Решена Модификация URL

Статус
В этой теме нельзя размещать новые ответы.

тома

Новый пользователь
Сообщения
4
Реакции
0
Касперский блокирует перенаправленние, браузер отображает сайт . Браузер Opera не открывает пишет соединение закрыто. Визуально в строке набора URL браузера Opera не видно, что URL модифицирован. Предупредил о модификации URL касперский

Касперский блокирует перенаправленние:
17.12.2011 22:49:53 ___htxp://yandex.com/phpbb/js.php?t...582&text=ghkjm&lr=66&v=351&0.9002386160915462 Ссылка обнаружена в базе Opera Internet Browser
17.12.2011 22:50:21 ___htxp://yandex.com/phpbb/js.php?t...ghkjm&clid=9582&lr=66&v=351&0.942428366996553 Ссылка обнаружена в базе Opera Internet Browser
17.12.2011 22:50:40 ___htxp://yandex.com/phpbb/js.php?t...jgl&clid=9582&lr=66&v=351&0.20784846031358462 Ссылка обнаружена в базе Opera Internet Browser
17.12.2011 22:51:33 ___htxp://yandex.com/phpbb/js.php?t...khjl&clid=9582&lr=66&v=351&0.7524573278107893 Ссылка обнаружена в базе Opera Internet Browser
17.12.2011 22:52:45 ___htxp://yandex.com/phpbb/js.php?t...jhgk&clid=9582&lr=66&v=351&0.7722031777880397 Ссылка обнаружена в базе Opera Internet Browser
 

Вложения

  • info.txt
    31 KB · Просмотры: 0
  • log.txt
    38 KB · Просмотры: 1
  • virusinfo_syscheck.zip
    50.7 KB · Просмотры: 0
  • virusinfo_syscure.zip
    48.7 KB · Просмотры: 1
Последнее редактирование модератором:
Смотрю логи, скоро отвечу

Добавлено через 5 минут 14 секунд
Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\u39v22.exe','');
 QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\sGEpMCToXeyw.sys','');
 QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\S8XFUmmCI5Db.sys','');
 QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\rdtsc.sys','');
 QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\QjbTxhbMITeB.sys','');
 QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\Jw17yWU3w89W.sys','');
 QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\extremehide.sys','');
 QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\extrem.sys','');
 QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\CAWpqL8WDZIE.sys','');
 QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\bzxbbbtAvm0u.sys','');
 QuarantineFile('C:\WINDOWS\system32\iqmsupb.dll','');
 QuarantineFile('C:\WINDOWS\system32\56.tmp','');
 DeleteFile('C:\WINDOWS\system32\56.tmp');
 DeleteFile('C:\WINDOWS\system32\iqmsupb.dll');
 DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\bzxbbbtAvm0u.sys');
 DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\CAWpqL8WDZIE.sys');
 DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\extrem.sys');
 DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\extremehide.sys');
 DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\Jw17yWU3w89W.sys');
 DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\QjbTxhbMITeB.sys');
 DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\rdtsc.sys');
 DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\S8XFUmmCI5Db.sys');
 DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\sGEpMCToXeyw.sys');
 DeleteService('sGEpMCToXeyw.sys');
 DeleteService('S8XFUmmCI5Db.sys');
 DeleteService('rdtsc.sys');
 DeleteService('QjbTxhbMITeB.sys');
 DeleteService('Jw17yWU3w89W.sys');
 DeleteService('extremehide.sys');
 DeleteService('extrem.sys');
 DeleteService('CAWpqL8WDZIE.sys');
 DeleteService('bzxbbbtAvm0u.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Сделайте новые логи AVZ и RSIT

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
 
Спасибо, работоспособность браузеров восстановлена.
 

Вложения

  • info.txt
    31.3 KB · Просмотры: 0
  • log.txt
    37 KB · Просмотры: 0
  • virusinfo_syscheck.zip
    47.5 KB · Просмотры: 0
  • virusinfo_syscure.zip
    49.7 KB · Просмотры: 1
Вот этого не выполнили:

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
 
модификация url

log Malwarebytes' Anti-Malware в приложении
 

Вложения

  • mbam-log-2011-12-18 (12-41-51).txt
    2.9 KB · Просмотры: 3
Удалите в MBAM только данные элементы
Код:
Зараженные ключи в реестре:
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Nvchost (Trojan.Goldun) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\BLOCK_READER (Trojan.LdPinch) -> No action taken.

Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\block_reader\DisplayName (Trojan.LdPinch) -> Value: DisplayName -> No action taken.

Зараженные файлы:
c:\WINDOWS\system32\inject.dll (Trojan.Injector) -> No action taken.

Файл c:\program files\macromedia\Rus.exe проверьте на VirusTotal. Ссылку на результат сканирования скопируйте сюда.
 
Всё работает. Ссылку на не могу дать т.к. этого файла нет, удалён. Спасибо за помощь
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу