Ferum Опубликовано 16 апреля, 2011 Поделиться Опубликовано 16 апреля, 2011 Здравствуйте. У меня есть подозрения на наличие вирусов т.к периодически страницы сайтов открываются в виде кодировки, а так же в окне браузера появляются плавающие окна с просьбой отправить смс для обновления браузера. На сайте Вконтакте при попытке входа приходит сообщение об авторизации за смс. Прилогаю логи AVZ, HiJackThis, getSystemInfo. GetSystemInfo_HOME_CAD1A63C81_Масловы_2011_04_16_15_08_16.zip virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log Ссылка на комментарий Поделиться на другие сайты Поделиться
Roman_Five Опубликовано 16 апреля, 2011 Поделиться Опубликовано 16 апреля, 2011 (изменено) Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\WINDOWS\system32\spzwmx.exe',''); QuarantineFile('C:\WINDOWS\system32\2b109b3c.exe',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\wpdusb.sys',''); QuarantineFile('C:\WINDOWS\system32\uvyowcd.dll',''); DeleteFile('C:\WINDOWS\system32\uvyowcd.dll'); DeleteFileMask('C:\Program Files\pchd\ ','*.* ',true ,' '); DeleteDirectory('C:\Program Files\pchd\ ',' '); DeleteFile('C:\WINDOWS\system32\2b109b3c.exe'); DeleteFile('C:\WINDOWS\system32\spzwmx.exe'); DelCLSID('{6B830884-20E3-4AB6-B672-2629F0F72071}'); DelAutorunByFileName('C:\WINDOWS\system32\uvyowcd.dll'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PCHDPlayer'); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\System32\userinit.exe,'); BC_ImportAll; ExecuteSysClean; BC_DeleteFile('C:\WINDOWS\system32\uvyowcd.dll'); BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть): R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = Root: HKCU; Subkey: Software\Microsoft\Internet Explorer\SearchUrl; ValueType: string; ValueName: '; ValueData: '; Flags: createvalueifdoesntexist noerror; Tasks: AddSearchQip R3 - Default URLSearchHook is missing F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\2b109b3c.exe,C:\WINDOWS\system32\spzwmx.exe, O2 - BHO: (no name) - {259F616C-A300-44F5-B04A-ED001A26C85C} - (no file) O4 - HKCU\..\Run: [PCHDPlayer] C:\Program Files\pchd\PCHDPlayer.exe O9 - Extra button: (no name) - AutorunsDisabled - (no file) O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file) O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU) O20 - AppInit_DLLs: C:\WINDOWS\system32\uvyowcd.dll После проведённого лечения рекомендуется установить следующие обновления: - обновить Internet Explorer до версии 8.0 (даже если им не пользуетесь!) - все обновления на Windows (может потребоваться активация Windows) - обновить Java до актуальной версии - обновить Adobe Reader до актуальной версии Сделайте новые логи по правилам. + Скачайте Malwarebytes' Anti-Malware здесь или здесь. Установите mbam-setup.exe Обновите базы. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно (загрузить обновление MBAM). Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты". Полученный лог прикрепите к сообщению. Изменено 16 апреля, 2011 пользователем Roman_Five Ссылка на комментарий Поделиться на другие сайты Поделиться
Ferum Опубликовано 17 апреля, 2011 Автор Поделиться Опубликовано 17 апреля, 2011 Все обновил, скрипты выполнил и пофиксил. Прикрепляю повторные логи. GetSystemInfo_HOME_CAD1A63C81_Масловы_2011_04_17_13_31_15.zip virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log mbam_log_2011_04_17__14_12_55_.txt Ссылка на комментарий Поделиться на другие сайты Поделиться
Roman_Five Опубликовано 17 апреля, 2011 Поделиться Опубликовано 17 апреля, 2011 Удалите в MBAM: Заражённые ключи в реестре: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> No action taken. Заражённые параметры в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> Value: option_1 -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> Value: option_2 -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> Value: option_3 -> No action taken. Заражённые папки: c:\documents and settings\Масловы\application data\FieryAds (Adware.FieryAds) -> No action taken. c:\program files\common files\wm\keys (Trojan.KeyLog) -> No action taken. Заражённые файлы: c:\documents and settings\Масловы\application data\avdrn.dat (Malware.Trace) -> No action taken. c:\documents and settings\Масловы\application data\fieryads.dat (Adware.FieryAds) -> No action taken. c:\program files\common files\keylog.txt (Malware.Trace) -> No action taken. полученный лог MBAM приложите. Ссылка на комментарий Поделиться на другие сайты Поделиться
Ferum Опубликовано 17 апреля, 2011 Автор Поделиться Опубликовано 17 апреля, 2011 Удалил. Вот лог. mbam_log_2011_04_17__20_19_04_.txt Ссылка на комментарий Поделиться на другие сайты Поделиться
Roman_Five Опубликовано 17 апреля, 2011 Поделиться Опубликовано 17 апреля, 2011 Деинсталлируйте MBAM Жалобы ещё есть? Ссылка на комментарий Поделиться на другие сайты Поделиться
Ferum Опубликовано 17 апреля, 2011 Автор Поделиться Опубликовано 17 апреля, 2011 Деинсталировал. Жалоб больше нет. Большое спасибо за помощь. 1 Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 17 апреля, 2011 Поделиться Опубликовано 17 апреля, 2011 Смените все пароли Ссылка на комментарий Поделиться на другие сайты Поделиться
VogueLady Опубликовано 26 апреля, 2011 Поделиться Опубликовано 26 апреля, 2011 Добрый день! У меня не открываются иностранные сайты (даже русская версия EBAY)! В чем может быть дело? Вчера еще все нормально было. Ссылка на комментарий Поделиться на другие сайты Поделиться
sandkey Опубликовано 26 апреля, 2011 Поделиться Опубликовано 26 апреля, 2011 Добрый день! У меня не открываются иностранные сайты (даже русская версия EBAY)! В чем может быть дело? Вчера еще все нормально было. Выполните http://forum.kasperskyclub.ru/index.php?showtopic=1698 1 Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти