Перейти к содержанию
Правила раздела

Вирус (в браузере отображаются коды страниц)

kalmah

Автор kalmah
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

kalmah

kalmah

Опубликовано
Опубликовано

Добрый день. В браузере страницы то отображаются кодами, то бесконечно долго пытаются загрузиться, то переадресует на Internet.com. Где-то видел идентичную проблему, но после введения скрипта, указанного там, проблема не ушла. Поэтому прикрепляю последние файлы-отчеты.

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five

Roman_Five

Опубликовано
Опубликовано

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Program Files\Common Files\Service Share\lsass.exe','');
QuarantineFile('C:\Program Files\mirc\mirc.exe','');
QuarantineFile('C:\PROGRA~1\MYCENT~1\*.*','');
QuarantineFile('C:\Program Files\PartyGaming\*.*','');
QuarantineFile('C:\Program Files\pchd\*.*','');
QuarantineFile('C:\WINDOWS2\system32\windebug32.exe','');
QuarantineFile('C:\WINDOWS2\system32\wjlzqdi.dll','');
QuarantineFile('C:\WINDOWS2\system32\8FE.tmp ',' ');
DeleteFile('C:\WINDOWS2\system32\8FE.tmp');
DeleteFile('C:\WINDOWS2\system32\wjlzqdi.dll');
DeleteFile('C:\WINDOWS2\system32\windebug32.exe');
DeleteFileMask('C:\Program Files\pchd\ ','*.* ',true ,' ');
DeleteDirectory('C:\Program Files\pchd\ ',' ');
DeleteFileMask('C:\Program Files\PartyGaming\ ','*.* ',true ,' ');
DeleteDirectory('C:\Program Files\PartyGaming\ ',' ');
DeleteFileMask('C:\PROGRA~1\MYCENT~1\','*.* ',true ,' ');
DeleteDirectory('C:\PROGRA~1\MYCENT~1\',' ');
DeleteFile('C:\Program Files\Common Files\Service Share\lsass.exe');
DelBHO('B7FE5D70-9AA2-40F1-9C6B-12A255F085E1');
DelBHO('FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\System32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
R3 - URLSearchHook: (no name) -  - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Program Files\Common Files\Service Share\lsass.exe
O2 - BHO: (no name) - {FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} - C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL (file missing)
O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
O4 - HKCU\..\Run: [PCHDPlayer] C:\Program Files\pchd\PCHDPlayer.exe
O4 - HKCU\..\Run: [Windows Debugger 32] C:\WINDOWS2\system32\windebug32.exe
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O20 - AppInit_DLLs: C:\WINDOWS2\system32\wjlzqdi.dll

 

Рекомендуется удалить ПО, которое может конфликтовать с установленной антивирусной программой:

- Kaspersky Virus Removal Tool;

- Eset Nod.

Если данные программы были ранее удалены некорректно, можно воспользоваться специализированными утилитами по очистке их следов с сайтов производителей данного ПО.

 

Сделайте новые логи по правилам.

+

Скачайте Malwarebytes' Anti-Malware здесь или здесь.

Установите mbam-setup.exe

Обновите базы.

Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".

Полученный лог прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
kalmah

kalmah

Опубликовано
  • Автор
Опубликовано

Сделал все, что просили.

 

Ответ после отправленного quarantine.zip:

 

"Здравствуйте,

 

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.

 

bcqr00003.dat,

bcqr00004.dat,

mirc.exe - not-a-virus:Client-IRC.Win32.mIRC.g

 

Эти файлы уже детектируются нашими расширенными базами как потенциально опасное программное обеспечение.

 

wjlzqdi.dll - Trojan-Ransom.Win32.Cidox.yl

 

В настоящий момент этот файл определяется антивирусом со свежими антивирусными базами.

 

С уважением, Лаборатория Касперского"

 

 

Далее выкладываю новые логи, а также 2 лога mbam - до удаления того, что он нашел, и после.

 

Кстати, проблема вроде исчезла, но все равно выполнил эти указания. Спасибо.

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

mbam_log_2011_10_21__16_14_29_.txt

mbam_log_2011_10_21__16_16_15_.txt

Ссылка на комментарий
Поделиться на другие сайты
Tiare

Tiare

Опубликовано
Опубликовано (изменено)

kalmah,

 

C:\Program Files\mirc\mirc.exe - not-a-virus:Client-IRC.Win32.mIRC.g Описание тут

Удалять или нет - на ваше усмотрение.

 

 

Один из ваших зловредов - Spyware.Banker, поэтому, обязательно смените все пароли к банковским аккуантам + все важные пароли!

 

 

В файл Hosts самостоятельно вносили изменения? Если нет, то пофиксите в HijackThis следующие строчки.

 

O1 - Hosts: 84.16.242.170 www.telebank.ru

O1 - Hosts: 84.16.242.170 telebank.ru

 

 

 

Лог C:\TDSSKiller.2.6.11.0_19.10.2011_22.12.31_log.txt прикрепите к следующему сообщению.

 

 

Удалите предыдущие контрольные точки восстановления ОС и создайте новые!

Изменено пользователем Tiare
Ссылка на комментарий
Поделиться на другие сайты
Tiare

Tiare

Опубликовано
Опубликовано (изменено)

Обязательно деинсталлируйте MBAM!

Пуск--Панель управления--Установка и удаление программ

Находим там Malwarebytes' Anti-Malware и нажимаем удалить.

 

 

На этом лечение закончено :) Больше не болейте ))

Изменено пользователем Tiare
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • korenis
      браузер закрывается сам по себе
      Автор korenis
      Скачал установщик адоб премьера с левого сайта, в итоге появился вирус, который закрывает браузер и устанавливает расширение. Антивирусы удаляют эти расширения, но при следующем запуске браузера всё возвращается. Логи и фото прикрепляю.CollectionLog-2025.07.02-12.07.zip
    • farguskz
      вирус
      Автор farguskz
      приветствую, после установки дистрибутива скаченного с официального сайта, получили зашифрованные файлы с письмом, так говорят менеджеры, прочитал ваш пост далее обращаюсь к вам за помощью в этом вопросе, спасибо
      систем защиты на момент возникновения проблемы не было, только удалил для переустановки едпоинт, с перепугу установил малваре прекратил отправку данных и нашёл очень много ошибок
      virus.zip Addition.txt Shortcut.txt FRST.txt
    • PiGeMa
      Не открывается защищенный режим браузера Firefox
      Автор PiGeMa
      Перестал включаться защищенный режим браузера Firefox. Появляется сообщение "couldn't load xpcom".
    • monstr878
      Непонятный вирус!
      Автор monstr878
      Помогите пожалуйста попал в такую ситуацию. С начала после запуска пк не открывалось не одно приложение, понель задач и поиск. Антивирус отказывался запускать сканирование запуская
      бессконечную загрузку. Попробовали AVZ не помогло, но встроенный антивирус винды начал работать но также ничего не нашел. Дальше переустановил виндовс, после скачивания всех обновлений,
      При настройки браузеров скачивании приложений проблема возобновилась. Установил касперский он нашел одну папку, но после удаления папки ничего не поменялаось.
      Симптомы: на нажатие кнопки виндовс реакции нет, не открывается поиск, настройки виндовс, при попытки зайти в персонализацию пишет что такого приложения не обнаружено.
      Подскажите пожалуйста что это может быть и как это решить?
    • Alhena
      [РЕШЕНО] В браузере Google самопроизвольно открывается вкладка
      Автор Alhena
      Добрый день. Вчера во время игры (был открыт браузер Google), т.е я в данный момент играли и свернула игру. Заметила что покраснела иконка Кis. ОБыл обнаружен скрипт какого то трояна и архивы с адресом в гугле, все удалила, троян вылечился.  Но сейчас периодически открывается в браузере страница Crosspilot.io с предложением поставитьк какое то расширение для оперы в гугл. Может кто сталкивался и как с этим бороться? Пока поставила тот сайт в блокировку. Не знаю поможет ли.
×
×
  • Создать...