Подозрение на вирусную активность

[natalia48rus]

Доброго времени суток, с недавнего времени стали заметны странные вещи, в браузере вместо сайта гугл появляется порнография, частые зависания системы, торможени. посмотрите логи пожалуйста.

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

[illayj]

Почистите фал host по адресу C:\WINDOWS\system32\drivers\etc

Откройте его при помощи блокнота и все что написано после : 127.0.0.1 localhost уберите

[natalia48rus]

сделано

[Alex1983]

+

Профиксите HijackThis следующие строки

R3 - URLSearchHook: (no name) - - (no file)
O1 - Hosts: ::1 localhost

 

Повторите логи.

 

Что с проблемой?

[natalia48rus]

+

Профиксите HijackThis следующие строки

Код

R3 - URLSearchHook: (no name) - - (no file)

O1 - Hosts: ::1 localhost

 

 

этих строк в HijackThis нет. логи сейчас будут

[Alex1983]

Этот ip адрес вам знаком?

91.192.96.18 91.192.97.18

[natalia48rus]

Этот ip адрес вам знаком?

Код

91.192.96.18 91.192.97.18

 

 

да

 

что с проблемой пока непонятно.. зависания появлялись периодически, поэтому нужно потестить. но есть + в браузерах при переходе по ссылке www.google.ru не появляется порнография.

 

 

 

логи

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

[Nikolay Lazarenko]

Пожалуйста,внимательно прочитайте правила и выполните

Перед выполнением следующих пунктов (8, 10, 12) закройте свои антивирусные программы, игры, текстовые редакторы и любые другие программы, оставьте запущенным только программу-браузер!

[Alex1983]

Выполните скрипт AVZ

 

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\Windows\system32\vksaver.dll','');
QuarantineFile('C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL','');
QuarantineFile('C:\Users\4977~1\AppData\Local\Temp\c6Rb9ikz.sys','');
QuarantineFile('C:\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL','');
DeleteFile('C:\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL');
DeleteFile('C:\Users\4977~1\AppData\Local\Temp\c6Rb9ikz.sys');
DeleteFile('C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL');
DelBHO('{9CB65201-89C4-402c-BA80-02D8C59F9B1D}');
DelBHO('{FE063DB1-4EC0-403e-8DD8-394C54984B2C}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

после выполнения скрипта компьютер перезагрузится.

 

после перезагрузки выполнить второй скрипт AVZ:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Полученный архив отправьте согласно форме http://support.kaspersky.ru/virlab/helpdesk.html

 

Результат сообщите в этой теме.

 

Для отключения автозапуска CDROM выполните скрипт в AVZ. (На ваше усмотрение)

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
end.

 

Профиксите в HijackThis следующие строчки

O2 - BHO: Ask Search Assistant BHO - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - (no file)
O2 - BHO: Ask Toolbar BHO - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL (file missing)

 

У вас RAdmin установлен?

Пользуетесь сервисами Вконтакте? Это лишний риск для компа

 

Что с проблемой?

Повторите логи.

+

 

Лог RSIT.

• Если у вас 32 разрядная версия windows, то скачайте Random's System Information Tool (RSIT) или с зеркала
  
• Если у вас 64 разрядная версия windows, то необходимо скачать эту версию Random's System Information Tool(RSIT)x64 или с зеркала
  

Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

Изменено 9 сентября, 2010 пользователем Alex1983

[illayj]

Удалите файл vksaver.dll расположенный по адресу: C:\Windows\system32

[snifer67]

Удалите файл vksaver.dll расположенный по адресу: C:\Windows\system32

Зачем?

[MotherBoard]

illayj Эти программы, что вы просите удалить, это с одной стороны - риск для компа или лишняя дыра в системе безопасности, а с другой стороны - это программа может быть нужна пользователю как воздух, как тот же Мэйл.Ру Агент. Alex1983 правильно сделал, что сначала спросил. Только в случае отрицательного ответа пользователя файл можно удалить.