Решена - Отображает код страницы и перекидывает на internet.com

gordy · 18 дек 2011

Доброго дня, уважаемые консультанты ресурса!
Как и у многих - отображает код страниц, перекидывает на internet.com.
Браузер - firefox 8.0.1.
Логи по инструкции сделал:
http://rghost.ru/35454831 - hijackthis
http://rghost.ru/35455061 - avz
Надеюсь на Вашу помощь. Заранее огромное спасибо.

oleg · 18 дек 2011

Доброе время суток!

1. Отключите антивирус/файрволл.

2. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли

3. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически   закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера   подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\systemhost\24FC2AE39B5.exe','');
 QuarantineFile('C:\gfweq23.Bi3\421B68D39B5.exe','');
 QuarantineFile('C:\Users\sasha\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\vwRphrk9dEE.exe','');
 QuarantineFile('C:\Users\sasha\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\tb38omg9ocx.exe','');
 QuarantineFile('C:\Users\sasha\AppData\Local\MICROS~1\Windows\TEMPOR~1\Content.IE5\QYV36MWL\2C6FC5~1.EXE','');
 DeleteFile('C:\Windows\system32\coornen.dll');
 DeleteFile('C:\Users\sasha\AppData\Local\MICROS~1\Windows\TEMPOR~1\Content.IE5\QYV36MWL\2C6FC5~1.EXE');
 DeleteFile('C:\Users\sasha\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\tb38omg9ocx.exe');
 DeleteFile('C:\Users\sasha\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\vwRphrk9dEE.exe');
 DeleteFile('C:\gfweq23.Bi3\421B68D39B5.exe');
 DeleteFile('C:\systemhost\24FC2AE39B5.exe');
 DeleteFile('D:\autorun.inf');
 DeleteFile('D:\fun.xls.exe');
 DeleteFile('C:\Users\sasha\appdata\local\temp\flash_player_update.exe');
 RegKeyStrParamWrite('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', '');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\', 'Userinit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
BC_ImportAll;
 ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
после выполнения скрипта компьютер перезагрузится.

4. Пофиксите в HijackThis следующие строчки:

Внимание: некоторые строки могут отсутствовать, это нормально, просто сообщите какие не нашли при фиксе.
Код:
O4 - Startup: tb38omg9ocx.exe
O4 - Startup: vwRphrk9dEE.exe
O20 - AppInit_DLLs: C:\Windows\system32\coornen.dll
5. Сделайте новые логи AVZ.

6. Cделайте лог MBAM (подробнее) и дайте ссылку на файл лога. *выполнять обязательно!

После выполнения всех пунктов (1 по 6) проверьте, остался ли вирус?

gordy, если форум оказался полезен вам, пожалуйста, поддержите его работу -

gordy · 20 дек 2011

День добрый!
Сделал все по инструкции. В hijackthis ни одной из трех указанных строчек не нашел.
Новые логи:
http://rghost.ru/35501818 - новый лог avz
http://rghost.ru/35501503 - лог mbam
На internet.com больше не выбрасывает. Однако firefox регулярно сообщает о закрытии Plugin Container for Firefox и предлагает закрыть программу. Это связанная проблема, или что-то новое?
Спасибо.

oleg · 20 дек 2011

Удалите в MBAM следующие строки:

Зараженные параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\YI9B2F0F3EXHZG1ZXQB (Trojan.SpyEyes.R) -> Value: YI9B2F0F3EXHZG1ZXQB -> No action taken.

Зараженные файлы:
c:\Users\sasha\AppData\Local\Temp\jka7z9nj.exe.part (Adware.TMAagent) -> No action taken.
c:\Users\sasha\AppData\Local\Temp\52D3.tmp (Trojan.Agent) -> No action taken.
c:\Users\sasha\AppData\Local\Temp\5658.tmp (Trojan.Downloader.BH) -> No action taken.
c:\Users\sasha\AppData\Local\Temp\67D7.tmp (Trojan.Agent) -> No action taken.
c:\Users\sasha\AppData\Local\Temp\7F2D.tmp (Trojan.Agent) -> No action taken.
c:\Users\sasha\AppData\Local\Temp\8377.tmp (Trojan.Downloader.BH) -> No action taken.
c:\Users\sasha\AppData\Local\Temp\2DE0.tmp (Trojan.Downloader) -> No action taken.
c:\Users\sasha\AppData\Local\Temp\1C5B.tmp (Trojan.Agent) -> No action taken.
c:\Users\sasha\AppData\Local\Temp\F141.tmp (Trojan.Zbot.CBCGen) -> No action taken.
c:\Users\sasha\AppData\Local\Temp\913A.tmp (Trojan.Zbot.CBCGen) -> No action taken.
c:\Users\sasha\AppData\Local\Temp\9807.tmp (Trojan.Agent) -> No action taken.
c:\Users\sasha\AppData\Local\Temp\9BB.tmp (Trojan.Downloader) -> No action taken.
c:\Users\sasha\AppData\Local\Temp\ADE7.tmp (Trojan.Downloader) -> No action taken.
c:\Users\sasha\AppData\Local\Temp\BBED.tmp (Trojan.Downloader) -> No action taken.
c:\Users\sasha\AppData\Local\Temp\C050.tmp (Trojan.Vundo) -> No action taken.
c:\Users\sasha\Desktop\download\avz4\avz4\quarantine\2011-12-18\avz00003.dta (Worm.SillyShare) -> No action taken.
c:\Users\sasha\Desktop\download\avz4\avz4\quarantine\2011-12-18\avz00004.dta (Trojan.Vundo) -> No action taken.
c:\systemhost\24fc2ae39b5.exe (Trojan.SpyEyes.R) -> No action taken.
c:\Users\sasha\AppData\Roaming\igfxtray.dat (Malware.Trace) -> No action taken.
Нажмите, чтобы раскрыть...

Выполните следующий скрипт в AVZ:

begin
if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt');
If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt')
Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false);
ExitAVZ;
end.
Нажмите, чтобы раскрыть...

После того как скрипт отработает, если будут найдены уязвимости, то в блокноте откроется файл avz_log.txt со ссылками на обновления, которые нужно загрузить и установить. Если ничего обновлять не надо, AVZ просто закроется.

В остальном чисто. На этом лечение завершено.

gordy, если форум оказался полезен вам и вашему компьютеру, пожалуйста, поддержите его -

gordy · 28 дек 2011

День добрый, Уважаемый Олег!
Спасибо большое за помощь, все в порядке. Обязательно отблагодарю .

Войти или зарегистрироваться

Решена - Отображает код страницы и перекидывает на internet.com

gordy Newbie

oleg Expert Вирусоборец

gordy Newbie

oleg Expert Вирусоборец

gordy Newbie

Поделиться этой страницей

Войти или зарегистрироваться

Решена - Отображает код страницы и перекидывает на internet.com

gordy Newbie

oleg Expert Вирусоборец

gordy Newbie

oleg Expert Вирусоборец

gordy Newbie

Поделиться этой страницей

Быстрый поиск