Браузер открывает неизвестную ссылку [LOG+]

[lugaserg]

Все началось с того что веб браузер (и Mozilla и Internet Explorer) при нажатии на ссылку в поисковике Google автоматически перекидывает на страницу _skilook.com а потом и дальше. Данный эффект не наблюдается при работе с yandex'ом. Во время первоначального лечения (использую K Internet Security 8.0.0.506, 30 дневную лицензию) компьютер перезагружался во время сканирования спонтанно. После лечения были найдены следующие вирусы которые были опознаны как Rootkit.Win32.Agent.ex и HEUR:Trojan.Win32.Generic (KIS ) компьютер перестал перезагружаться но проблема с перебросом на _skilook.com осталась. Если скопировать в google оригинальную ссылку и вставить и вручную вставить в адресную панель то все прекрасно открывается. Сколько раз я не лечил при помощи Касперски Интернет Секьюрити все равно находятся вышеописанные вирусы, иногда не находятся или процесс сканирования выполняется слишком быстро (почти молниеносно.)

Помогите с этим побороться. Спасибки.

 

http://www.getsysteminfo.com/read.php?file...87dcf41c16df5f8

 

Rootkit.Win32.Agent.ex

HEUR:Trojan.Win32.Generic

 

Сообщение от модератора Falcon

Обезвредил активные ссылки.

hijackthis.log

virusinfo_syscure.zip

virusinfo_syscheck.zip

GetSystemInfo_T411A8_Power_User_2009_05_22_10_46_38.zip

[thyrex]

Выполните скрипт в AVZ

 begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\windows\ld08.exe','');
QuarantineFile('C:\WINDOWS\system32\digiwet.dll','');
QuarantineFile('C:\Documents and Settings\Power User\Power User.exe','');
QuarantineFile('c:\windows\system32\sys32dll.exe','');
TerminateProcessByName('c:\windows\system32\sys32dll.exe');
DeleteFile('c:\windows\system32\sys32dll.exe');
DeleteFile('C:\Documents and Settings\Power User\Power User.exe');
DeleteFile('C:\WINDOWS\system32\digiwet.dll');
DeleteFile('C:\windows\ld08.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. В письме укажите пароль на архив virus. Полученный ответ сообщите здесь.

 

Пофиксить в HiJack

 O4 - HKLM\..\Run: [sysldtray] C:\windows\ld08.exe
O4 - HKCU\..\Run: [Power User] C:\Documents and Settings\Power User\Power User.exe /i
O4 - HKCU\..\Run: [SYS32DLL] SYS32DLL

Сделайте новые логи

[lugaserg]

БОЛЬШОЕ спасибо за быстрое реагирование.

Сделал все как было написано. После презагрузки пропало подключение к интернету. Я пробовал нажать "Исправить" в меню правой кнопки Сетевое подключение но это не помогло. Больше ничего не делал. Сейчас нахожусь в колледже в копьютерном классе. Отправляю с другого компьютера.

Не удалось пофиксить ключ O4 - HKLM\..\Run: [sysldtray] C:\windows\ld08.exe т.к. его не было в списке. Два других пофиксил.

 

Сделал все как было написано. После презагрузки пропало подключение к интернету. Я пробовал нажать "Исправить" в меню правой кнопки Сетевое подключение но это не помогло. Больше ничего не делал. Сейчас нахожусь в колледже в копьютерном классе. Отправляю с другого компьютера.

Не удалось пофиксить ключ O4 - HKLM\..\Run: [sysldtray] C:\windows\ld08.exe т.к. его не было в списке. Два других пофиксил.

 

Забыл самый важный файл прикрепить.

 

http://www.getsysteminfo.com/read.php?file...29733ef4f6ca0a3

 

Более свежая ссылка.

 

Иду домой, выходные начинаются. Смогу на выходных только почитать рекомендации, а что-либо предпринять будет возможно во вторник 26 числа.

Сообщение от модератора Falcon

Убрал карантин.

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

Изменено 23 мая, 2009 пользователем Falcon

[thyrex]

quarantine.zip уберите из вложений

 

Выход в Интернет через прокси-сервер?

ProxyServer = http=localhost:7171

 

Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Power User\Local Settings\Temp\pdfupd.exe','');
DeleteFile('C:\Documents and Settings\Power User\Local Settings\Temp\pdfupd.exe');
DeleteFile('digiwet.dll');
DeleteFileMask('C:\Documents and Settings\Power User\Local Settings\Temp\', '*.*', true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Сделать новые логи

[lugaserg]

да, думаю что выход в интернет через прокси сервер

[Falcon]

Сделайте новый комплект логов.

[lugaserg]

Сделайте новый комплект логов.

 

Сделал новые логи.

 

Выход в интернет через прокси сервер.

Код: ProxyServer = http=localhost:7171 НЕ ВЫПОЛНЯЕТСЯ, какая-то синтаксическая ошибка. Даже если поставить "Begin" вначале и "end." в конце.

 

 

 

http://www.getsysteminfo.com/read.php?file...e460cc19cb74aea

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Изменено 26 мая, 2009 пользователем Falcon

[thyrex]

Ваш прокси-сервер имеет такой IP: 127.0.0.1 ?

Если нет, введите правильный. И интернет должен появиться

А это

ProxyServer = http=localhost:7171

фиксить нужно было в HiJack, а не AVZ

[lugaserg]

Ваш прокси-сервер имеет такой IP: 127.0.0.1 ?

Если нет, введите правильный. И интернет должен появиться

А это фиксить нужно было в HiJack, а не AVZ

Пофиксис в HiJack - ничего не помогло. Потом пофиксис 4 похожих ключа с IP прокси серверов - тоже не помогло. В конце я просто зашел в настройки браузеров и выбрал автоматическую конфигурацию прокси - все СНОВА заработало. Спасибо.

[lugaserg]

Пофиксис в HiJack - ничего не помогло. Потом пофиксис 4 похожих ключа с IP прокси серверов - тоже не помогло. В конце я просто зашел в настройки браузеров и выбрал автоматическую конфигурацию прокси - все СНОВА заработало. Спасибо.

 

Остался кажется еще один вирус.

Новые логи:

 

http://www.getsysteminfo.com/read.php?file...7462a263ed2f4db

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

Изменено 27 мая, 2009 пользователем lugaserg

[akoK]

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

 

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner

- скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected

- нажмите No, если вы хотите оставить ваши сохраненные пароли

- если вы используете Opera, нажмите Opera - Select All - Empty Selected

- нажмите No, если вы хотите оставить ваши сохраненные пароли

 

 

Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте текст из C:\Report.txt и вставьте в следующее сообщение или запакуйте файл C:\Report.txt и прикрепите к сообщению

Описание SDFix есть здесь

 

 

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

 

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

 

Скачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его.

 

 

И воспользуйтесь этой рекомендацией

[lugaserg]

Я просканировал систему Malwarebytes' Anti-Malware, по завершении удалил выделенные результаты (около 8). Могу загрузить файл с отчетом. SDFixом воспользоваться не смог т.к. система не грузиться в безопасном режиме, загрузка доходит до файла кажется avg4.sys и все. может быть надо было подождать дольше - 10-30 минут, но я не стал ждать.

Главный вопрос какбы решен. Большое спасибо за помощь!!!!!