Здравствуйте помогите пожалуйста. Некорректно работают браузеры, страницы загружаются неправильно, над страницей прописываются символы (ln3221/go.mail.ru/search_images'; return false;}">Картинки)
Здравствуйте помогите пожалуйста. Некорректно работают браузеры, страницы загружаются неправильно, над страницей прописываются символы (ln3221/go.mail.ru/search_images'; return false;}">Картинки)
выполните скрипт
пришлите карантин согласно приложения 3 правилКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\sdra64.exe',''); QuarantineFile('C:\Documents and Settings\Георгий\fswagz.exe',''); QuarantineFile('C:\Documents and Settings\Георгий\Application Data\netprotocol.exe',''); QuarantineFile('c:\windows\system32\mssrv32.exe',''); DeleteService('msupdate'); DeleteFile('c:\windows\system32\mssrv32.exe'); DeleteFile('C:\Documents and Settings\Георгий\Application Data\netprotocol.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Netprotocol'); DeleteFile('C:\Documents and Settings\Георгий\fswagz.exe'); DeleteFile('C:\WINDOWS\system32\sdra64.exe'); ExecuteRepair(16); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи
Без изменений
Последний раз редактировалось V_Bond; 16.03.2011 в 20:34. Причина: карантин в теме
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); QuarantineFile('C:\WINDOWS\system32\ulmyulb.dll',''); DeleteFile('C:\WINDOWS\system32\ulmyulb.dll'); QuarantineFile('C:\WINDOWS\system32\dllcache\iexplore.exe',''); QuarantineFile('C:\WINDOWS\system32\dllcache\explorer.exe',''); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman '); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows','AppInit_DLLs',''); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Command Processor\','Autorun'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Command Processor','AutoRun'); DeleteFile('XPize_Logon.exe'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(11); ExecuteRepair(20); ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Сделайте лог MBAM
Похоже всё прошло. Спасибо !!!
Просканировал
Какие программы удалять подскажите
- удалите в MBAM
- Сделайте повторный лог MBAMКод:Заражённые ключи в реестре: HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> No action taken. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> No action taken. HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{3446AF26-B8D7-199B-4CFC-6FD764CA5C9F} (Backdoor.Bot) -> No action taken. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{3446AF26-B8D7-199B-4CFC-6FD764CA5C9F} (Backdoor.Bot) -> No action taken. HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> No action taken. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> No action taken. HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{4776C4DC-E894-7C06-2148-5D73CEF5F905} (Backdoor.Bot) -> No action taken. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{4776C4DC-E894-7C06-2148-5D73CEF5F905} (Backdoor.Bot) -> No action taken. HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken. Заражённые параметры в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> Value: option_1 -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> Value: option_2 -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> Value: option_3 -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Value: UID -> No action taken. Заражённые папки: c:\program files\common files\wm\keys (Trojan.KeyLog) -> No action taken. c:\program files\relevantknowledge (Spyware.MarketScore) -> No action taken. c:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken. Заражённые файлы: c:\documents and settings\Георгий\application data\netprotdrvss (Spyware.Passwords.XGen) -> No action taken. c:\program files\common files\keylog.txt (Malware.Trace) -> No action taken. c:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken. c:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken. c:\WINDOWS\system32\lowsec\user.ds.lll (Stolen.data) -> No action taken.
Большое спасибо
Ничего плохого
Проблема решена?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Проблема решена СПАСИБО!
Смените все пароли
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 9
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\ulmyulb.dll - Trojan-Ransom.Win32.Cidox.ck ( DrWEB: Trojan.Mayachok.based, BitDefender: Trojan.Generic.KDV.158921, AVAST4: Win32:Vundo-JQ [Trj] )
Уважаемый(ая) Jora_Sochi, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.