-
Junior Member
- Вес репутации
- 50
Врус блокирет загрузку утилиты с сайта Касперского
Симптомы заражения: В браузере открываються окна непонятного содержания, чаще всего пустые. Попытка скачать лечащую утилиту с сайта лаборатории Касперского закончилась неудачей, вместо загрузки появляется окно - такой страницы не найдено. Содержание файла hosts соответствует стандартному, но дата изменеия файла - ну буквально полчаса назад.
Лечащие утилиты, скачанные "чистой" машиной ничего не нашли.
С уважением, и надеждой на помощь.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Пофиксите в hijackthis -
Код:
R3 - URLSearchHook: (no name) - {A3BC75A2-1F87-4686-AA43-5347D756017C} - (no file)
O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\drwat32.exe','');
QuarantineFile('C:\WINDOWS\system32\KB905474\wgasetup.exe','');
DeleteFile('C:\WINDOWS\system32\drwat32.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Dr.Watson');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Повторите логи
-
-
Junior Member
- Вес репутации
- 50
Рекомендации выполнил.
Логи прилогаю.
-
-
-
Junior Member
- Вес репутации
- 50
К сожалению, проблема осталась.
-
-
-
Junior Member
- Вес репутации
- 50
MBAM смог скачать только с "чистого" компьютера.
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
-
- Замените файл c:\windows\system32\msgsvc.dll на чистый из дистрибутива.
- Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
c:\documents and settings\Администратор\photo_id.exe
Driver::
NetSvc::
Folder::
Registry::
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
-
-
Junior Member
- Вес репутации
- 50
Файл заменил.
Скрипт выполнил.
Проблема осталась.
-
Два антивируса в системе. Оставьте один (скорее всего виновата Panda)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
Вот это новость!
Дело в том, что в момент возникновения проблемы, на компьютере не стояло ни одного антивируса. Сейчас стоит D.Web. Панду не ставил никогда...
-
-
-
Junior Member
- Вес репутации
- 50
Прочитал. А как Pandу удалить-то?
-
-
-
Junior Member
- Вес репутации
- 50
Буду внимательнее.
Первая ссылка работает.
Вторая и третья - no one lives here!
Выпонил файл первой ссылк - проблема осталась.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 4
- В ходе лечения вредоносные программы в карантинах не обнаружены
-