('C:\Users\Admin\AppData\Roaming\Microso ft\Windows\Start Menu\Programs\Startup\healm_tcqb.lnk');
    DeleteFile('C:\Users\Admin\AppData\Roaming\ohlgcwe u.exe');
    RegKeyParamDel('HKEY_CURRENT_USER','Software\Micro soft\Windows\CurrentVersion\Run','PC Health Status');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    В результате такой самодеятельности банер пропал, но установленные браузеры (opera и IE) вообще перестали открывать любые сайты. Скачал firefox, который открывал всё кроме сайтов антивирусов. Сумел попасть фтп Др.Веба (http://210.233.71.100/pub/drweb/cureit/) и скачать свежий cureit.

    В настоящее время проверил комп:
    - cureit
    - NOD32 Antivirus Scanner 14.06.2010 v.5196
    - Kaspersky Virus Removal Tool (AVPTool) 9.0.0.722 [13.06.2010 11-39]
    - AVZ
    - Ad-aware free

    В результате вирус был найден. Теперь могу заходить на любой сайт, но только через firefox (который был установлен после заражения). Opera и IE ни один сайт не открывают. Побывал удалять и ставить новые свежие версии, обнулял личные данные - результата 0 .

    Господа, подскажите пожалуйста как можно вернуть к жизни Oper-y и IE.
    Последний раз редактировалось pig; 15.06.2010 в 11:36. Причина: Карантин в теме неуместен. Даже пустой

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,351
    Вес репутации
    3019
    Где логи AVZ и HiJack?

    Дополнительно сделайте лог http://virusinfo.info/showpost.php?p=457118&postcount=1
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  4. #3
    Junior Member Репутация
    Регистрация
    15.06.2010
    Сообщений
    4
    Вес репутации
    28
    Цитата Сообщение от thyrex Посмотреть сообщение
    Где логи AVZ и HiJack?

    Дополнительно сделайте лог http://virusinfo.info/showpost.php?p=457118&postcount=1
    Логи mbam, avz и hij прикрепил. Файл virusinfo_syscure.zip выкладывать не стал (согласно правилам). Или всё таки... ?
    Последний раз редактировалось mkd; 15.06.2010 в 09:56.

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,351
    Вес репутации
    3019
    Цитата Сообщение от mkd Посмотреть сообщение
    virusinfo_syscure.zip выкладывать не стал (согласно правилам)
    Согласно правилам его как раз нужно выкладывать, а вот virusinfo_cure.zip не нужно

    Пофиксите в HiJack
    Код:
    R3 - URLSearchHook: (no name) -  - (no file)
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\I2j29O2.exe,\\?\globalroot\systemroot\system32\AHjJ55X.exe,
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\oN0s4xln.sys','');
     DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\oN0s4xln.sys');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Удалите в МВАМ
    Код:
    Зараженные ключи в реестре:
    HKEY_CLASSES_ROOT\CLSID\{3f5a62e2-51f2-11d3-a075-cc7364cae42a} (Trojan.BHO) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{3f5a62e2-51f2-11d3-a075-cc7364cae42a} (Trojan.BHO) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3f5a62e2-51f2-11d3-a075-cc7364cae42a} (Trojan.BHO) -> No action taken.
    
    Зараженные параметры в реестре:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{3f5a62e2-51f2-11d3-a075-cc7364cae42a} (Trojan.BHO) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.
    
    Объекты реестра заражены:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\I2j29O2.exe,\\?\globalroot\systemroot\system32\AHjJ55X.exe,) Good: (userinit.exe) -> No action taken.
    
    Зараженные файлы:
    C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.
    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Junior Member Репутация
    Регистрация
    15.06.2010
    Сообщений
    4
    Вес репутации
    28
    Спасибо за оперативность!

    К сожалению не все рекомендации получилось выполнить:
    1)
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\glob alroot\systemroot\system32\I2j29O2.exe,\\?\globalr oot\systemroot\system32\AHjJ55X.exe,
    Такого кода в HiJack не нашёл… Нет никаких позиций по f2 и ничего начинающегося с «reg».
    2)
    Зараженные файлы:
    C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken
    Также не нашёл такой «штуки» в МВАМ.
    Всё остальное из указанного Вами было успешно пофиксено\удалено.

    Ещё сюрприз такого рода: при попытке отправить заражённый файл оказалось, что его нет оО Если не ошибаюсь, код для avz, отписанный Вами, содержал задачу законсервировать "вражину", но, к моему большому удивлению при открытии через avz карантина я наблюдаю в правом поле 0 объектов на 0.00 кб. Что avz писал при выполнении скрипта вспомнить не могу, т.к. комп очень быстро на перезагрузку. Мистика однако.
    Увы, Opera и IE по-прежнему не открывают ни один сайт...

    Высылаю Вам новые логи.
    Вложения Вложения
    Последний раз редактировалось pig; 15.06.2010 в 22:31. Причина: карантин в теме неуместен

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,351
    Вес репутации
    3019
    ProxyServer = http=127.0.0.1:41653;
    сами прописывали этот прокси?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Junior Member Репутация
    Регистрация
    15.06.2010
    Сообщений
    4
    Вес репутации
    28
    Убрал прокси и всё заработало! -) Все браузеры работают. Ура!
    Большое человеческое спасибо Вам и вашему порталу.

  9. #8
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,351
    Вес репутации
    3019
    Ну и заодно другие хвосты почистили. Обращайтесь
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  • Уважаемый(ая) mkd, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Не работают браузеры после удаления блокиратора
      От konstantin1976may13 в разделе Помогите!
      Ответов: 19
      Последнее сообщение: 16.07.2012, 16:40
    2. Ответов: 7
      Последнее сообщение: 24.02.2012, 17:31
    3. Ответов: 2
      Последнее сообщение: 11.06.2010, 23:00
    4. Не работают браузеры после чистки
      От Stan_marsh в разделе Помогите!
      Ответов: 17
      Последнее сообщение: 09.04.2010, 10:37
    5. Не работают браузеры после Get Acceleratora
      От Aleksander78 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 10.12.2009, 19:58

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00894 seconds with 17 queries