Вирус нарушил работу браузеров (2)

@Demonf · Регистрация: 23.07.2012

Author24 — интернет-сервис помощи студентам

Здравствуйте!
Проблема аналогичная той, что в соседней теме, началось вчера

@~~Katharsis~~ · 23.07.2012, 11:17

Сообщение от Demonf

Проблема аналогичная той, что в соседней теме, началось вчера

изложите свою проблему внятно в этой теме

@Demonf · 23.07.2012, 11:29 **[ТС]**

При открытии страниц в браузере либо не открываются страницы, либо открывается страничка Google, не могу залогиниться на форумах, после ввода логина/пароля ничего не происходит, вверху страницы появляются рекламные текстовые сообщения что я выиграл бонус и надо набрать такой-то номер, аналогичные на разных страницах.
Сначала браузер открывал страницу speedbar и другие рекламные страницы, но вроде это почистилось антивирусниками.

S.R · 23.07.2012, 11:56

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи
-------------------------------------------------------------
В логе сканирования Hijackthis отметьте:

O17 - HKLM\System\CCS\Services\Tcpip\..\{4192540E-9742-4B4F-9F09-62162D93900B}: NameServer = 127.0.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{4192540E-9742-4B4F-9F09-62162D93900B}: NameServer = 127.0.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{4192540E-9742-4B4F-9F09-62162D93900B}: NameServer = 127.0.0.1

нажмите "Fix checked"

Замените домашние страницы в браузерах со speedbar.ru на нужные вручную

--------------------------------

2. Отключите
Антивирус/Файерволл

Выполните скрипт в AVZ (меню Файл\Выполнить скрипт):

Код

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'В процессе выполнения скрипта компьютер будет перезагружен.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\677A.tmp','');
 QuarantineFile('C:\WINDOWS\TEMP\domkc34r_wait.exe','');
 QuarantineFile('C:\WINDOWS\TEMP\e4hc875c_wait.exe','');
 QuarantineFile('C:\WINDOWS\TEMP\97rv89d3_wait.exe','');
 QuarantineFile('C:\WINDOWS\TEMP\qtcwhbt.exe','');
 QuarantineFile('C:\Documents and Settings\Admin.MYCOMP.000\Application Data\D75209.exe','');
 QuarantineFile('C:\WINDOWS\system32\kkztplm.dll','');
 DeleteFile('C:\WINDOWS\system32\677A.tmp');
 DeleteFile('C:\WINDOWS\TEMP\domkc34r_wait.exe');
 DeleteFile('C:\WINDOWS\TEMP\e4hc875c_wait.exe');
 DeleteFile('C:\WINDOWS\TEMP\97rv89d3_wait.exe');
 DeleteFile('C:\WINDOWS\system32\kkztplm.dll');
 DeleteFile('C:\Documents and Settings\Admin.MYCOMP.000\Application Data\D75209.exe');
 DeleteFile('C:\WINDOWS\TEMP\qtcwhbt.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\TEMP\97rv89d3_wait.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\TEMP\e4hc875c_wait.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\TEMP\domkc34r_wait.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Winamp');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','AdobeFlash');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(10);
RebootWindows(true);
end.

----------------------------------------
После этого выполните следующий скрипт в AVZ:

Код

begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

Архив quarantine.zip из папки с AVZ отправьте через веб-форму.
----------------------------------------
3.
Выполните рекомендации, описанные здесь - Универсальный скрипт для полного исправления проблемы с fystemroot
----------------------------------------
4.
Обновите базы AVZ (меню Файл\Обновление баз) и сделайте новые логи AVZ и RSIT.
----------------------------------------
5.
Скачайте Malwarebytes' Anti-Malware, установите, обновите базы.
Выберите Полное сканирование, нажмите Сканирование. Отметьте локальные диски и флешки.
После сканирования откроется лог. Сохраните его и прикрепите к сообщению.
----------------------------------------
6.
Обновите Adobe Reader.
Обновите Adobe Flash Player.
Обновите Java SE.
----------------------------------------
7.
Скачайте SecurityCheck by screen317 по одной из этих ссылок на рабочий стол.

SecurityCheck.exe

SecurityCheck.exe

Запустите программу, после появления консоли нажмите на любую клавишу для начала сканирования.
Дождитесь завершения сканирования и формирования лога. Скопируйте/вставьте содержимое лога утилиты в следующее сообщение.
----------------------------------------
8.
Напишите, пожалуйста, файл, на который ссылается этот ярлык - C:\Documents and Settings\Admin.MYCOMP.000\Главное меню\Программы\Автозагрузка\hpexp.lnk
--------------------------------
9. смените все пароли

@Demonf · 24.07.2012, 00:31 **[ТС]**

Включил компьютер, чтобы проделать все эти манимуляции, автоматически обновился НОД, нашел kkztplm.dll, решил что он вирус и удалил его, все теперь работает нормально.
Всем спасибо!

@~~Katharsis~~ · 24.07.2012, 00:38

Сообщение от Demonf

теперь работает нормально

не торопитесь, у вас много чего сидит помимо этого. выполните все инструкции даже если все работает (шпионы обычно видимых проблем не создают, зато потом куда то уходит конфеденциальная информация, деньги с кошельков и тп)

@Demonf · 24.07.2012, 00:48 **[ТС]**

Ок, завтра вечером все сделаю, спасибо

@Demonf · 24.07.2012, 20:42 **[ТС]**

SecurityCheck.exe log:

Results of screen317's Security Check version 0.99.43
Windows XP Service Pack 3 x86
Internet Explorer 8
``````````````Antivirus/Firewall Check:``````````````
Windows Security Center service is not running! This report may not be accurate!
ESET Smart Security 3.0
Antivirus up to date!
`````````Anti-malware/Other Utilities Check:`````````
Malwarebytes Anti-Malware, версия 1.62.0.1300
CCleaner 2.24.1010
JavaFX 2.1.1
Java(TM) 6 Update 29
Java(TM) 7 Update 5
Adobe Flash Player 10 Flash Player out of Date!
Adobe Flash Player 10.0.32.18 Flash Player out of Date!
Adobe Reader X (10.1.0)
````````Process Check: objlist.exe by Laurent````````
`````````````````System Health check`````````````````
Total Fragmentation on Drive C::
````````````````````End of Log``````````````````````

> Напишите, пожалуйста, файл, на который ссылается этот ярлык - C:\Documents and Settings\Admin.MYCOMP.000\Главное меню\Программы\Автозагрузка\hpexp.lnk

C:\WINDOWS\system32\cmd.exe /c copy "C:\WINDOWS\TEMP\iyneu" "C:\WINDOWS\system32\drivers\etc\hosts" /Y && attrib +H "C:\WINDOWS\system32\drivers\e

@akok · 24.07.2012, 20:55

Сообщение от Demonf

Adobe Flash Player 10 Flash Player out of Date!
Adobe Flash Player 10.0.32.18 Flash Player out of Date!

Таки обновить необходимо.

Повторите сканирование MBAM и удалите:

Код

HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings|AutoConfigURL (Hijack.Autoconfig) -> Параметры: http://reezz.com/Bg43ZV623/proxy.pac -> Действие не было предпринято.

Что с проблемами?

@Demonf · 24.07.2012, 20:58 **[ТС]**

Сообщение от akok

Таки обновить необходимо.

Обновил все как сказано, не знаю почему такая запись

Сообщение от akok

Что с проблемами?

Так нет их уже, НОД удалил dll фаил один, я в посте №5 еще писал

S.R · 24.07.2012, 21:29

Удалите файл C:\Documents and Settings\Admin.MYCOMP.000\Главное меню\Программы\Автозагрузка\hpexp.lnk.

- (по желанию) Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

Запустите AVZ, выполните обновление баз (меню Файл - Обновление баз). Запустите все установленные браузеры.
Выполните скрипт в AVZ:
Код
```
begin
 ExecuteStdScr(4);
end.
```
Выполнение скрипта займет некоторое время, порядка 1 - 4 мин. В результате в папке AVZ\LOG будет создан архив с именем virusinfo_files_<имя_ПК>.zip
Закачайте полученный архив, как описано на этой странице.

- Выполните 6 стандартный скрипт в AVZ.
- Удалите антивирусные утилиты, использованные в лечении.

Ознакомьтесь - Рекомендации после удаления вредоносного ПО

@Demonf · 24.07.2012, 21:43 **[ТС]**

Все сделал, большое спасибо!

@~~Katharsis~~ Заблокирован
	23.07.2012, 11:17	2
	Сообщение от Demonf Проблема аналогичная той, что в соседней теме, началось вчера изложите свою проблему внятно в этой теме 0

@Demonf 0 / 0 / 0 Регистрация: 23.07.2012 Сообщений: 7
	23.07.2012, 11:29 [ТС]	3
	При открытии страниц в браузере либо не открываются страницы, либо открывается страничка Google, не могу залогиниться на форумах, после ввода логина/пароля ничего не происходит, вверху страницы появляются рекламные текстовые сообщения что я выиграл бонус и надо набрать такой-то номер, аналогичные на разных страницах. Сначала браузер открывал страницу speedbar и другие рекламные страницы, но вроде это почистилось антивирусниками. 0

S.R Консультант 368 / 138 / 3 Регистрация: 09.11.2011 Сообщений: 409
	23.07.2012, 11:56	4
	Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи ------------------------------------------------------------- В логе сканирования Hijackthis отметьте: O17 - HKLM\System\CCS\Services\Tcpip\..\{4192540E-9742-4B4F-9F09-62162D93900B}: NameServer = 127.0.0.1 O17 - HKLM\System\CS1\Services\Tcpip\..\{4192540E-9742-4B4F-9F09-62162D93900B}: NameServer = 127.0.0.1 O17 - HKLM\System\CS2\Services\Tcpip\..\{4192540E-9742-4B4F-9F09-62162D93900B}: NameServer = 127.0.0.1 нажмите "Fix checked" Замените домашние страницы в браузерах со speedbar.ru на нужные вручную -------------------------------- 2. Отключите Антивирус/Файерволл Выполните скрипт в AVZ (меню Файл\Выполнить скрипт): Код begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'В процессе выполнения скрипта компьютер будет перезагружен.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\677A.tmp',''); QuarantineFile('C:\WINDOWS\TEMP\domkc34r_wait.exe',''); QuarantineFile('C:\WINDOWS\TEMP\e4hc875c_wait.exe',''); QuarantineFile('C:\WINDOWS\TEMP\97rv89d3_wait.exe',''); QuarantineFile('C:\WINDOWS\TEMP\qtcwhbt.exe',''); QuarantineFile('C:\Documents and Settings\Admin.MYCOMP.000\Application Data\D75209.exe',''); QuarantineFile('C:\WINDOWS\system32\kkztplm.dll',''); DeleteFile('C:\WINDOWS\system32\677A.tmp'); DeleteFile('C:\WINDOWS\TEMP\domkc34r_wait.exe'); DeleteFile('C:\WINDOWS\TEMP\e4hc875c_wait.exe'); DeleteFile('C:\WINDOWS\TEMP\97rv89d3_wait.exe'); DeleteFile('C:\WINDOWS\system32\kkztplm.dll'); DeleteFile('C:\Documents and Settings\Admin.MYCOMP.000\Application Data\D75209.exe'); DeleteFile('C:\WINDOWS\TEMP\qtcwhbt.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\TEMP\97rv89d3_wait.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\TEMP\e4hc875c_wait.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\TEMP\domkc34r_wait.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Winamp'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','AdobeFlash'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(10); RebootWindows(true); end. ---------------------------------------- После этого выполните следующий скрипт в AVZ: Код begin CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); end. Архив quarantine.zip из папки с AVZ отправьте через веб-форму. ---------------------------------------- 3. Выполните рекомендации, описанные здесь - Универсальный скрипт для полного исправления проблемы с fystemroot ---------------------------------------- 4. Обновите базы AVZ (меню Файл\Обновление баз) и сделайте новые логи AVZ и RSIT. ---------------------------------------- 5. Скачайте Malwarebytes' Anti-Malware, установите, обновите базы. Выберите Полное сканирование, нажмите Сканирование. Отметьте локальные диски и флешки. После сканирования откроется лог. Сохраните его и прикрепите к сообщению. ---------------------------------------- 6. Обновите Adobe Reader. Обновите Adobe Flash Player. Обновите Java SE. ---------------------------------------- 7. Скачайте SecurityCheck by screen317 по одной из этих ссылок на рабочий стол. SecurityCheck.exe SecurityCheck.exe Запустите программу, после появления консоли нажмите на любую клавишу для начала сканирования. Дождитесь завершения сканирования и формирования лога. Скопируйте/вставьте содержимое лога утилиты в следующее сообщение. ---------------------------------------- 8. Напишите, пожалуйста, файл, на который ссылается этот ярлык - C:\Documents and Settings\Admin.MYCOMP.000\Главное меню\Программы\Автозагрузка\hpexp.lnk -------------------------------- 9. смените все пароли 0

@Demonf 0 / 0 / 0 Регистрация: 23.07.2012 Сообщений: 7
	24.07.2012, 00:31 [ТС]	5
	Включил компьютер, чтобы проделать все эти манимуляции, автоматически обновился НОД, нашел kkztplm.dll, решил что он вирус и удалил его, все теперь работает нормально. Всем спасибо! 0

@~~Katharsis~~ Заблокирован
	24.07.2012, 00:38	6
	Сообщение от Demonf теперь работает нормально не торопитесь, у вас много чего сидит помимо этого. выполните все инструкции даже если все работает (шпионы обычно видимых проблем не создают, зато потом куда то уходит конфеденциальная информация, деньги с кошельков и тп) 1

@Demonf 0 / 0 / 0 Регистрация: 23.07.2012 Сообщений: 7
	24.07.2012, 00:48 [ТС]	7
	Ок, завтра вечером все сделаю, спасибо 0

@akok 2824 / 842 / 29 Регистрация: 01.09.2009 Сообщений: 1,038
	24.07.2012, 20:55	9
	Сообщение от Demonf Adobe Flash Player 10 Flash Player out of Date! Adobe Flash Player 10.0.32.18 Flash Player out of Date! Таки обновить необходимо. Повторите сканирование MBAM и удалите: Код HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\|AutoConfigURL (Hijack.Autoconfig) -> Параметры: http://reezz.com/Bg43ZV623/proxy.pac -> Действие не было предпринято. Что с проблемами? 1

@Demonf 0 / 0 / 0 Регистрация: 23.07.2012 Сообщений: 7
	24.07.2012, 20:58 [ТС]	10
	Сообщение от akok Таки обновить необходимо. Обновил все как сказано, не знаю почему такая запись Сообщение от akok Что с проблемами? Так нет их уже, НОД удалил dll фаил один, я в посте №5 еще писал 0

S.R Консультант 368 / 138 / 3 Регистрация: 09.11.2011 Сообщений: 409
	24.07.2012, 21:29	11
	Удалите файл C:\Documents and Settings\Admin.MYCOMP.000\Главное меню\Программы\Автозагрузка\hpexp.lnk. - (по желанию) Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ: Запустите AVZ, выполните обновление баз (меню Файл - Обновление баз). Запустите все установленные браузеры. Выполните скрипт в AVZ: Код begin ExecuteStdScr(4); end. Выполнение скрипта займет некоторое время, порядка 1 - 4 мин. В результате в папке AVZ\LOG будет создан архив с именем virusinfo_files_<имя_ПК>.zip Закачайте полученный архив, как описано на этой странице. - Выполните 6 стандартный скрипт в AVZ. - Удалите антивирусные утилиты, использованные в лечении. Ознакомьтесь - Рекомендации после удаления вредоносного ПО 1

@Demonf 0 / 0 / 0 Регистрация: 23.07.2012 Сообщений: 7
	24.07.2012, 21:43 [ТС]	12
	Все сделал, большое спасибо! 0