Вирус: открываются странички в браузере [ОК]

[steel]

Здравствуйте. У меня такая проблема. Сижу в браузере , у меня MOzilla Firefox и периодически открываются страницы непонятные, если браузер не запущен, то он открывается тогда сам и запускается эта страничка. Сканировал Касперским, ничего не выявил.

 

Плюс мои логи ниже.

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

Изменено 27 августа, 2009 пользователем steel

[thyrex]

Уберите подозрительные ссылки

 

Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\альянс\Local Settings\Application Data\ResearchNow\PanelApp\PanelApp_0800.2008.0328.1248.dll','');
QuarantineFile('C:\Program Files\Internet Explorer\Connection Wizard\icwsetup.exe','');
QuarantineFile('C:\DOCUME~1\АЛЬЯНС\LOCALS~1\Temp\KXI7Nz8U.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\ed1399c1.sys','');
DeleteFile('C:\WINDOWS\System32\drivers\ed1399c1.sys');
DeleteFile('C:\DOCUME~1\АЛЬЯНС\LOCALS~1\Temp\KXI7Nz8U.sys');
DeleteFile('.exe');
DeleteFile('C:\Program Files\Internet Explorer\Connection Wizard\icwsetup.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

 

Пофиксить в HiJack

 O20 - AppInit_DLLs: ?? ?P

Сделайте новые логи обновленной версией AVZ 4.32, не забыв обновить базы программы после запуска новой версии

[steel]

Обновил. ССылки убрал. Вот новые логи.

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

[snifer67]

Выполните скрипт в avz

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\альянс\Local Settings\Application Data\ResearchNow\PanelApp\PanelApp_0800.2008.0328.1248.dll','');
DelBHO('{95289393-33EA-4F8D-B952-483415B9C955}');
QuarantineFile('C:\WINDOWS\System32\drivers\hl_mull.SYS','');
QuarantineFile('C:\WINDOWS\System32\drivers\ed1399c1.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\vm\VMSD.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\vm\VMSD.sys');
DeleteFile('C:\Documents and Settings\альянс\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

 

Cделайте новые логи.

Изменено 27 августа, 2009 пользователем snifer67

[thyrex]

C:\Documents and Settings\альянс\Local Settings\Application Data\ResearchNow\PanelApp\PanelApp_0800.2008.0328.1248.dll проверьте на virustotal Ссылку на результат проверки сообщите

Если будет сообщать, что файл уже проверялся, проверьте повторно

 

Выполните скрипт в AVZ

begin
DelBHO('{95289393-33EA-4F8D-B952-483415B9C955}');
DeleteService('ed1399c1');
DeleteFile('C:\WINDOWS\System32\drivers\ed1399c1.sys');
DeleteFile('C:\Documents and Settings\альянс\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll');
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Сделайте новые логи

[steel]

пока еще не выполнил скрипты вот ответ на файл карантин

Здравствуйте,

 

 

icwsetup.exe - Trojan.Win32.FraudPack.rdy

 

Детектирование файла будет добавлено в следующее обновление.

 

PanelApp_0800.2008.0328.1248.dll

 

Вредоносный код в файле не обнаружен.

 

 

ВОт новые логи, плюс еще жду ответа на второй файл карантин.

Плюс ссылка на вирустотал

http://www.virustotal.com/ru/analisis/f5db...069a-1251422554

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Изменено 28 августа, 2009 пользователем steel

[ТроПа]

Ещё какие-то проблемы наблюдаются?

[steel]

сделал всё, проблема устранилась. спасибо большое за помощь