Решена - Перенаправляет на internet.com, нужна помощь

AnGrim · 22 дек 2011

Перенаправляет на internet.com в фаерфоксе, опере, ИЕ

http://zalil.ru/32343367 - hijackthis.log

http://zalil.ru/32343377 - virusinfo_syscure.zip

oleg · 22 дек 2011

Доброе время суток!

1. Отключите антивирус/файрволл.

2. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли

3. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически   закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера   подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\system32\tlxipya.dll');
 DeleteFile('C:\Documents and Settings\Administrator\Application Data\netprotocol.exe');
 RegKeyStrParamWrite('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', '');
BC_ImportAll;
 ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
после выполнения скрипта компьютер перезагрузится.

4. Пофиксите в HijackThis следующие строчки:

Внимание: некоторые строки могут отсутствовать, это нормально, просто сообщите какие не нашли при фиксе.
Код:
R3 - URLSearchHook: (no name) - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - (no file)
R3 - URLSearchHook: (no name) -  - (no file)
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O4 - Startup: okAKA7ogXb4.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\tlxipya.dll
5. Сделайте новые логи AVZ.

6. Cделайте лог MBAM и дайте ссылку на файл лога.

После выполнения всех пунктов (1 по 6) проверьте, остался ли вирус?

AnGrim, если форум оказался полезен вам, пожалуйста, поддержите его -

AnGrim · 22 дек 2011

в HijackThis отсутствовала строчка
O20 - AppInit_DLLs: C:\WINDOWS\system32\tlxipya.dll

новые логи AVZ
http://zalil.ru/32343659

лог MBAM
http://zalil.ru/32344722

oleg · 22 дек 2011

Удалите в MBAM только следующие строки:

Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\StimulProfit (Adware.Agent) -> No action taken.

Зараженные параметры в реестре:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SysDebug32 (Trojan.Agent) -> Value: SysDebug32 -> No action taken.

Зараженные папки:
c:\documents and settings\administrator\application data\winxrar (Trojan.Agent) -> No action taken.

Зараженные файлы:
c:\documents and settings\administrator\application data\readme.exe (Trojan.Vundo) -> No action taken.
c:\documents and settings\administrator\local settings\Temp\51.tmp (Trojan.Agent) -> No action taken.
c:\documents and settings\administrator\главное меню\программы\автозагрузка\okaka7ogxb4.exe (Trojan.Krypt) -> No action taken.
c:\program files\total commander\Wcmikons.dll (Trojan.FakeAlert) -> No action taken.
c:\system volume information\_restore{133d72ef-b44b-44d7-8e03-c5a3f80c47fc}\RP342\A0065949.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{133d72ef-b44b-44d7-8e03-c5a3f80c47fc}\RP347\A0068241.exe (Trojan.Dropper) -> No action taken.
c:\system volume information\_restore{1cad0ea8-025f-4999-81b0-5a2cc3c07c01}\RP174\A0025267.exe (Malware.Packer.Gen) -> No action taken.
c:\system volume information\_restore{1cad0ea8-025f-4999-81b0-5a2cc3c07c01}\RP175\A0025339.exe (Malware.Packer.Gen) -> No action taken.
c:\WINDOWS\system32\machineupdate32.exe.vir (Trojan.Zbot.CBCGen) -> No action taken.
c:\WINDOWS\system32\oobe\antiwpa_crypt.dll (Hacktool) -> No action taken.
d:\AnGrim\avz4\quarantine\2011-12-21\avz00002.dta (Trojan.Dropper) -> No action taken.
d:\AnGrim\Vir\backups\backup-20111222-133805-786-okaka7ogxb4.exe (Trojan.Krypt) -> No action taken.
c:\documents and settings\администратор\application data\avdrn.dat (Malware.Trace) -> No action taken.
c:\documents and settings\administrator\application data\igfxtray.dat (Malware.Trace) -> No action taken.
c:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> No action taken.
c:\documents and settings\administrator\application data\winxrar\after.png (Trojan.Agent) -> No action taken.
c:\documents and settings\administrator\application data\winxrar\dir.png (Trojan.Agent) -> No action taken.
c:\documents and settings\administrator\application data\winxrar\dot.gif (Trojan.Agent) -> No action taken.
c:\documents and settings\administrator\application data\winxrar\htmlayout.dll (Trojan.Agent) -> No action taken.
c:\documents and settings\administrator\application data\winxrar\logo.png (Trojan.Agent) -> No action taken.
c:\documents and settings\administrator\application data\winxrar\logo2.png (Trojan.Agent) -> No action taken.
c:\documents and settings\administrator\application data\winxrar\logo2_.png (Trojan.Agent) -> No action taken.
c:\documents and settings\administrator\application data\winxrar\log_o.png (Trojan.Agent) -> No action taken.
c:\documents and settings\administrator\application data\winxrar\myriadwebpro-condensed.ttf (Trojan.Agent) -> No action taken.
c:\documents and settings\administrator\application data\winxrar\sb-h-scroll-next.png (Trojan.Agent) -> No action taken.
c:\documents and settings\administrator\application data\winxrar\sb-h-scroll-prev.png (Trojan.Agent) -> No action taken.
c:\documents and settings\administrator\application data\winxrar\sb-scroll-back.png (Trojan.Agent) -> No action taken.
c:\documents and settings\administrator\application data\winxrar\sb-scroll-base.png (Trojan.Agent) -> No action taken.
c:\documents and settings\administrator\application data\winxrar\sb-scroll-slider.png (Trojan.Agent) -> No action taken.
c:\documents and settings\administrator\application data\winxrar\sb-v-scroll-next.png (Trojan.Agent) -> No action taken.
c:\documents and settings\administrator\application data\winxrar\sb-v-scroll-prev.png (Trojan.Agent) -> No action taken.
c:\documents and settings\administrator\application data\winxrar\scroll.css (Trojan.Agent) -> No action taken.
c:\documents and settings\administrator\application data\winxrar\xsendexe.tmp (Trojan.Agent) -> No action taken.
Нажмите, чтобы раскрыть...

Выполните следующий скрипт в AVZ:

begin
if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt');
If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt')
Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false);
ExitAVZ;
end.
Нажмите, чтобы раскрыть...

После того как скрипт отработает, если будут найдены уязвимости, то в блокноте откроется файл avz_log.txt со ссылками на обновления, которые нужно загрузить и установить. Если ничего обновлять не надо, AVZ просто закроется.

В остальном чисто. Если проблема более не беспокоит, лечение завершено.

AnGrim, если форум оказался полезен вам, пожалуйста, поддержите его работу-

AnGrim · 22 дек 2011

большое спасибо, проблема больше не беспокоит

Войти или зарегистрироваться

Решена - Перенаправляет на internet.com, нужна помощь

AnGrim Newbie

oleg Expert Вирусоборец

AnGrim Newbie

oleg Expert Вирусоборец

AnGrim Newbie

Поделиться этой страницей

Войти или зарегистрироваться

Решена - Перенаправляет на internet.com, нужна помощь

AnGrim Newbie

oleg Expert Вирусоборец

AnGrim Newbie

oleg Expert Вирусоборец

AnGrim Newbie

Поделиться этой страницей

Быстрый поиск