Есть проблемы.

16 апреля, 2011

Здравствуйте. У меня есть подозрения на наличие вирусов т.к периодически страницы сайтов открываются в виде кодировки, а так же в окне браузера появляются плавающие окна с просьбой отправить смс для обновления браузера. На сайте Вконтакте при попытке входа приходит сообщение об авторизации за смс. Прилогаю логи AVZ, HiJackThis, getSystemInfo.

GetSystemInfo_HOME_CAD1A63C81_Масловы_2011_04_16_15_08_16.zip

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

16 апреля, 2011

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\spzwmx.exe','');
QuarantineFile('C:\WINDOWS\system32\2b109b3c.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\wpdusb.sys','');
QuarantineFile('C:\WINDOWS\system32\uvyowcd.dll','');
DeleteFile('C:\WINDOWS\system32\uvyowcd.dll');
DeleteFileMask('C:\Program Files\pchd\ ','*.* ',true ,' ');
DeleteDirectory('C:\Program Files\pchd\ ',' ');
DeleteFile('C:\WINDOWS\system32\2b109b3c.exe');
DeleteFile('C:\WINDOWS\system32\spzwmx.exe');
DelCLSID('{6B830884-20E3-4AB6-B672-2629F0F72071}');
DelAutorunByFileName('C:\WINDOWS\system32\uvyowcd.dll');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PCHDPlayer');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\System32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteFile('C:\WINDOWS\system32\uvyowcd.dll');
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = Root: HKCU; Subkey: Software\Microsoft\Internet Explorer\SearchUrl; ValueType: string; ValueName: '; ValueData: '; Flags: createvalueifdoesntexist noerror; Tasks: AddSearchQip
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\2b109b3c.exe,C:\WINDOWS\system32\spzwmx.exe,
O2 - BHO: (no name) - {259F616C-A300-44F5-B04A-ED001A26C85C} - (no file)
O4 - HKCU\..\Run: [PCHDPlayer] C:\Program Files\pchd\PCHDPlayer.exe
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O20 - AppInit_DLLs: C:\WINDOWS\system32\uvyowcd.dll

После проведённого лечения рекомендуется установить следующие обновления:

- обновить Internet Explorer до версии 8.0 (даже если им не пользуетесь!)

- все обновления на Windows (может потребоваться активация Windows)

- обновить Java до актуальной версии

- обновить Adobe Reader до актуальной версии

Сделайте новые логи по правилам.

+

Скачайте Malwarebytes' Anti-Malware здесь или здесь.

Установите mbam-setup.exe

Обновите базы. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно (загрузить обновление MBAM).

Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".

Полученный лог прикрепите к сообщению.

Изменено 16 апреля, 2011 пользователем Roman_Five

17 апреля, 2011

Все обновил, скрипты выполнил и пофиксил. Прикрепляю повторные логи.

GetSystemInfo_HOME_CAD1A63C81_Масловы_2011_04_17_13_31_15.zip

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

mbam_log_2011_04_17__14_12_55_.txt

17 апреля, 2011

Удалите в MBAM:

Заражённые ключи в реестре:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> No action taken.

Заражённые параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> Value: option_1 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> Value: option_2 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> Value: option_3 -> No action taken.

Заражённые папки:
c:\documents and settings\Масловы\application data\FieryAds (Adware.FieryAds) -> No action taken.
c:\program files\common files\wm\keys (Trojan.KeyLog) -> No action taken.

Заражённые файлы:
c:\documents and settings\Масловы\application data\avdrn.dat (Malware.Trace) -> No action taken.
c:\documents and settings\Масловы\application data\fieryads.dat (Adware.FieryAds) -> No action taken.
c:\program files\common files\keylog.txt (Malware.Trace) -> No action taken.

полученный лог MBAM приложите.

17 апреля, 2011

Удалил. Вот лог.

mbam_log_2011_04_17__20_19_04_.txt

17 апреля, 2011

Деинсталлируйте MBAM

Жалобы ещё есть?

17 апреля, 2011

Деинсталировал. Жалоб больше нет. Большое спасибо за помощь.

17 апреля, 2011

Смените все пароли

26 апреля, 2011

Добрый день! У меня не открываются иностранные сайты (даже русская версия EBAY)! В чем может быть дело? Вчера еще все нормально было.

26 апреля, 2011

Добрый день! У меня не открываются иностранные сайты (даже русская версия EBAY)! В чем может быть дело? Вчера еще все нормально было.

Выполните http://forum.kasperskyclub.ru/index.php?showtopic=1698

Есть проблемы.

Рекомендуемые сообщения

Ferum

Ссылка на комментарий

Поделиться на другие сайты

Roman_Five

Ссылка на комментарий

Поделиться на другие сайты

Ferum

Ссылка на комментарий

Поделиться на другие сайты

Roman_Five

Ссылка на комментарий

Поделиться на другие сайты

Ferum

Ссылка на комментарий

Поделиться на другие сайты

Roman_Five

Ссылка на комментарий

Поделиться на другие сайты

Ferum

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

VogueLady

Ссылка на комментарий

Поделиться на другие сайты

sandkey

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum