Решена - браузер выдает исходный код вместо страницы

Selima · 6 дек 2011

Мозила, IE.
вот логи
virusinfo_SYSCURE.zip http://zalil.ru/32213574
hijackthis.log http://zalil.ru/32213605
Nod, Oleg , помогите пожалуйста)

[mod="Nod"]

Внимание посетителям форума!

Скрипт для лечения СТРОГО индивидуален (для каждого заражения он свой).

Если вы вдруг обнаружили в системе следующие признаки:

(Перекидывает на Internet.com или выдает исходный код "html" страницы)

1. Сделайте Логи как показано в -
2. Создайте тему в разделе по борьбе с вирусами, с описанием проблемы и ссылками на логи утилит AVZ и HiJackThis (virusinfo_syscure.zip, hijackthis.log).

После чего, логи будут проанализированы и Вам будет предложен скрипт лечения.
[/mod]

oleg · 6 дек 2011

Доброе время суток!

1. Отключите антивирус/файрволл.

2. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли

3. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически   закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера   подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\users\111\appdata\local\temp\x30811.exe');
 TerminateProcessByName('c:\users\111\start menu\programs\startup\taskmgrsx.exe');
 TerminateProcessByName('c:\users\111\appdata\roaming\ea5b.exe');
 TerminateProcessByName('c:\users\111\appdata\roaming\cf7a.exe');
 DeleteFile('c:\users\111\appdata\roaming\cf7a.exe');
 DeleteFile('c:\users\111\appdata\roaming\ea5b.exe');
 DeleteFile('c:\users\111\start menu\programs\startup\taskmgrsx.exe');
 DeleteFile('c:\users\111\appdata\local\temp\x30811.exe');
 DeleteFile('C:\windows\system32\jyhosee.dll');
 DeleteFile('C:\Users\111\AppData\Roaming\Ofkuki.exe');
 DeleteFile('C:\Users\111\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\igfxtray.exe');
 RegKeyStrParamWrite('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', '');
BC_ImportAll;
 ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
после выполнения скрипта компьютер перезагрузится.

4. Пофиксите в HijackThis следующие строчки:

Внимание: некоторые строки могут отсутствовать, это нормально, просто сообщите какие не нашли при фиксе.
Код:
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O4 - HKCU\..\Run: [Ofkuki] C:\Users\111\AppData\Roaming\Ofkuki.exe
O4 - HKCU\..\Run: [Google Update] "C:\Users\111\AppData\Local\Google\Update\GoogleUpdate.exe" /c
O4 - Startup: igfxtray.exe
O20 - AppInit_DLLs: C:\windows\system32\jyhosee.dll
5. Сделайте новые логи AVZ.

6. Cделайте лог MBAM и дайте ссылку на файл лога.

После выполнения всех пунктов (1 по 6) проверьте, остался ли вирус?

По возможности, поддержите проект -

Selima · 6 дек 2011

4.

Oleg сказал(а):

Внимание: некоторые строки могут отсутствовать, это нормально, просто сообщите какие не нашли при фиксе.
Нажмите, чтобы раскрыть...

не было строк:
O4 - HKCU\..\Run: [Ofkuki] C:\Users\111\AppData\Roaming\Ofkuki.exe
O20 - AppInit_DLLs: C:\windows\system32\jyhosee.dll

5. новые логи avz virusinfo_syscure http://zalil.ru/32214934
virusinfo_cure http://zalil.ru/32214943

Oleg сказал(а):

6. Cделайте лог MBAM и дайте ссылку на файл лога.
Нажмите, чтобы раскрыть...

Только лог сделать или еще и удалить указанные вами строки?

oleg · 6 дек 2011

Сделайте лог, потом дам рекомендации.

oleg · 6 дек 2011

Выполните скрипт в AVZ:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\users\111\appdata\roaming\regsrv64.exe');
DeleteFile('c:\users\111\appdata\roaming\regsrv64.exe');
DeleteFile('C:\Users\111\appdata\local\temp\x30811.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Нажмите, чтобы раскрыть...

После перезагрузки, сделайте новый лог AVZ

Selima · 7 дек 2011

только что закончилось сканирование) вот это да... я в шоке(от этого вируса/ов):
6. лог MBAM http://zalil.ru/32215511

oleg · 7 дек 2011

Удалите в MBAM следующие строки:

Зараженные процессы в памяти:
c:\Users\111\AppData\Roaming\regsrv64.exe (Backdoor.Agent) -> 2996 -> No action taken.

Зараженные параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Lfkukf (Worm.Dorkbot) -> Value: Lfkukf -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft DLL Registration (Backdoor.Agent) -> Value: Microsoft DLL Registration -> No action taken.

Зараженные файлы:
c:\Users\111\AppData\Roaming\Lfkukf.exe (Worm.Dorkbot) -> No action taken.
c:\Users\111\AppData\Local\Temp\x30811.exe (Trojan.BCMiner) -> No action taken.
c:\Users\111\AppData\Roaming\84C.exe (Spyware.Zbot) -> No action taken.
c:\Users\111\AppData\Roaming\D24F.exe (Spyware.Zbot) -> No action taken.
c:\Users\111\AppData\Roaming\10F1.exe (Spyware.Zbot) -> No action taken.
c:\Users\111\AppData\Roaming\136A.exe (Trojan.BCMiner) -> No action taken.
c:\Users\111\AppData\Roaming\13FE.exe (Trojan.Dropper.SFX) -> No action taken.
c:\Users\111\AppData\Roaming\1D01.tmp (Worm.Dorkbot) -> No action taken.
Нажмите, чтобы раскрыть...

После чего, перезагрузите компьютер и сделайте повторно лог AVZ и MBAM

Selima · 7 дек 2011

лог avz http://zalil.ru/32216113
MBAM http://zalil.ru/32216114
Меня беспокоят эти 50 с лишним штук инфицированных файлов, МВАМ выводит сообщения о блокировке опасных процессов, может их всех в карантин? или надо еще какие поудалять?
А так проблема отпала, спасибо вам БОЛЬШОЕ! интернет нормально показывает и работает)
P.S.: Меня уже доконал Др. Веб, по любому пустяку приходится давать разрешение или наоборот, какой вы можете посоветовать антивир? МВАМ это не утилита? мне он понравился, надеюсь это антивир)

oleg · 7 дек 2011

1. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
  DeleteFile('C:\Users\111\AppData\Roaming\Lfkukf.exe');
  RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\', 'Userinit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
BC_ImportAll;
 ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
после выполнения скрипта компьютер перезагрузится.

2. Удалите в MBAM следующие строки:

Зараженные файлы:
c:\Users\111\AppData\Roaming\7CCD.exe (Trojan.Bitminer) -> No action taken.
c:\Users\111\AppData\Roaming\1FC2.exe (Spyware.Zbot) -> No action taken.
c:\Users\111\AppData\Roaming\2270.exe (Spyware.Zbot) -> No action taken.
c:\Users\111\AppData\Roaming\2BAD.exe (Spyware.Zbot) -> No action taken.
c:\Users\111\AppData\Roaming\2D0B.exe (Spyware.Zbot) -> No action taken.
c:\Users\111\AppData\Roaming\387F.exe (Trojan.Dropper) -> No action taken.
c:\Users\111\AppData\Roaming\3F4.exe (Trojan.BCMiner) -> No action taken.
c:\Users\111\AppData\Roaming\4427.tmp (Spyware.Zbot) -> No action taken.
c:\Users\111\AppData\Roaming\4BB2.exe (Spyware.Zbot) -> No action taken.
c:\Users\111\AppData\Roaming\4E6F.exe (Spyware.Zbot) -> No action taken.
c:\Users\111\AppData\Roaming\4F25.exe (Trojan.Bitminer) -> No action taken.
c:\Users\111\AppData\Roaming\56C6.exe (Trojan.Bitminer) -> No action taken.
c:\Users\111\AppData\Roaming\5A23.exe (Spyware.Zbot) -> No action taken.
c:\Users\111\AppData\Roaming\5E4D.exe (Trojan.Bitminer) -> No action taken.
c:\Users\111\AppData\Roaming\5E5F.exe (Trojan.Dropper) -> No action taken.
c:\Users\111\AppData\Roaming\60DD.tmp (Spyware.Zbot) -> No action taken.
c:\Users\111\AppData\Roaming\6164.exe (Trojan.Agent) -> No action taken.
c:\Users\111\AppData\Roaming\6777.exe (Spyware.Zbot) -> No action taken.
c:\Users\111\AppData\Roaming\74CD.exe (Spyware.Zbot) -> No action taken.
c:\Users\111\AppData\Roaming\783C.exe (Spyware.Zbot) -> No action taken.
c:\Users\111\AppData\Roaming\79BB.exe (Spyware.Zbot) -> No action taken.
c:\Users\111\AppData\Roaming\7ACB.exe (Spyware.Zbot) -> No action taken.
c:\Users\111\AppData\Roaming\7C80.exe (Spyware.Zbot) -> No action taken.
c:\Users\111\AppData\Roaming\D5A0.exe (Trojan.BCMiner) -> No action taken.
c:\Users\111\AppData\Roaming\DA59.exe (Spyware.Zbot) -> No action taken.
c:\Users\111\AppData\Roaming\E2B0.exe (Trojan.BCMiner) -> No action taken.
c:\Users\111\AppData\Roaming\EC1E.exe (Spyware.Zbot) -> No action taken.
c:\Users\111\AppData\Roaming\ECD1.exe (Spyware.Zbot) -> No action taken.
c:\Users\111\AppData\Roaming\F1B1.exe (Spyware.Zbot) -> No action taken.
c:\Users\111\AppData\Roaming\F28A.exe (Spyware.Zbot) -> No action taken.
c:\Users\111\AppData\Roaming\FB6F.exe (Worm.Dorkbot) -> No action taken.
c:\Users\111\AppData\Roaming\FCE6.exe (Spyware.Zbot) -> No action taken.
c:\Users\111\AppData\Roaming\88BF.exe (Spyware.Zbot) -> No action taken.
c:\Users\111\AppData\Roaming\8B6E.exe (Spyware.Zbot) -> No action taken.
c:\Users\111\AppData\Roaming\8E2.exe (Worm.Dorkbot) -> No action taken.
c:\Users\111\AppData\Roaming\8E5B.exe (Spyware.Zbot) -> No action taken.
c:\Users\111\AppData\Roaming\8F83.exe (Spyware.Zbot) -> No action taken.
c:\Users\111\AppData\Roaming\9068.exe (Trojan.Agent) -> No action taken.
c:\Users\111\AppData\Roaming\92AE.exe (Spyware.Zbot) -> No action taken.
c:\Users\111\AppData\Roaming\9C0.exe (Trojan.BCMiner) -> No action taken.
c:\Users\111\AppData\Roaming\A492.tmp (Spyware.Zbot) -> No action taken.
c:\Users\111\AppData\Roaming\A611.exe (Spyware.Zbot) -> No action taken.
c:\Users\111\AppData\Roaming\A64C.exe (Trojan.Bitminer) -> No action taken.
c:\Users\111\AppData\Roaming\AA5B.exe (Trojan.Dropper.SFX) -> No action taken.
c:\Users\111\AppData\Roaming\AAD2.exe (Spyware.Zbot) -> No action taken.
c:\Users\111\AppData\Roaming\AE0C.exe (Spyware.Zbot) -> No action taken.
c:\Users\111\AppData\Roaming\B787.exe (Trojan.Dropper.SFX) -> No action taken.
c:\Users\111\AppData\Roaming\BAC9.exe (Spyware.Zbot) -> No action taken.
c:\Users\111\AppData\Roaming\BECC.exe (Trojan.Bitminer) -> No action taken.
c:\Users\111\AppData\Roaming\C489.exe (Spyware.Zbot) -> No action taken.
c:\Users\111\AppData\Roaming\C5C1.exe (Spyware.Zbot) -> No action taken.
c:\Users\111\AppData\Roaming\CBD9.exe (Spyware.Zbot) -> No action taken.
c:\Users\111\documents\office11 (d)\keygen\Keymaker.exe (Malware.Gen) -> No action taken.
c:\Users\111\downloads\проги\от вирусов проги\avz4\quarantine\2011-12-06\avz00001.dta (Trojan.BCMiner) -> No action taken.
c:\Users\111\start menu\Programs\Startup\stepx2.exe (Trojan.BCMiner) -> No action taken.
c:\Users\111\start menu\Programs\Startup\taskmgr.exe (Trojan.Agent) -> No action taken.
c:\Users\111\start menu\Programs\Startup\winlogons.exe (Spyware.Zbot) -> No action taken.
c:\Users\111\AppData\Roaming\igfxtray.dat (Malware.Trace) -> No action taken.
Нажмите, чтобы раскрыть...

3. Сделайте лог uVS (как сделать лог uVS)

4. Сделайте НОВЫЕ логи AVZ и MBAM.

Selima · 7 дек 2011

лог uVS http://exfile.ru/241609
лог Avz http://zalil.ru/32221441

Nod · 7 дек 2011

В логах чисто. Для проверки сделайте новый лог MBAM.

[mod="Nod"]

Внимание посетителям форума!

Скрипт для лечения СТРОГО индивидуален (для каждого заражения он свой).

Если вы вдруг обнаружили в системе следующие признаки:

(Перекидывает на Internet.com или выдает исходный код "html" страницы)

1. Сделайте Логи как показано в -
2. Создайте тему в разделе по борьбе с вирусами, с описанием проблемы и ссылками на логи утилит AVZ и HiJackThis (virusinfo_syscure.zip, hijackthis.log).

После чего, логи будут проанализированы и Вам будет предложен скрипт лечения.
[/mod]

Selima · 7 дек 2011

лог МВАМ http://zalil.ru/32222033
он нашел еще 4 объекта, удалить их?

Nod · 7 дек 2011

Удалите в MBAM все найденные строки.
Сообщите, решена ли проблема?

Selima · 7 дек 2011

Проблема, как я говорила, давно уже решена,меня просто смущали инфицированные файлы, которых теперь уже нет, СПАСИБО ВАМ!!

Nod · 7 дек 2011

Пожалуйста. Поддержите проект по возможности -

oleg · 8 дек 2011

Selima, в догонку, выполните следующее:

Скачайте .ISO образ Dr.Web LiveCD (скачать)
Запишите его на CD или DVD носитель, после чего загрузитесь с диска и выполните полное сканирование системы.

Войти или зарегистрироваться

Решена - браузер выдает исходный код вместо страницы

Selima Junior User

oleg Expert Вирусоборец

Selima Junior User

oleg Expert Вирусоборец

oleg Expert Вирусоборец

Selima Junior User

oleg Expert Вирусоборец

Selima Junior User

oleg Expert Вирусоборец

Selima Junior User

Nod Moderator

Selima Junior User

Nod Moderator

Selima Junior User

Nod Moderator

oleg Expert Вирусоборец

Поделиться этой страницей

Войти или зарегистрироваться

Решена - браузер выдает исходный код вместо страницы

Selima Junior User

oleg Expert Вирусоборец

Selima Junior User

oleg Expert Вирусоборец

oleg Expert Вирусоборец

Selima Junior User

oleg Expert Вирусоборец

Selima Junior User

oleg Expert Вирусоборец

Selima Junior User

Nod Moderator

Selima Junior User

Nod Moderator

Selima Junior User

Nod Moderator

oleg Expert Вирусоборец

Поделиться этой страницей

Быстрый поиск