oberst 0 Опубликовано 13 июня, 2012 Share Опубликовано 13 июня, 2012 (изменено) Не открываются страницы в разных браузерах, скачал и переустановил последние версии, не помогает. Интернет, конечно, имеется и DNS работает. Посмотрите пожайлуста. Сообщение от модератора icotonev Не выкладывайте virusinfo_cure.zip на форум. Файл карантина удалён. virusinfo_syscheck.zip virusinfo_syscure.zip info.txt log.txt Изменено 13 июня, 2012 пользователем icotonev Цитата Ссылка на сообщение Поделиться на другие сайты
icotonev 57 Опубликовано 13 июня, 2012 Share Опубликовано 13 июня, 2012 Здравствуйте..! • Отключите временно: Антивирус/Файерволл • Скрипт AVZ. Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится. begin SearchRootkit(true, true); SetAVZGuardStatus(True); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFile('C:\Documents and Settings\123\Главное меню\Программы\Автозагрузка\eik86vSG8mY.exe',''); DeleteFile('C:\Documents and Settings\123\Главное меню\Программы\Автозагрузка\eik86vSG8mY.exe'); DeleteFile('C:\plg.txt'); BC_ImportALL; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU',2,3,true); RebootWindows(true); end. После всех процедур выполните скрипт begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте через данную форму. 1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите Пароль: virus . 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 1,5 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь. • HiJackThis Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru R3 - Default URLSearchHook is missing Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Пожалуйста, подготовить новые логи с АВЗ и RSIT...! Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 13 июня, 2012 Share Опубликовано 13 июня, 2012 Также пофиксите в HiJack O17 - HKLM\System\CCS\Services\Tcpip\..\{288157A0-3128-424E-AB8A-FC40CF253B2A}: NameServer = 134.255.241.122,8.8.8.8 O17 - HKLM\System\CCS\Services\Tcpip\..\{B7D388AC-D87B-4B9E-9A92-7CA892F6B415}: NameServer = 134.255.241.122,8.8.8.8 O17 - HKLM\System\CCS\Services\Tcpip\..\{E5DA4F73-863A-436D-8A41-5C7F0E6586BA}: NameServer = 134.255.241.122,8.8.8.8 Цитата Ссылка на сообщение Поделиться на другие сайты
oberst 0 Опубликовано 13 июня, 2012 Автор Share Опубликовано 13 июня, 2012 Сделал. Ответ Касперского на "карантин": "..Письмо будет передано на рассмотрение вирусному аналитику. bcqr00001.dat, bcqr00002.dat, eik86vSG8mY.exe - Trojan-Spy.Win32.Carberp.kcf В настоящий момент эти файлы определяются антивирусом со свежими антивирусными базами." Лог MBAM и новые логи прилагаются. Спасибо, сделал. info.txt log.txt virusinfo_syscheck.zip virusinfo_syscure.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 13 июня, 2012 Share Опубликовано 13 июня, 2012 oberst Выполните, пожалуйста, написанное в сообщении над Вашим последним. После этого сделайте новый лог RSIT Цитата Ссылка на сообщение Поделиться на другие сайты
oberst 0 Опубликовано 13 июня, 2012 Автор Share Опубликовано 13 июня, 2012 А подскажите пожалуйста из какого файла логов, высылаемых Вам, берете файлы, которые указываются в скрипте для лечения? Хочу попробовать собрать пакетик антивирусного ТО, указанного Вами, для проверки компа не имеющего выхода в Интернет и ,соответственно, файл для лечения надо будет править самостоятельно. Профиксил, вот лог log.txt Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 13 июня, 2012 Share Опубликовано 13 июня, 2012 Мы берем информацию из всех логов. А человек, который не понимает их содержимого, может похлеще вируса убить систему. Потому лучше довериться специалистам. А утилиты для сбора логов легко умещаются на флешку и также легко на флешке перенести полученные логи на компьютер с доступом в Интернет. Лечение займет больше времени, но тут уж ничего не поделаешь Смените все пароли. Если проблема себя исчерпала, то лечение можно считать оконченным Цитата Ссылка на сообщение Поделиться на другие сайты
Tiare 183 Опубликовано 13 июня, 2012 Share Опубликовано 13 июня, 2012 + к вышесказанному oberst, удалите папки C:\Qh8hwWvcCrA7oE4C:\Documents and Settings\123\Application Data\Qh8hwWvcCrA7oE4 Если папка Application Data не видна, включите отображение скрытых файлов. Для этого в любой папке зайдите в меню Сервис - Свойства папки - Вид - Скрытые файлы и папки и поставьте галочку на строке "Показывать скрытые файлы и папки", а также снимите галочку в пункте "Скрывать защищенные системные файлы (рекомендуется)". - обновите Adobe Reader до актуальной версии Лог MBAM не увидела... Проблема решена? Цитата Ссылка на сообщение Поделиться на другие сайты
oberst 0 Опубликовано 14 июня, 2012 Автор Share Опубликовано 14 июня, 2012 Да, проблема решена. Всем спасибо за помощь и советы! Лог MBAM на всякий случай кладу mbam_log_2012_06_13__18_39_15_.txt Цитата Ссылка на сообщение Поделиться на другие сайты
icotonev 57 Опубликовано 14 июня, 2012 Share Опубликовано 14 июня, 2012 Повторите сканирование в MBAM и удалите только следующие строки: HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{288157A0-3128-424E-AB8A-FC40CF253B2A}|NameServer (Trojan.DNSChanger) -> Плохо: (134.255.241.122,8.8.8.8) Хорошо: () -> Действие не было предпринято. HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{B7D388AC-D87B-4B9E-9A92-7CA892F6B415}|NameServer (Trojan.DNSChanger) -> Плохо: (134.255.241.122,8.8.8.8) Хорошо: () -> Действие не было предпринято. HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{E5DA4F73-863A-436D-8A41-5C7F0E6586BA}|NameServer (Trojan.DNSChanger) -> Плохо: (134.255.241.122,8.8.8.8) Хорошо: () -> Действие не было предпринято. C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято. Удачи вам и чистого Интернета! Не забудьте выполнить: Рекомендации после лечения Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.