После перезагрузки ПК все время сбивается пароль для входа в интернет.
После перезагрузки ПК все время сбивается пароль для входа в интернет.
Выполните скрипт в AVZ
После перезагрузки пришлите файлы карантина по правилам раздела "Помогите".Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\wt\webdriver\webdriver.dll',''); QuarantineFile('C:\WINDOWS\internt.exe',''); QuarantineFile('C:\WINDOWS\system32\system32.exe',''); QuarantineFile('c:\windows\system32\itunesff.exe',''); RebootWindows(false); end.
Скачайте новую версию AVZ и обновите логи.
Вдогонку: Пофиксите в HJT
и скажите (по-секрету ) - где можно такую коллекцию дичи наловить?Код:R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = x "ôhE²AŠ@B*5L ª!Ä)4@ˆZ^y¤T2^y"Eˆ�Qš˜¸0y^*'"Ç x!¨šbðH*‚" ‡E’Q˜Šñ™À2Œ{ºæŒÃ^Q’¨b¢ø á^B¢ˆãx žˆÊ(<Bbñ#ö®æÈð^�‰(TCÊ2ölWÚ•Üè4…sÚ{;VŒx@�’¢=У:Gò^ÁГ¶…cËÞs6–ÍVæ¡Þàq±½myDñ4VNVx¼‚|qA>PxB)ãAˆ¤*©M> ె¬òb¸f\™™€S+ä³²'è€ÎÞi³¥.Þkí'è€p`á—D"¤*©5Ç x¼„ž"¬ø<y�¢¦ÄÇ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Væ¡Þàq±½myDñ4VNVx¼‚|qA>PxB)ãAˆ¤*©M> ె¬òb¸f\™™€S+ä³²'è€ÎÞi³¥.Þkí'è€p`á—D"¤*©5Ç x¼„ž"¬ø<y�¢¦ÄÇ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.164.196/search.php?q=%s R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Væ¡Þàq±½myDñ4VNVx¼‚|qA>PxB)ãAˆ¤*©M> ె¬òb¸f\™™€S+ä³²'è€ÎÞi³¥.Þkí'è€p`á—D"¤*©5Ç x¼„ž"¬ø<y�¢¦ÄÇ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = x "ôhE²AŠ@B*5L ª!Ä)4@ˆZ^y¤T2^y"Eˆ�Qš˜¸0y^*'"Ç x!¨šbðH*‚" ‡E’Q˜Šñ™À2Œ{ºæŒÃ^Q’¨b¢ø á^B¢ˆãx žˆÊ(<Bb R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Væ¡Þàq±½myDñ4VNVx¼‚|qA>PxB)ãAˆ¤*©M> ె¬òb¸f\™™€S+ä³²'è€ÎÞi³¥.Þkí'è€p`á—D"¤*©5Ç x¼„ž"¬ø<y�¢¦ÄÇ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Væ¡Þàq±½myDñ4VNVx¼‚|qA>PxB)ãAˆ¤*©M> ె¬òb¸f\™™€S+ä³²'è€ÎÞi³¥.Þkí'è€p`á—D"¤*©5Ç x¼„ž"¬ø<y�¢¦ÄÇ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = x "ôhE²AŠ@B*5L ª!Ä)4@ˆZ^y¤T2^y"Eˆ�Qš˜¸0y^*'"Ç x!¨šbðH*‚" ‡E’Q˜Šñ™À2Œ{ºæŒÃ^Q’¨b¢ø á^B¢ˆãx žˆÊ(<Bb R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = Væ¡Þàq±½myDñ4VNVx¼‚|qA>PxB)ãAˆ¤*©M> ె¬òb¸f\™™€S+ä³²'è€ÎÞi³¥.Þkí'è€p`á—D"¤*©5Ç x¼„ž"¬ø<y�¢¦ÄÇ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = Væ¡Þàq±½myDñ4VNVx¼‚|qA>PxB)ãAˆ¤*©M> ె¬òb¸f\™™€S+ä³²'è€ÎÞi³¥.Þkí'è€p`á—D"¤*©5Ç x¼„ž"¬ø<y�¢¦ÄÇ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = x "ôhE²AŠ@B*5L ª!Ä)4@ˆZ^y¤T2^y"Eˆ�Qš˜¸0y^*'"Ç x!¨šbðH*‚" ‡E’Q˜Šñ™À2Œ{ºæŒÃ^Q’¨b¢ø á^B¢ˆãx žˆÊ(<Bb R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ññûëêè O1 - Hosts: <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN"> O1 - Hosts: <HTML><HEAD> O1 - Hosts: <TITLE>302 Found</TITLE> O1 - Hosts: </HEAD><BODY> O1 - Hosts: <H1>Found</H1> O1 - Hosts: The document has moved <A HREF="http://pharmacyonlineshop.com/">here</A>.<P> O1 - Hosts: <HR> O1 - Hosts: <ADDRESS>Apache/1.3.33 Server at go-gi.com Port 80</ADDRESS> O1 - Hosts: </BODY></HTML> O4 - HKLM\..\Run: [system32.exe] C:\WINDOWS\system32\system32.exe O4 - HKLM\..\Run: [itunesff] C:\WINDOWS\system32\itunesff.exe -go -c60 -w2 O16 - DPF: {33331111-1111-1111-1111-611111193423} - O16 - DPF: {33331111-1111-1111-1111-611111193429} - O16 - DPF: {33331111-1111-1111-1111-615111193427} - O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - (no file)
Спасибо!
internt.exe и itunesff.exe - Trojan.Win32.LipGame.cj
Выполните скрипт в свежей версии AVZ:
После перезагрузки сделайте новые логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\internt.exe'); DeleteFile('c:\windows\system32\itunesff.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Попробуйте вручную найти файл C:\WINDOWS\system32\system32.exe.
Если найдется, пришлите по правилам (см. приложение 2).
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\internt.exe - Trojan.Win32.LipGame.cj (DrWEB: Trojan.LipGame)
- c:\\windows\\system32\\itunesff.exe - Trojan.Win32.LipGame.cj (DrWEB: Trojan.LipGame)
Уважаемый(ая) Mishka, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.