Перейти к содержанию
Правила раздела

Что-то закрывает окна браузера при их запуске

Puzat

От Puzat
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Puzat Новичок

Puzat

Опубликовано
Опубликовано

Пару дней назад началось с того что у меня FF 3.0.8 начала падать каждые 5-15 минут, при том что на совершенно разных страницах и при совершенно разных действиях, смотрел журнал ошибок FF ничего там странного не заметил, потом решил попробовать последнюю Оперу, скачал, но проблема осталась, было решено попробовать IE 7.0 стандартный, который был установлен с системой, всё так же. Сегодня вообще дошло до того что не даёт открыть браузеры. Проверил через KIS 2009 с свежими обновлениями, ничего не нашлось, составил логи как написано в инструкция раздела, жду вашей помощи эксперты.

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

 begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\system32\java32w.dll','');
DeleteFile('C:\WINDOWS\system32\java32w.dll');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. В письме укажите пароль на архив virus. Полученный ответ сообщите здесь.

 

Пофиксить в HiJack

 F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe, 
O21 - SSODL: WebCheck - {A5C0CBC3-CCB9-17CF-F0B4-6AC9B0EF4F5E} - java32w.dll (file missing)

 

Файл hosts Вам придется править вручную. Там, видимо, есть и Ваши собственные блокировки

 

Сделайте новые логи

Ссылка на комментарий
Поделиться на другие сайты
Puzat Новичок

Puzat

Опубликовано
  • Автор
Опубликовано
Выполните скрипт в AVZ

Код

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');

QuarantineFile('C:\WINDOWS\system32\java32w.dll','');

DeleteFile('C:\WINDOWS\system32\java32w.dll');

DeleteFile('C:\WINDOWS\system32\sdra64.exe');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

Компьютер перезагрузится.

Сделал, но во время выполнения скрипта выскочила ошибка следующего вида - Invalid data type for "

В окне хода выполнения скрипта было написано что удаление sdra64.exe и java32w.dll наступит после перезагрузки. После чего я перезагрузил компьютер и продолжил выполнять ваши рекомендации.

 

Выполнить скрипт в AVZ.

Код

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. В письме укажите пароль на архив virus. Полученный ответ сообщите здесь.

 

Пофиксить в HiJack

Код

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,

O21 - SSODL: WebCheck - {A5C0CBC3-CCB9-17CF-F0B4-6AC9B0EF4F5E} - java32w.dll (file missing)

Сделал.

 

Файл hosts Вам придется править вручную. Там, видимо, есть и Ваши собственные блокировки

А что в нём нужно править?

 

Сделайте новые логи

Сделал, прикрепил.

 

Так же хотелось узнать о дальнейших действиях чтобы исключить попадание этих вирус в будущем, кстати пишу сейчас уже со своего компьютера так как браузеры заработали :)

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Вот содержимое Вашего файла hosts

127.0.0.1	   localhost
127.0.0.1	www.wp-includes.gopovnet
127.0.0.1	www.wp-content.gopovnet
127.0.0.1	www.subdomain.localhost
127.0.0.1	www.subdomain.test1.ru
127.0.0.1	www.wp-admin.gopovnet
127.0.0.1	wp-includes.gopovnet
127.0.0.1	www.wp-includes.3fn
127.0.0.1	subdomain.localhost
127.0.0.1	www.wp-includes.fds
127.0.0.1	wp-content.gopovnet
127.0.0.1	www.smskop.gopovnet
127.0.0.1	www.wp-content.fds
127.0.0.1	www.wp-content.3fn
127.0.0.1	subdomain.test1.ru
127.0.0.1	wp-admin.gopovnet
127.0.0.1	www.zakladochnik
127.0.0.1	www.wp-admin.3fn
127.0.0.1	www.wp-admin.fds
127.0.0.1	smskop.gopovnet
127.0.0.1	wp-includes.fds
127.0.0.1	wp-includes.3fn
127.0.0.1	wp-content.fds
127.0.0.1	www.registator
127.0.0.1	wp-content.3fn
127.0.0.1	www.localhost
127.0.0.1	wp-admin.fds
127.0.0.1	www.main.3fn
127.0.0.1	www.test1.ru
127.0.0.1	zakladochnik
127.0.0.1	wp-admin.3fn
127.0.0.2	custom-host
127.0.0.1	www.parser
127.0.0.2	www.custom
127.0.0.1	registator
127.0.0.1	www.Wheel
127.0.0.1	www.ford
127.0.0.1	test1.ru
127.0.0.1	www.ncc1
127.0.0.1	main.3fn
127.0.0.1	www.ncc
127.0.0.1	www.dle
127.0.0.1	www.sat
127.0.0.1	www.lc
127.0.0.2	custom
127.0.0.1	parser
127.0.0.1	Wheel
127.0.0.1	ford
127.0.0.1	ncc1
127.0.0.1	dle
127.0.0.1	ncc
127.0.0.1	sat
127.0.0.1	lc
212.158.173.5   wmsc2.webmoney.ru
82.198.171.132  wmsc3.webmoney.ru
91.200.28.138   wmsc4.webmoney.ru
212.118.48.136  wmsc1.webmoney.ru
82.198.171.133  wmsc3.webmoney.ru
212.118.48.132  wmsc1.webmoney.ru
212.118.48.139  wmsc1.webmoney.ru
127.0.0.1 microsoft
127.0.0.1 forum.kas
127.0.0.1 auto-acti
127.0.0.1 auto-acti
127.0.0.1 https://a
127.0.0.1 https://a
127.0.0.1 auto-acti
127.0.0.1 https://a
127.0.0.1 https://a
127.0.0.1 auto-acti
127.0.0.1 https://a
127.0.0.1 auto-acti
127.0.0.1 https://a
127.0.0.1 https://a
127.0.0.1 auto-acti
127.0.0.1 auto-acti
127.0.0.1 kaspersky
127.0.0.1 malwaredo
127.0.0.1 zeustrack
127.0.0.1 abuse.ch

Из всего перечисленного в нем изначально должна быть только первая строка и

такой текст в начале

# (C) Корпорация Майкрософт (Microsoft Corp.), 1993-1999
#
# Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows.
#
# Этот файл содержит сопоставления IP-адресов именам узлов.
# Каждый элемент должен располагаться в отдельной строке. IP-адрес должен
# находиться в первом столбце, за ним должно следовать соответствующее имя.
# IP-адрес и имя узла должны разделяться хотя бы одним пробелом.
#
# Кроме того, в некоторых строках могут быть вставлены комментарии 
# (такие, как эта строка), они должны следовать за именем узла и отделяться
# от него символом '#'.
#
# Например:
#
#	  102.54.94.97	 rhino.acme.com		  # исходный сервер
#	   38.25.63.10	 x.acme.com			  # узел клиента x

Ссылка на комментарий
Поделиться на другие сайты
Puzat Новичок

Puzat

Опубликовано
  • Автор
Опубликовано

Hosts почистил, оставил только текст и первую строку, которые вы выше писали.

 

Хотелось узнать по поводу ошибки во время выполнения скрипта, всё ок или что-то нужно повторить или переделать?

Выполните скрипт в AVZ

Код

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');

QuarantineFile('C:\WINDOWS\system32\java32w.dll','');

DeleteFile('C:\WINDOWS\system32\java32w.dll');

DeleteFile('C:\WINDOWS\system32\sdra64.exe');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

Компьютер перезагрузится.

Сделал, но во время выполнения скрипта выскочила ошибка следующего вида - Invalid data type for "

В окне хода выполнения скрипта было написано что удаление sdra64.exe и java32w.dll наступит после перезагрузки. После чего я перезагрузил компьютер и продолжил выполнять ваши рекомендации.

 

А так же хотелось бы получить совет, что порекомендуете сделать чтобы максимально исключить попадения этих троянов на компьютер повторно?

А так же я прочитал, что данные трояные это spy и нужно поменять ко всему пароли, верно ли это?

Ссылка на комментарий
Поделиться на другие сайты
Puzat Новичок

Puzat

Опубликовано
  • Автор
Опубликовано (изменено)

Повторные логи выше выкладывал http://forum.kasperskyclub.ru/index.php?sh...ost&p=97806

 

Кстати пришло письмо от kaspersky:

Здравствуйте,

 

 

java32w.dll - Trojan-Spy.Win32.Delf.fum

 

Этот файл определяется антивирусом. Обновите антивирусные базы.

 

sdra64.exe - Trojan-Spy.Win32.Zbot.sco

 

Детектирование файла будет добавлено в следующее обновление.

Изменено пользователем Puzat
Ссылка на комментарий
Поделиться на другие сайты
Puzat Новичок

Puzat

Опубликовано
  • Автор
Опубликовано

Проблема решилась, всё нормально работает, вот хотелось бы защититься на будующее, может какие-нибудь действия принять, ведь пролезло это всё дело как-то через KIS 2009, а так же может пароли ко всему нужно поменять или ещё что сделать, ведь не просто этот троян или вирус у меня на компьютере сидел.

Ссылка на комментарий
Поделиться на другие сайты
Falcon Ветеран

Falcon

Опубликовано
Опубликовано

Электронная книга «Безопасный Интернет. Универсальная защита для Windows ME - Vista» (автор-составитель антивирусный эксперт, золотой бета-тестер Лаборатории Касперского Николай Головко), издание третье, измененное и дополненное.

 

Почитайте, очень полезная информация.

 

Ссылка.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • StarlightKnight
      При запуске Редактор реестра моментально закрывается.
      От StarlightKnight
      У меня windows 10  когда я хочу открыть  Редактор реестра он открывается и моментально закрывается.
      Я недавно переустановил windows.
      Сделал все доступные способы из интернета от проверки на вирусы и до проверки другими программами.
      Подскажите, что это может быть и есть ли смысл снова переустановить windows?
    • niromerskiy
      По всей видимости поймал майнер, не получается удалить, закрывает браузер
      От niromerskiy
      Добрый день, с недавних пор заметил что компьютер начал себя странно вести. В частности играя мой ФПС в играх не с того не с сего со 120 падал до 30 и не поднимался до перезапуска ПК. Думал на все кроме майнера, дошло время я решил посмотреть журналы Защитника Виндовс, и понял что у меня с ним что-то не то, он вроде как работает, но при этом и не работает. Начал пытаться чинить его, и вдруг резко задумался о том может ли это быть связанно с вирусами, сразу подумал на майнер. Начал писать в яндексе запрос "Как проверить ПК на наличие МАЙНЕРА", браузер закрывался почти мгновенно. Начитался на форумах и вспомнил что не так давно с момента как ПК начал себя плохо вести, я активировал Microsoft Office через КМС, в основном пользовался всегда своим проверенным, но потеряв его я решил найти в интернете, как я полагаю начало было положено именно с него. Помогите избавиться от майнера.
    • VinZy
      Вернуть окно свойств
      От VinZy
      Всем привет!
      А  кто знает как это окно вернуть? См. скрин... А то на крестик нажал случайно  и пипец, не пойму как вернуть :))))
       
       
       
       

    • ДмитрийКасперскийКлуб
      [РЕШЕНО] Открытие рекламы при запуске компьютера и запуск непонятных скриптов
      От ДмитрийКасперскийКлуб
      При запуске ноутбука открывается бразуер с ссылкой на рекламу, так же после перезапуска бывает сворачивается полноэкранное приложение, будто что-то на фоне начинает выполняться на секунду, что сворачивает активное приложение. После анализа CureIt был обнаружен и вылечен троян trojan starter 7691. Подозреваю, что могло начаться после использования zapret-discord-youtube архива (уже удалил его).
      Заранее большое спасибо за помощь!
      CollectionLog-2024.12.16-13.39.zip
    • Milkuf
      Закрывается программа установки Kaspersky free
      От Milkuf
      При установке Kaspersky free на этапе установки защиты от вымогателей(≈70%) программа сама закрывается.
×
×
  • Создать...