gofRA Опубликовано 28 мая, 2010 Поделиться Опубликовано 28 мая, 2010 Вобщем проблема такая. При открытии браузера, любого, домашняя страница автоматически устанавливается на .....9348.cn/..... А там какие-то иероглифы. пробовал пофиксить две ветки R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = .....9348.cn/..... R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = ....9348.cn/.... После фикса появляются снова. В файле хост вместо localhost еще строчка 127.0.0.1 qup.f.360.cn пробовал вытирать, он снова туда прописывается. кое-как смог удалить файл host, после перезагрузки он появился и снова прописал туда эту лабуду. Не могу найти, где он гад сидит) Помогите, плз, вот логи: virusinfo_syscure.zip hijackthis.log вот ссылка на getsysteminfo http://www.getsysteminfo.com/read.php?file...349ce5e1bf4eac6 Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 28 мая, 2010 Поделиться Опубликовано 28 мая, 2010 (изменено) gofRA, у вас HJT старый... скачайте новую версию. AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin SearchRootkit(true, true); SetAVZGuardStatus(true); SetServiceStart('kxpq', 4); QuarantineFile('C:\WINDOWS\myhost\Qvod8269,617.dll',''); QuarantineFile('c:\program files\win32\winup.exe',''); QuarantineFile('C:\Documents and Settings\admin\Local Settings\Temp\NEventMessages.dll',''); QuarantineFile('C:\Documents and Settings\admin\Application Data\intranetexplorer.exe',''); QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\system.vbe',''); QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\iesearch.vbe',''); QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\iecollection.vbe',''); QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\dlldll.vbe',''); QuarantineFile('C:\WINDOWS\system32\drivers\clotm.sys',''); QuarantineFile('C:\WINDOWS\system32\CvLz.dll',''); DeleteFile('C:\WINDOWS\system32\CvLz.dll'); DeleteFile('C:\WINDOWS\system32\Drivers\clotm.sys'); DeleteFile('C:\WINDOWS\system32\04.tmp'); DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\dlldll.vbe'); DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\iecollection.vbe'); DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\iesearch.vbe'); DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\system.vbe'); DeleteFile('C:\Documents and Settings\admin\Application Data\intranetexplorer.exe'); DeleteFile('c:\program files\win32\winup.exe'); DeleteFile('C:\WINDOWS\myhost\Qvod8269,617.dll'); DeleteService('kxpq'); DelBHO('{1E796980-9CC5-11D1-A83F-00C04FC99D61}'); DelBHO('{8227E401-6026-4272-9393-628BDE6B5DC3}'); DelBHO('{1172204B-6D38-4A88-89D9-D43F06148F8D}'); BC_ImportALL; BC_Activate; ExecuteSysClean; ExecuteRepair(13); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Полученный архив необходимо загрузить при помощи этой формы: 1. Выберите тип запроса "неизвестная вредоносная программа" и введите изображенное на картинке число, нажмите "Далее". 2. В окне "Подробное описание возникшей ситуации" наберите "Пароль: virus". 3. Прикрепите файл карантина и нажмите "Далее". 4. Если размер карантина превышает 1,5 мб, то карантин отправьте по адресу newvirus@kaspersky.com Включите AVZPM и повторите логи. Изменено 28 мая, 2010 пользователем akoK Ссылка на комментарий Поделиться на другие сайты Поделиться
gofRA Опубликовано 31 мая, 2010 Автор Поделиться Опубликовано 31 мая, 2010 (изменено) Так, проверил авастом перед загрузкой винды. Зависли на 84 процентах)) Но все же удалось после этого пофиксить строчки 9348.cn и очистить файл host ПОявилась еще одна проблема, вместо 9348.cn теперь открывается dianxin.cn Вот логи.... hijackthis.log virusinfo_syscheck.zip Сообщение от модератора thyrex Удалил автокарантин virusinfo_cure.zip Изменено 31 мая, 2010 пользователем thyrex Ссылка на комментарий Поделиться на другие сайты Поделиться
snifer67 Опубликовано 31 мая, 2010 Поделиться Опубликовано 31 мая, 2010 Переделайте лог hijackthis. Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 31 мая, 2010 Поделиться Опубликовано 31 мая, 2010 А также выполните Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. 1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, C:\ComboFix.txt прикрепите к сообщению. Примечание: в случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe Ссылка на комментарий Поделиться на другие сайты Поделиться
gofRA Опубликовано 1 июня, 2010 Автор Поделиться Опубликовано 1 июня, 2010 (изменено) Хорошо, все сделаю. Просто комп на работе у подруги, не каждый день туда попадаю) Изменено 1 июня, 2010 пользователем gofRA Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти