Перейти к содержанию

Что-то закрывает окна браузера при их запуске


Рекомендуемые сообщения

Пару дней назад началось с того что у меня FF 3.0.8 начала падать каждые 5-15 минут, при том что на совершенно разных страницах и при совершенно разных действиях, смотрел журнал ошибок FF ничего там странного не заметил, потом решил попробовать последнюю Оперу, скачал, но проблема осталась, было решено попробовать IE 7.0 стандартный, который был установлен с системой, всё так же. Сегодня вообще дошло до того что не даёт открыть браузеры. Проверил через KIS 2009 с свежими обновлениями, ничего не нашлось, составил логи как написано в инструкция раздела, жду вашей помощи эксперты.

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

Ссылка на сообщение
Поделиться на другие сайты

Выполните скрипт в AVZ

 begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\system32\java32w.dll','');
DeleteFile('C:\WINDOWS\system32\java32w.dll');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. В письме укажите пароль на архив virus. Полученный ответ сообщите здесь.

 

Пофиксить в HiJack

 F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe, 
O21 - SSODL: WebCheck - {A5C0CBC3-CCB9-17CF-F0B4-6AC9B0EF4F5E} - java32w.dll (file missing)

 

Файл hosts Вам придется править вручную. Там, видимо, есть и Ваши собственные блокировки

 

Сделайте новые логи

Ссылка на сообщение
Поделиться на другие сайты
Выполните скрипт в AVZ

Код

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');

QuarantineFile('C:\WINDOWS\system32\java32w.dll','');

DeleteFile('C:\WINDOWS\system32\java32w.dll');

DeleteFile('C:\WINDOWS\system32\sdra64.exe');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

Компьютер перезагрузится.

Сделал, но во время выполнения скрипта выскочила ошибка следующего вида - Invalid data type for "

В окне хода выполнения скрипта было написано что удаление sdra64.exe и java32w.dll наступит после перезагрузки. После чего я перезагрузил компьютер и продолжил выполнять ваши рекомендации.

 

Выполнить скрипт в AVZ.

Код

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. В письме укажите пароль на архив virus. Полученный ответ сообщите здесь.

 

Пофиксить в HiJack

Код

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,

O21 - SSODL: WebCheck - {A5C0CBC3-CCB9-17CF-F0B4-6AC9B0EF4F5E} - java32w.dll (file missing)

Сделал.

 

Файл hosts Вам придется править вручную. Там, видимо, есть и Ваши собственные блокировки

А что в нём нужно править?

 

Сделайте новые логи

Сделал, прикрепил.

 

Так же хотелось узнать о дальнейших действиях чтобы исключить попадание этих вирус в будущем, кстати пишу сейчас уже со своего компьютера так как браузеры заработали :)

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

Ссылка на сообщение
Поделиться на другие сайты

Вот содержимое Вашего файла hosts

127.0.0.1	   localhost
127.0.0.1	www.wp-includes.gopovnet
127.0.0.1	www.wp-content.gopovnet
127.0.0.1	www.subdomain.localhost
127.0.0.1	www.subdomain.test1.ru
127.0.0.1	www.wp-admin.gopovnet
127.0.0.1	wp-includes.gopovnet
127.0.0.1	www.wp-includes.3fn
127.0.0.1	subdomain.localhost
127.0.0.1	www.wp-includes.fds
127.0.0.1	wp-content.gopovnet
127.0.0.1	www.smskop.gopovnet
127.0.0.1	www.wp-content.fds
127.0.0.1	www.wp-content.3fn
127.0.0.1	subdomain.test1.ru
127.0.0.1	wp-admin.gopovnet
127.0.0.1	www.zakladochnik
127.0.0.1	www.wp-admin.3fn
127.0.0.1	www.wp-admin.fds
127.0.0.1	smskop.gopovnet
127.0.0.1	wp-includes.fds
127.0.0.1	wp-includes.3fn
127.0.0.1	wp-content.fds
127.0.0.1	www.registator
127.0.0.1	wp-content.3fn
127.0.0.1	www.localhost
127.0.0.1	wp-admin.fds
127.0.0.1	www.main.3fn
127.0.0.1	www.test1.ru
127.0.0.1	zakladochnik
127.0.0.1	wp-admin.3fn
127.0.0.2	custom-host
127.0.0.1	www.parser
127.0.0.2	www.custom
127.0.0.1	registator
127.0.0.1	www.Wheel
127.0.0.1	www.ford
127.0.0.1	test1.ru
127.0.0.1	www.ncc1
127.0.0.1	main.3fn
127.0.0.1	www.ncc
127.0.0.1	www.dle
127.0.0.1	www.sat
127.0.0.1	www.lc
127.0.0.2	custom
127.0.0.1	parser
127.0.0.1	Wheel
127.0.0.1	ford
127.0.0.1	ncc1
127.0.0.1	dle
127.0.0.1	ncc
127.0.0.1	sat
127.0.0.1	lc
212.158.173.5   wmsc2.webmoney.ru
82.198.171.132  wmsc3.webmoney.ru
91.200.28.138   wmsc4.webmoney.ru
212.118.48.136  wmsc1.webmoney.ru
82.198.171.133  wmsc3.webmoney.ru
212.118.48.132  wmsc1.webmoney.ru
212.118.48.139  wmsc1.webmoney.ru
127.0.0.1 microsoft
127.0.0.1 forum.kas
127.0.0.1 auto-acti
127.0.0.1 auto-acti
127.0.0.1 https://a
127.0.0.1 https://a
127.0.0.1 auto-acti
127.0.0.1 https://a
127.0.0.1 https://a
127.0.0.1 auto-acti
127.0.0.1 https://a
127.0.0.1 auto-acti
127.0.0.1 https://a
127.0.0.1 https://a
127.0.0.1 auto-acti
127.0.0.1 auto-acti
127.0.0.1 kaspersky
127.0.0.1 malwaredo
127.0.0.1 zeustrack
127.0.0.1 abuse.ch

Из всего перечисленного в нем изначально должна быть только первая строка и

такой текст в начале

# (C) Корпорация Майкрософт (Microsoft Corp.), 1993-1999
#
# Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows.
#
# Этот файл содержит сопоставления IP-адресов именам узлов.
# Каждый элемент должен располагаться в отдельной строке. IP-адрес должен
# находиться в первом столбце, за ним должно следовать соответствующее имя.
# IP-адрес и имя узла должны разделяться хотя бы одним пробелом.
#
# Кроме того, в некоторых строках могут быть вставлены комментарии 
# (такие, как эта строка), они должны следовать за именем узла и отделяться
# от него символом '#'.
#
# Например:
#
#	  102.54.94.97	 rhino.acme.com		  # исходный сервер
#	   38.25.63.10	 x.acme.com			  # узел клиента x

Ссылка на сообщение
Поделиться на другие сайты

Hosts почистил, оставил только текст и первую строку, которые вы выше писали.

 

Хотелось узнать по поводу ошибки во время выполнения скрипта, всё ок или что-то нужно повторить или переделать?

Выполните скрипт в AVZ

Код

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');

QuarantineFile('C:\WINDOWS\system32\java32w.dll','');

DeleteFile('C:\WINDOWS\system32\java32w.dll');

DeleteFile('C:\WINDOWS\system32\sdra64.exe');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

Компьютер перезагрузится.

Сделал, но во время выполнения скрипта выскочила ошибка следующего вида - Invalid data type for "

В окне хода выполнения скрипта было написано что удаление sdra64.exe и java32w.dll наступит после перезагрузки. После чего я перезагрузил компьютер и продолжил выполнять ваши рекомендации.

 

А так же хотелось бы получить совет, что порекомендуете сделать чтобы максимально исключить попадения этих троянов на компьютер повторно?

А так же я прочитал, что данные трояные это spy и нужно поменять ко всему пароли, верно ли это?

Ссылка на сообщение
Поделиться на другие сайты

Повторные логи выше выкладывал http://forum.kasperskyclub.ru/index.php?sh...ost&p=97806

 

Кстати пришло письмо от kaspersky:

Здравствуйте,

 

 

java32w.dll - Trojan-Spy.Win32.Delf.fum

 

Этот файл определяется антивирусом. Обновите антивирусные базы.

 

sdra64.exe - Trojan-Spy.Win32.Zbot.sco

 

Детектирование файла будет добавлено в следующее обновление.

Изменено пользователем Puzat
Ссылка на сообщение
Поделиться на другие сайты

Проблема решилась, всё нормально работает, вот хотелось бы защититься на будующее, может какие-нибудь действия принять, ведь пролезло это всё дело как-то через KIS 2009, а так же может пароли ко всему нужно поменять или ещё что сделать, ведь не просто этот троян или вирус у меня на компьютере сидел.

Ссылка на сообщение
Поделиться на другие сайты

Электронная книга «Безопасный Интернет. Универсальная защита для Windows ME - Vista» (автор-составитель антивирусный эксперт, золотой бета-тестер Лаборатории Касперского Николай Головко), издание третье, измененное и дополненное.

 

Почитайте, очень полезная информация.

 

Ссылка.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...