lugaserg Опубликовано 22 мая, 2009 Поделиться Опубликовано 22 мая, 2009 Все началось с того что веб браузер (и Mozilla и Internet Explorer) при нажатии на ссылку в поисковике Google автоматически перекидывает на страницу _skilook.com а потом и дальше. Данный эффект не наблюдается при работе с yandex'ом. Во время первоначального лечения (использую K Internet Security 8.0.0.506, 30 дневную лицензию) компьютер перезагружался во время сканирования спонтанно. После лечения были найдены следующие вирусы которые были опознаны как Rootkit.Win32.Agent.ex и HEUR:Trojan.Win32.Generic (KIS ) компьютер перестал перезагружаться но проблема с перебросом на _skilook.com осталась. Если скопировать в google оригинальную ссылку и вставить и вручную вставить в адресную панель то все прекрасно открывается. Сколько раз я не лечил при помощи Касперски Интернет Секьюрити все равно находятся вышеописанные вирусы, иногда не находятся или процесс сканирования выполняется слишком быстро (почти молниеносно.) Помогите с этим побороться. Спасибки. http://www.getsysteminfo.com/read.php?file...87dcf41c16df5f8 Rootkit.Win32.Agent.ex HEUR:Trojan.Win32.Generic Сообщение от модератора Falcon Обезвредил активные ссылки. hijackthis.log virusinfo_syscure.zip virusinfo_syscheck.zip GetSystemInfo_T411A8_Power_User_2009_05_22_10_46_38.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 22 мая, 2009 Поделиться Опубликовано 22 мая, 2009 Выполните скрипт в AVZ begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\windows\ld08.exe',''); QuarantineFile('C:\WINDOWS\system32\digiwet.dll',''); QuarantineFile('C:\Documents and Settings\Power User\Power User.exe',''); QuarantineFile('c:\windows\system32\sys32dll.exe',''); TerminateProcessByName('c:\windows\system32\sys32dll.exe'); DeleteFile('c:\windows\system32\sys32dll.exe'); DeleteFile('C:\Documents and Settings\Power User\Power User.exe'); DeleteFile('C:\WINDOWS\system32\digiwet.dll'); DeleteFile('C:\windows\ld08.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. Выполнить скрипт в AVZ. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. В письме укажите пароль на архив virus. Полученный ответ сообщите здесь. Пофиксить в HiJack O4 - HKLM\..\Run: [sysldtray] C:\windows\ld08.exe O4 - HKCU\..\Run: [Power User] C:\Documents and Settings\Power User\Power User.exe /i O4 - HKCU\..\Run: [SYS32DLL] SYS32DLL Сделайте новые логи Ссылка на комментарий Поделиться на другие сайты Поделиться
lugaserg Опубликовано 22 мая, 2009 Автор Поделиться Опубликовано 22 мая, 2009 (изменено) БОЛЬШОЕ спасибо за быстрое реагирование. Сделал все как было написано. После презагрузки пропало подключение к интернету. Я пробовал нажать "Исправить" в меню правой кнопки Сетевое подключение но это не помогло. Больше ничего не делал. Сейчас нахожусь в колледже в копьютерном классе. Отправляю с другого компьютера. Не удалось пофиксить ключ O4 - HKLM\..\Run: [sysldtray] C:\windows\ld08.exe т.к. его не было в списке. Два других пофиксил. Сделал все как было написано. После презагрузки пропало подключение к интернету. Я пробовал нажать "Исправить" в меню правой кнопки Сетевое подключение но это не помогло. Больше ничего не делал. Сейчас нахожусь в колледже в копьютерном классе. Отправляю с другого компьютера.Не удалось пофиксить ключ O4 - HKLM\..\Run: [sysldtray] C:\windows\ld08.exe т.к. его не было в списке. Два других пофиксил. Забыл самый важный файл прикрепить. http://www.getsysteminfo.com/read.php?file...29733ef4f6ca0a3 Более свежая ссылка. Иду домой, выходные начинаются. Смогу на выходных только почитать рекомендации, а что-либо предпринять будет возможно во вторник 26 числа. Сообщение от модератора Falcon Убрал карантин. hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip Изменено 23 мая, 2009 пользователем Falcon Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 22 мая, 2009 Поделиться Опубликовано 22 мая, 2009 quarantine.zip уберите из вложений Выход в Интернет через прокси-сервер? ProxyServer = http=localhost:7171 Выполните скрипт в AVZ begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\Power User\Local Settings\Temp\pdfupd.exe',''); DeleteFile('C:\Documents and Settings\Power User\Local Settings\Temp\pdfupd.exe'); DeleteFile('digiwet.dll'); DeleteFileMask('C:\Documents and Settings\Power User\Local Settings\Temp\', '*.*', true); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. Выполнить скрипт в AVZ. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Сделать новые логи Ссылка на комментарий Поделиться на другие сайты Поделиться
lugaserg Опубликовано 22 мая, 2009 Автор Поделиться Опубликовано 22 мая, 2009 да, думаю что выход в интернет через прокси сервер Ссылка на комментарий Поделиться на другие сайты Поделиться
Falcon Опубликовано 23 мая, 2009 Поделиться Опубликовано 23 мая, 2009 Сделайте новый комплект логов. Ссылка на комментарий Поделиться на другие сайты Поделиться
lugaserg Опубликовано 26 мая, 2009 Автор Поделиться Опубликовано 26 мая, 2009 (изменено) Сделайте новый комплект логов. Сделал новые логи. Выход в интернет через прокси сервер. Код: ProxyServer = http=localhost:7171 НЕ ВЫПОЛНЯЕТСЯ, какая-то синтаксическая ошибка. Даже если поставить "Begin" вначале и "end." в конце. http://www.getsysteminfo.com/read.php?file...e460cc19cb74aea virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log Изменено 26 мая, 2009 пользователем Falcon Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 26 мая, 2009 Поделиться Опубликовано 26 мая, 2009 Ваш прокси-сервер имеет такой IP: 127.0.0.1 ? Если нет, введите правильный. И интернет должен появиться А это ProxyServer = http=localhost:7171фиксить нужно было в HiJack, а не AVZ Ссылка на комментарий Поделиться на другие сайты Поделиться
lugaserg Опубликовано 26 мая, 2009 Автор Поделиться Опубликовано 26 мая, 2009 Ваш прокси-сервер имеет такой IP: 127.0.0.1 ?Если нет, введите правильный. И интернет должен появиться А это фиксить нужно было в HiJack, а не AVZ Пофиксис в HiJack - ничего не помогло. Потом пофиксис 4 похожих ключа с IP прокси серверов - тоже не помогло. В конце я просто зашел в настройки браузеров и выбрал автоматическую конфигурацию прокси - все СНОВА заработало. Спасибо. Ссылка на комментарий Поделиться на другие сайты Поделиться
lugaserg Опубликовано 27 мая, 2009 Автор Поделиться Опубликовано 27 мая, 2009 (изменено) Пофиксис в HiJack - ничего не помогло. Потом пофиксис 4 похожих ключа с IP прокси серверов - тоже не помогло. В конце я просто зашел в настройки браузеров и выбрал автоматическую конфигурацию прокси - все СНОВА заработало. Спасибо. Остался кажется еще один вирус. Новые логи: http://www.getsysteminfo.com/read.php?file...7462a263ed2f4db hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip Изменено 27 мая, 2009 пользователем lugaserg Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 27 мая, 2009 Поделиться Опубликовано 27 мая, 2009 Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение. Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner - скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected. - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected - нажмите No, если вы хотите оставить ваши сохраненные пароли - если вы используете Opera, нажмите Opera - Select All - Empty Selected - нажмите No, если вы хотите оставить ваши сохраненные пароли Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте текст из C:\Report.txt и вставьте в следующее сообщение или запакуйте файл C:\Report.txt и прикрепите к сообщению Описание SDFix есть здесь Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. 1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe Скачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его. И воспользуйтесь этой рекомендацией Ссылка на комментарий Поделиться на другие сайты Поделиться
lugaserg Опубликовано 4 июня, 2009 Автор Поделиться Опубликовано 4 июня, 2009 Я просканировал систему Malwarebytes' Anti-Malware, по завершении удалил выделенные результаты (около 8). Могу загрузить файл с отчетом. SDFixом воспользоваться не смог т.к. система не грузиться в безопасном режиме, загрузка доходит до файла кажется avg4.sys и все. может быть надо было подождать дольше - 10-30 минут, но я не стал ждать. Главный вопрос какбы решен. Большое спасибо за помощь!!!!! Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти