Ferum 1 Опубликовано 16 апреля, 2011 Share Опубликовано 16 апреля, 2011 Здравствуйте. У меня есть подозрения на наличие вирусов т.к периодически страницы сайтов открываются в виде кодировки, а так же в окне браузера появляются плавающие окна с просьбой отправить смс для обновления браузера. На сайте Вконтакте при попытке входа приходит сообщение об авторизации за смс. Прилогаю логи AVZ, HiJackThis, getSystemInfo. GetSystemInfo_HOME_CAD1A63C81_Масловы_2011_04_16_15_08_16.zip virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 16 апреля, 2011 Share Опубликовано 16 апреля, 2011 (изменено) Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\WINDOWS\system32\spzwmx.exe',''); QuarantineFile('C:\WINDOWS\system32\2b109b3c.exe',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\wpdusb.sys',''); QuarantineFile('C:\WINDOWS\system32\uvyowcd.dll',''); DeleteFile('C:\WINDOWS\system32\uvyowcd.dll'); DeleteFileMask('C:\Program Files\pchd\ ','*.* ',true ,' '); DeleteDirectory('C:\Program Files\pchd\ ',' '); DeleteFile('C:\WINDOWS\system32\2b109b3c.exe'); DeleteFile('C:\WINDOWS\system32\spzwmx.exe'); DelCLSID('{6B830884-20E3-4AB6-B672-2629F0F72071}'); DelAutorunByFileName('C:\WINDOWS\system32\uvyowcd.dll'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PCHDPlayer'); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\System32\userinit.exe,'); BC_ImportAll; ExecuteSysClean; BC_DeleteFile('C:\WINDOWS\system32\uvyowcd.dll'); BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть): R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = Root: HKCU; Subkey: Software\Microsoft\Internet Explorer\SearchUrl; ValueType: string; ValueName: '; ValueData: '; Flags: createvalueifdoesntexist noerror; Tasks: AddSearchQip R3 - Default URLSearchHook is missing F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\2b109b3c.exe,C:\WINDOWS\system32\spzwmx.exe, O2 - BHO: (no name) - {259F616C-A300-44F5-B04A-ED001A26C85C} - (no file) O4 - HKCU\..\Run: [PCHDPlayer] C:\Program Files\pchd\PCHDPlayer.exe O9 - Extra button: (no name) - AutorunsDisabled - (no file) O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file) O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU) O20 - AppInit_DLLs: C:\WINDOWS\system32\uvyowcd.dll После проведённого лечения рекомендуется установить следующие обновления: - обновить Internet Explorer до версии 8.0 (даже если им не пользуетесь!) - все обновления на Windows (может потребоваться активация Windows) - обновить Java до актуальной версии - обновить Adobe Reader до актуальной версии Сделайте новые логи по правилам. + Скачайте Malwarebytes' Anti-Malware здесь или здесь. Установите mbam-setup.exe Обновите базы. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно (загрузить обновление MBAM). Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты". Полученный лог прикрепите к сообщению. Изменено 16 апреля, 2011 пользователем Roman_Five Цитата Ссылка на сообщение Поделиться на другие сайты
Ferum 1 Опубликовано 17 апреля, 2011 Автор Share Опубликовано 17 апреля, 2011 Все обновил, скрипты выполнил и пофиксил. Прикрепляю повторные логи. GetSystemInfo_HOME_CAD1A63C81_Масловы_2011_04_17_13_31_15.zip virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log mbam_log_2011_04_17__14_12_55_.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 17 апреля, 2011 Share Опубликовано 17 апреля, 2011 Удалите в MBAM: Заражённые ключи в реестре: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> No action taken. Заражённые параметры в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> Value: option_1 -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> Value: option_2 -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> Value: option_3 -> No action taken. Заражённые папки: c:\documents and settings\Масловы\application data\FieryAds (Adware.FieryAds) -> No action taken. c:\program files\common files\wm\keys (Trojan.KeyLog) -> No action taken. Заражённые файлы: c:\documents and settings\Масловы\application data\avdrn.dat (Malware.Trace) -> No action taken. c:\documents and settings\Масловы\application data\fieryads.dat (Adware.FieryAds) -> No action taken. c:\program files\common files\keylog.txt (Malware.Trace) -> No action taken. полученный лог MBAM приложите. Цитата Ссылка на сообщение Поделиться на другие сайты
Ferum 1 Опубликовано 17 апреля, 2011 Автор Share Опубликовано 17 апреля, 2011 Удалил. Вот лог. mbam_log_2011_04_17__20_19_04_.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 17 апреля, 2011 Share Опубликовано 17 апреля, 2011 Деинсталлируйте MBAM Жалобы ещё есть? Цитата Ссылка на сообщение Поделиться на другие сайты
Ferum 1 Опубликовано 17 апреля, 2011 Автор Share Опубликовано 17 апреля, 2011 Деинсталировал. Жалоб больше нет. Большое спасибо за помощь. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 17 апреля, 2011 Share Опубликовано 17 апреля, 2011 Смените все пароли Цитата Ссылка на сообщение Поделиться на другие сайты
VogueLady 1 Опубликовано 26 апреля, 2011 Share Опубликовано 26 апреля, 2011 Добрый день! У меня не открываются иностранные сайты (даже русская версия EBAY)! В чем может быть дело? Вчера еще все нормально было. Цитата Ссылка на сообщение Поделиться на другие сайты
sandkey 27 Опубликовано 26 апреля, 2011 Share Опубликовано 26 апреля, 2011 Добрый день! У меня не открываются иностранные сайты (даже русская версия EBAY)! В чем может быть дело? Вчера еще все нормально было. Выполните http://forum.kasperskyclub.ru/index.php?showtopic=1698 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.