Решена - перекидывает на другой сайт internet.com

Тема в разделе "Раздел по борьбе с вирусами", создана пользователем 221170, 26 окт 2011.

  1. 221170

    221170 Junior User

    та же песня
    перекидывает на другое сайт internet.com и перегружает компьютер без моего участия, не открывается интернет
    http://webfile.ru/5627083

    может я поторопился , но сделал и лог МВАМ

    удалять пока ничего не стал.

    [mod="Nod"]
    Внимание посетителям форума!

    Скрипт для лечения СТРОГО индивидуален (для каждого заражения он свой).

    Если вы вдруг обнаружили в системе следующие признаки:

    (Перекидывает на Internet.com или выдает исходный код "html" страницы)

    1. Сделайте Логи как показано в -
    2. Создайте тему в разделе по борьбе с вирусами, с описанием проблемы и ссылками на логи утилит AVZ и HiJackThis (virusinfo_syscure.zip, hijackthis.log).

    После чего, логи будут проанализированы и Вам будет предложен скрипт лечения.
    [/mod]
     

    Вложения:

  2. Nod

    Nod Moderator

    Какой пароль от лога hijackthis ?


    1. Отключите антивирус/фаервол, интернет.

    2. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
    - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли
    - если вы используете Opera, нажмите Opera - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли

    3. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     ClearHostsFile;
      DeleteFile('C:\Documents and Settings\Эдуард\Application Data\Microsoft\Internet Explorer\Quick Launch\eBay.url');
      DeleteFile('C:\Program Files\MyPlayCity.ru\Снежок - Охотник за сокровищами 3\Снежок - Охотник за сокровищами 3.exe');
      DeleteFile('d:\756f33e0067ec68bb1683764c8c1\wgasetup.exe');
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\', 'Userinit', GetEnvironmentVariable  ('WinDir')+'\System32\userinit.exe,');
    BC_ImportAll;
     ExecuteSysClean;
    BC_Activate;
     ExecuteWizard('TSW',2,3,true);
    RebootWindows(true);
    end.
    
    после выполнения скрипта компьютер перезагрузится.

    4. Сделайте новые логи AVZ

    5. Если закрыли MBAM, повторите сканирование, после удалите следующие строки:

    После выполнения всех пунктов (1 по 5) проверьте, остался ли вирус? Если да, выполните следующее:
     
  3. 221170

    221170 Junior User

    пароль 1111112
     
  4. 221170

    221170 Junior User

    новые логи
     

    Вложения:

  5. Nod

    Nod Moderator

    Проблема решена или всё еще беспокоит?
     
  6. 221170

    221170 Junior User

    вот лог МВАМ, после удаления он выдал вот это
     

    Вложения:

  7. 221170

    221170 Junior User

    а фиксить там ничего не надо было?
     
  8. Nod

    Nod Moderator

    Сделайте повторно лог hijackthis
     
  9. 221170

    221170 Junior User

  10. Nod

    Nod Moderator

    Get-Styles 2.0 вы устанавливали?

    Скажите, проблема решена ?
     
  11. 221170

    221170 Junior User

    нет не устанавливал..я вообще не бываю вконтакте

    похоже не решена, у меня открыт МВАМ и он постоянно предупреждает что ко мне пытаются проникнуть вредоносные сайты
     
  12. 221170

    221170 Junior User

    у меня даже этот форум как то криво стал открываться - то нормально , то задом наперед и снизу вверх
     
    Последнее редактирование: 26 окт 2011
  13. 221170

    221170 Junior User

    МВАМ выдает - "была предотвращена попытка доступа к вредоносному сайту ..." и номер ип (постоянно разный), хотя я вообще никуда не захожу и открыт только этот форум
     
  14. Nod

    Nod Moderator

    Скажите, вам известны следующие DNS адреса: ?



    Я так понял, вы не удалили в MBAM следующие строки:

    Как удалить в MBAM указанные в теме строки.


    2. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\program files\common files\portrait displays\shared\dtsrvc.exe');
     StopService('SaiH075C');
     DeleteFile('C:\WINDOWS\system32\DRIVERS\SaiH075C.sys');
     DeleteFile('C:\Program Files\Common Files\Portrait Displays\Shared\DTSRVC.exe');
     DeleteFile('C:\WINDOWS\System\LVMaLogD.DLL');
     DeleteFile('C:\WINDOWS\system32\windebug32.exe');
     DeleteFile('LuComServerRes.dll');
     DeleteFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll');
     DelCLSID('{97F68CE3-7146-45FF-BE24-D9A7DD7CB8A2}');
     DeleteService('SaiH075C');
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\', 'Userinit', GetEnvironmentVariable  ('WinDir')+'\System32\userinit.exe,');
    BC_ImportAll;
     ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    
    после выполнения скрипта компьютер перезагрузится.

    3. Пофиксите в HijackThis следующие строчки:

    Внимание: некоторые строки могут отсутствовать, это нормально, просто сообщите какие не нашли при фиксе.

    Код:
    O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
    O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll
    O2 - BHO: Update Timer - {963B125B-8B21-49A2-A3A8-E37092276531} - C:\Program Files\Get-Styles 2.0\utils\updatebho.dll
    O2 - BHO: script helper for ie - {9B5FB65F-631E-4564-ABF2-AD71845B28E0} - C:\Program Files\Get-Styles 2.0\ie\jsloader.dll
    O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files\Free Download Manager\iefdm2.dll
    O2 - BHO: free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net\tbfre0.dll
    O3 - Toolbar: Get-Styles toolbar v3   - {5BCDC9E9-A980-4B53-B2E8-60CFF484DA61} - C:\Program Files\Get-Styles 2.0\ie\toolbar.dll
    O3 - Toolbar: Foxit Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
    O3 - Toolbar: free-downloads.net Toolbar -  {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program  Files\free-downloads.net\tbfre0.dll
    O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll
    O4 - HKLM\..\Run: [DT LGE] C:\Program Files\Portrait Displays\forteManager\DTHtml.exe -startup_folder
    O4 - HKCU\..\Policies\Explorer\Run: [Windows Debugger 32] C:\WINDOWS\system32\windebug32.exe
    O4 -  HKUS\S-1-5-21-1177238915-630328440-839522115-1003\..\Policies\Explorer\Run:  [Windows Debugger 32] C:\WINDOWS\system32\windebug32.exe (User '?')
    O4 - Global Startup: VKSaver.lnk = ?
    O8 - Extra context menu item:  Закачать  все с  помощью  FDM - file://C:\Program Files\Free Download Manager\dlall.htm
    O18 - Protocol: base64 - {5ACE96C0-C70A-4A4D-AF14-2E7B869345E1} - C:\Program Files\Get-Styles 2.0\ie\tdataprotocol.dll
    O18 - Protocol: chrome - {5ACE96C0-C70A-4A4D-AF14-2E7B869345E1} - C:\Program Files\Get-Styles 2.0\ie\tdataprotocol.dll
    O18 - Protocol: prox - {5ACE96C0-C70A-4A4D-AF14-2E7B869345E1} - C:\Program Files\Get-Styles 2.0\ie\tdataprotocol.dll
    O23 - Service: Portrait Displays Display Tune  Service (DTSRVC) - Unknown owner - C:\Program Files\Common  Files\Portrait Displays\Shared\DTSRVC.exe
    
    3. Сделайте НОВЫЕ логи MBAM и Hijackthis.
     
  15. 221170

    221170 Junior User

    192.168.1.1 - с его помощью я вхожу в универсальный роутер
    первые два - не знаю вообще
    в МВАМ удалил все как было написано, но сделаю сейчас все заново как тут написано
     
  16. Nod

    Nod Moderator

    Жду.

    В догонку, выполните следующее:

    Пуск-Выполнить, введите cmd и нажмите Enter.
    В командной строке введите:

    ipconfig /all и нажмите Enter

    Результат вывода команды, скопируйте суда.
     
  17. 221170

    221170 Junior User

    Вложения:

  18. 221170

    221170 Junior User

    Microsoft Windows XP [Версия 5.1.2600]
    (С) Корпорация Майкрософт, 1985-2001.

    C:\Documents and Settings\Эдуард> ipconfig/all

    Настройка протокола IP для Windows

    Имя компьютера . . . . . . . . . : acer
    Основной DNS-суффикс . . . . . . :
    Тип узла. . . . . . . . . . . . . : неизвестный
    IP-маршрутизация включена . . . . : нет
    WINS-прокси включен . . . . . . . : нет
    Порядок просмотра суффиксов DNS . : Home

    Подключение по локальной сети - Ethernet адаптер:

    DNS-суффикс этого подключения . . : Home
    Описание . . . . . . . . . . . . : NVIDIA nForce Networking Controller
    Физический адрес. . . . . . . . . : 00-1D-60-8C-92-04
    Dhcp включен. . . . . . . . . . . : да
    Автонастройка включена . . . . . : да
    IP-адрес . . . . . . . . . . . . : 192.168.1.2
    Маска подсети . . . . . . . . . . : 255.255.255.0
    Основной шлюз . . . . . . . . . . : 192.168.1.1
    DHCP-сервер . . . . . . . . . . . : 192.168.1.1
    DNS-серверы . . . . . . . . . . . : 192.168.1.1
    Аренда получена . . . . . . . . . : 26 октября 2011 г. 15:19:36
    Аренда истекает . . . . . . . . . : 27 октября 2011 г. 15:19:36

    C:\Documents and Settings\Эдуард>
     
  19. 221170

    221170 Junior User

    МВАМ по прежнему постоянно выдает - "была предотвращена попытка подключения к вредоносному веб-сайту..." и ип номер

    МВАМ выдает постоянно - "была предотвращена попытка подключения к вредоносному веб-сайту 83.222.20.157"
    в основном этот ип вылазит
     
    Последнее редактирование модератором: 26 окт 2011
  20. oleg

    oleg Expert Вирусоборец

    Удалите MBAM из системы.

    Пофиксите в Hijackthis следующие строки:

    Сообщите, на internet.com больше не перекидывает?
     
    Последнее редактирование: 26 окт 2011

Поделиться этой страницей