kalmah 0 Опубликовано 21 октября, 2011 Share Опубликовано 21 октября, 2011 Добрый день. В браузере страницы то отображаются кодами, то бесконечно долго пытаются загрузиться, то переадресует на Internet.com. Где-то видел идентичную проблему, но после введения скрипта, указанного там, проблема не ушла. Поэтому прикрепляю последние файлы-отчеты. virusinfo_syscheck.zip virusinfo_syscure.zip info.txt log.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 21 октября, 2011 Share Опубликовано 21 октября, 2011 Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\Program Files\Common Files\Service Share\lsass.exe',''); QuarantineFile('C:\Program Files\mirc\mirc.exe',''); QuarantineFile('C:\PROGRA~1\MYCENT~1\*.*',''); QuarantineFile('C:\Program Files\PartyGaming\*.*',''); QuarantineFile('C:\Program Files\pchd\*.*',''); QuarantineFile('C:\WINDOWS2\system32\windebug32.exe',''); QuarantineFile('C:\WINDOWS2\system32\wjlzqdi.dll',''); QuarantineFile('C:\WINDOWS2\system32\8FE.tmp ',' '); DeleteFile('C:\WINDOWS2\system32\8FE.tmp'); DeleteFile('C:\WINDOWS2\system32\wjlzqdi.dll'); DeleteFile('C:\WINDOWS2\system32\windebug32.exe'); DeleteFileMask('C:\Program Files\pchd\ ','*.* ',true ,' '); DeleteDirectory('C:\Program Files\pchd\ ',' '); DeleteFileMask('C:\Program Files\PartyGaming\ ','*.* ',true ,' '); DeleteDirectory('C:\Program Files\PartyGaming\ ',' '); DeleteFileMask('C:\PROGRA~1\MYCENT~1\','*.* ',true ,' '); DeleteDirectory('C:\PROGRA~1\MYCENT~1\',' '); DeleteFile('C:\Program Files\Common Files\Service Share\lsass.exe'); DelBHO('B7FE5D70-9AA2-40F1-9C6B-12A255F085E1'); DelBHO('FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86'); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\System32\userinit.exe,'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть): R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru R3 - URLSearchHook: (no name) - - (no file) F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Program Files\Common Files\Service Share\lsass.exe O2 - BHO: (no name) - {FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} - C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL (file missing) O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file) O4 - HKCU\..\Run: [PCHDPlayer] C:\Program Files\pchd\PCHDPlayer.exe O4 - HKCU\..\Run: [Windows Debugger 32] C:\WINDOWS2\system32\windebug32.exe O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file) O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU) O20 - AppInit_DLLs: C:\WINDOWS2\system32\wjlzqdi.dll Рекомендуется удалить ПО, которое может конфликтовать с установленной антивирусной программой: - Kaspersky Virus Removal Tool; - Eset Nod. Если данные программы были ранее удалены некорректно, можно воспользоваться специализированными утилитами по очистке их следов с сайтов производителей данного ПО. Сделайте новые логи по правилам. + Скачайте Malwarebytes' Anti-Malware здесь или здесь. Установите mbam-setup.exe Обновите базы. Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты". Полученный лог прикрепите к сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
kalmah 0 Опубликовано 21 октября, 2011 Автор Share Опубликовано 21 октября, 2011 Спасибо, пишу с рабочего компьютера, т.к. дома зайти сюда не получится. Как сделаю - все скину. Цитата Ссылка на сообщение Поделиться на другие сайты
kalmah 0 Опубликовано 21 октября, 2011 Автор Share Опубликовано 21 октября, 2011 Сделал все, что просили. Ответ после отправленного quarantine.zip: "Здравствуйте, Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику. bcqr00003.dat, bcqr00004.dat, mirc.exe - not-a-virus:Client-IRC.Win32.mIRC.g Эти файлы уже детектируются нашими расширенными базами как потенциально опасное программное обеспечение. wjlzqdi.dll - Trojan-Ransom.Win32.Cidox.yl В настоящий момент этот файл определяется антивирусом со свежими антивирусными базами. С уважением, Лаборатория Касперского" Далее выкладываю новые логи, а также 2 лога mbam - до удаления того, что он нашел, и после. Кстати, проблема вроде исчезла, но все равно выполнил эти указания. Спасибо. log.txt virusinfo_syscheck.zip virusinfo_syscure.zip mbam_log_2011_10_21__16_14_29_.txt mbam_log_2011_10_21__16_16_15_.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Tiare 183 Опубликовано 21 октября, 2011 Share Опубликовано 21 октября, 2011 (изменено) kalmah, C:\Program Files\mirc\mirc.exe - not-a-virus:Client-IRC.Win32.mIRC.g Описание тут Удалять или нет - на ваше усмотрение. Один из ваших зловредов - Spyware.Banker, поэтому, обязательно смените все пароли к банковским аккуантам + все важные пароли! В файл Hosts самостоятельно вносили изменения? Если нет, то пофиксите в HijackThis следующие строчки. O1 - Hosts: 84.16.242.170 www.telebank.ruO1 - Hosts: 84.16.242.170 telebank.ru Лог C:\TDSSKiller.2.6.11.0_19.10.2011_22.12.31_log.txt прикрепите к следующему сообщению. Удалите предыдущие контрольные точки восстановления ОС и создайте новые! Изменено 21 октября, 2011 пользователем Tiare Цитата Ссылка на сообщение Поделиться на другие сайты
kalmah 0 Опубликовано 22 октября, 2011 Автор Share Опубликовано 22 октября, 2011 В Host изменения не вносил. TDSSKiller.2.6.11.0_19.10.2011_22.12.31_log.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Tiare 183 Опубликовано 22 октября, 2011 Share Опубликовано 22 октября, 2011 kalmah, что-то еще беспокоит? Цитата Ссылка на сообщение Поделиться на другие сайты
kalmah 0 Опубликовано 22 октября, 2011 Автор Share Опубликовано 22 октября, 2011 Да нет вроде, спасибо большое Лишь выполнил все указания. Цитата Ссылка на сообщение Поделиться на другие сайты
Tiare 183 Опубликовано 22 октября, 2011 Share Опубликовано 22 октября, 2011 (изменено) Обязательно деинсталлируйте MBAM! Пуск--Панель управления--Установка и удаление программНаходим там Malwarebytes' Anti-Malware и нажимаем удалить. На этом лечение закончено Больше не болейте )) Изменено 23 октября, 2011 пользователем Tiare Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.