Вирус (в браузере отображаются коды страниц)

21 октября, 2011

Добрый день. В браузере страницы то отображаются кодами, то бесконечно долго пытаются загрузиться, то переадресует на Internet.com. Где-то видел идентичную проблему, но после введения скрипта, указанного там, проблема не ушла. Поэтому прикрепляю последние файлы-отчеты.

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

21 октября, 2011

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Program Files\Common Files\Service Share\lsass.exe','');
QuarantineFile('C:\Program Files\mirc\mirc.exe','');
QuarantineFile('C:\PROGRA~1\MYCENT~1\*.*','');
QuarantineFile('C:\Program Files\PartyGaming\*.*','');
QuarantineFile('C:\Program Files\pchd\*.*','');
QuarantineFile('C:\WINDOWS2\system32\windebug32.exe','');
QuarantineFile('C:\WINDOWS2\system32\wjlzqdi.dll','');
QuarantineFile('C:\WINDOWS2\system32\8FE.tmp ',' ');
DeleteFile('C:\WINDOWS2\system32\8FE.tmp');
DeleteFile('C:\WINDOWS2\system32\wjlzqdi.dll');
DeleteFile('C:\WINDOWS2\system32\windebug32.exe');
DeleteFileMask('C:\Program Files\pchd\ ','*.* ',true ,' ');
DeleteDirectory('C:\Program Files\pchd\ ',' ');
DeleteFileMask('C:\Program Files\PartyGaming\ ','*.* ',true ,' ');
DeleteDirectory('C:\Program Files\PartyGaming\ ',' ');
DeleteFileMask('C:\PROGRA~1\MYCENT~1\','*.* ',true ,' ');
DeleteDirectory('C:\PROGRA~1\MYCENT~1\',' ');
DeleteFile('C:\Program Files\Common Files\Service Share\lsass.exe');
DelBHO('B7FE5D70-9AA2-40F1-9C6B-12A255F085E1');
DelBHO('FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\System32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
R3 - URLSearchHook: (no name) -  - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Program Files\Common Files\Service Share\lsass.exe
O2 - BHO: (no name) - {FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} - C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL (file missing)
O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
O4 - HKCU\..\Run: [PCHDPlayer] C:\Program Files\pchd\PCHDPlayer.exe
O4 - HKCU\..\Run: [Windows Debugger 32] C:\WINDOWS2\system32\windebug32.exe
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O20 - AppInit_DLLs: C:\WINDOWS2\system32\wjlzqdi.dll

Рекомендуется удалить ПО, которое может конфликтовать с установленной антивирусной программой:

- Kaspersky Virus Removal Tool;

- Eset Nod.

Если данные программы были ранее удалены некорректно, можно воспользоваться специализированными утилитами по очистке их следов с сайтов производителей данного ПО.

Сделайте новые логи по правилам.

+

Скачайте Malwarebytes' Anti-Malware здесь или здесь.

Установите mbam-setup.exe

Обновите базы.

Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".

Полученный лог прикрепите к сообщению.

21 октября, 2011

Спасибо, пишу с рабочего компьютера, т.к. дома зайти сюда не получится. Как сделаю - все скину.

21 октября, 2011

Сделал все, что просили.

Ответ после отправленного quarantine.zip:

"Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.

bcqr00003.dat,

bcqr00004.dat,

mirc.exe - not-a-virus:Client-IRC.Win32.mIRC.g

Эти файлы уже детектируются нашими расширенными базами как потенциально опасное программное обеспечение.

wjlzqdi.dll - Trojan-Ransom.Win32.Cidox.yl

В настоящий момент этот файл определяется антивирусом со свежими антивирусными базами.

С уважением, Лаборатория Касперского"

Далее выкладываю новые логи, а также 2 лога mbam - до удаления того, что он нашел, и после.

Кстати, проблема вроде исчезла, но все равно выполнил эти указания. Спасибо.

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

mbam_log_2011_10_21__16_14_29_.txt

mbam_log_2011_10_21__16_16_15_.txt

21 октября, 2011

kalmah,

C:\Program Files\mirc\mirc.exe - not-a-virus:Client-IRC.Win32.mIRC.g Описание тут

Удалять или нет - на ваше усмотрение.

Один из ваших зловредов - Spyware.Banker, поэтому, обязательно смените все пароли к банковским аккуантам + все важные пароли!

В файл Hosts самостоятельно вносили изменения? Если нет, то пофиксите в HijackThis следующие строчки.

O1 - Hosts: 84.16.242.170 www.telebank.ru
O1 - Hosts: 84.16.242.170 telebank.ru

Лог C:\TDSSKiller.2.6.11.0_19.10.2011_22.12.31_log.txt прикрепите к следующему сообщению.

Удалите предыдущие контрольные точки восстановления ОС и создайте новые!

Изменено 21 октября, 2011 пользователем Tiare

22 октября, 2011

В Host изменения не вносил.

TDSSKiller.2.6.11.0_19.10.2011_22.12.31_log.txt

22 октября, 2011

kalmah, что-то еще беспокоит?

22 октября, 2011

Да нет вроде, спасибо большое Лишь выполнил все указания.

22 октября, 2011

Обязательно деинсталлируйте MBAM!

Пуск--Панель управления--Установка и удаление программ
Находим там Malwarebytes' Anti-Malware и нажимаем удалить.

На этом лечение закончено Больше не болейте ))

Изменено 23 октября, 2011 пользователем Tiare

Вирус (в браузере отображаются коды страниц)

Рекомендуемые сообщения

kalmah

Ссылка на комментарий

Поделиться на другие сайты

Roman_Five

Ссылка на комментарий

Поделиться на другие сайты

kalmah

Ссылка на комментарий

Поделиться на другие сайты

kalmah

Ссылка на комментарий

Поделиться на другие сайты

Tiare

Ссылка на комментарий

Поделиться на другие сайты

kalmah

Ссылка на комментарий

Поделиться на другие сайты

Tiare

Ссылка на комментарий

Поделиться на другие сайты

kalmah

Ссылка на комментарий

Поделиться на другие сайты

Tiare

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum