[решено] Не открываются сайты, перенаправляются ссылки, рекламные баннеры.

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

Не открываются сайты, перенаправляются ссылки, рекламные баннеры.

Компьютер подключен напрямую без маршрутизатора. При попытке открыть какой-либо сайт, происходит подмена его другим сайтом. Браузер Опера.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin

ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

 TerminateProcessByName('c:\users\Елена\appdata\roaming\ncd1zkv.exe');

 QuarantineFileF('C:\Users\Елена\AppData\Roaming\', '*.exe', false, '', 0, 0);

 QuarantineFile('I:\autorun.inf','');

 QuarantineFile('C:\Users\Елена\AppData\Local\NVIDIA Corporation\Update\daemonupd.exe','');

 QuarantineFile('C:\Users\Елена\Documents\Iterra\xdybdze.dll','');

 QuarantineFile('c:\users\Елена\appdata\roaming\ncd1zkv.exe','');

 DeleteFile('C:\Users\Елена\Documents\Iterra\xdybdze.dll');

 DeleteFile('C:\Users\Елена\AppData\Roaming\ncd1zkv.exe');

 DeleteFileMask('C:\Users\Елена\AppData\Roaming\', '*.exe', false);

 DeleteFileMask('C:\Users\Елена\Documents\Iterra\', '*.*', true);

 DeleteDirectory('C:\Users\Елена\Documents\Iterra\');

 DelBHO('{6C680BAE-655C-4E3D-8FC4-E6A520C3D928}');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','krl4rpleq');

 if MessageDLG('Заражение Вашего компьютера произошло через автоматический запуск программ на съемных накопителях. Отключить автозапуск?', mtConfirmation, mbYes+mbNo, 0) = 6 then

 RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'NoDriveTypeAutoRun', '221'); 

ExecuteSysClean;

 ExecuteWizard('SCU',2,3,true);

RebootWindows(true);

end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

Код:

O2 - BHO: AMD SteadyVideo BHO - {6C680BAE-655C-4E3D-8FC4-E6A520C3D928} - (no file)

O4 - HKCU\..\Run: [krl4rpleq] C:\Users\Елена\AppData\Roaming\ncd1zkv.exe

O4 - Startup: winupdate.lnk = ?

O20 - AppInit_DLLs: C:\Users\Елена\Documents\Iterra\xdybdze.dll

Сделайте новый комплект логов AVZ и RSIT и прикрепите к следующему сообщению новые логи virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:

Код:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве

Вроде бы все.

Код:

begin

ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

 TerminateProcessByName('c:\users\Елена\appdata\local\nvidia corporation\update\daemonupd.exe');

 TerminateProcessByName('c:\users\Елена\appdata\local\google\update\gupdate.exe');

 SetServiceStart('NvUpdService', 4);

 StopService('NvUpdService');

 QuarantineFile('c:\users\Елена\appdata\local\nvidia corporation\update\daemonupd.exe','');

 QuarantineFile('C:\Users\Елена\Local Settings\Application Data\NVIDIA Corporation\Update\daemonupd.exe','');

 QuarantineFile('C:\Users\Елена\Local Settings\Application Data\Microsoft\Windows\winupdate.exe','');

 QuarantineFile('C:\Users\Елена\Local Settings\Application Data\Google\Update\gupdate.exe','');

 QuarantineFile('C:\Users\6145~1\AppData\Local\Temp\4A4791F5-E347F7A-7ECA5ACF-F03596CA\7v7calp5.exe','');

 DeleteFile('C:\Users\Елена\Local Settings\Application Data\Google\Update\gupdate.exe');

 DeleteFile('C:\Users\Елена\Local Settings\Application Data\NVIDIA Corporation\Update\daemonupd.exe');

 DeleteFile('C:\Users\Елена\Local Settings\Application Data\Microsoft\Windows\winupdate.exe');

 DeleteFile('C:\Users\6145~1\AppData\Local\Temp\4A4791F5-E347F7A-7ECA5ACF-F03596CA\7v7calp5.exe');

 DeleteFile('C:\Users\Елена\AppData\Local\NVIDIA Corporation\Update\daemonupd.exe');

 DeleteService('NvUpdService');

ExecuteSysClean;

 ExecuteWizard('SCU',2,3,true);

RebootWindows(true);

end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:

begin

 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 

 end.

Код:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://gogomailru.ru/

Сделайте новый комплект логов AVZ и RSIT и прикрепите к следующему сообщению новые логи virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt

Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Скопируйте содержимое файла в свое следующее сообщение.

Подробнее читайте в этом руководстве.

Security Check by glax24 version 0.1.5.43 beta
WebSite: www.safezone.cc
DataLog 05.12.2012 11:30:39
Program directory: C:\Users\Елена\AppData\Local\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True
XML File - VersionInet=1.3
__________________________________________________

WIN_7 Build 7601 (x64) HomeBasic Lan:0419
Service Pack 1
Internet Explorer 9.0.8112.16421
-------------Windows------------------------------
Контроль учётных записей пользователя отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Загружать автоматически обновления и устанавливать по заданному расписанию
Дата установки обновлений: 2012-12-04 09:38:28
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
-------------Antivirus_WMI------------------------
Kaspersky CRYSTAL
Антивирус устарел
Сканирование отключено
-------------Firewall_WMI-------------------------
Kaspersky CRYSTAL
-------------AntiSpyware_WMI----------------------
Kaspersky CRYSTAL
Windows Defender
-------------AntiVirusFirewallInstall-------------
Kaspersky CRYSTAL v.12.0.1.288
-------------OtherUtilities-----------------------
Malwarebytes Anti-Malware, версия 1.65.1.1000 v.1.65.1.1000
-------------Java---------------------------------
Java(TM) 6 Update 30 v.6.0.300 Внимание! Скачать обновления
^Удалите старую версию и установите новую^
-------------AppleProduction----------------------
-------------AdobeProduction----------------------
Adobe Flash Player 11 ActiveX v.11.4.402.287 Внимание! Скачать обновления
^Открыть ссылку в Internet Explorer^
Adobe Flash Player 10 Plugin v.10.0.12.36 Внимание! Скачать обновления
^Открыть ссылку в Opera или Mozilla FireFox^
Adobe Reader X (10.1.0) - Russian v.10.1.0 Внимание! Скачать обновления
-------------Browser------------------------------
Google Chrome v.23.0.1271.95
Opera 12.11 v.12.11.1661
-------------EmailClient--------------------------
-------------RunningProcess-----------------------
-------------EndLog-------------------------------

Цитата:

Цитата PticaOgnennaya

Антивирус устарел »

То-то я думаю он у Вас в глаза не видит старых троянов.

Закрывайте уязвимости, обновляйте софт ссылки в вашем посте.

Меняйте пароли.

Как самочувствие системы?

Цитата:

Цитата alex_sev

То-то я думаю он у Вас в глаза не видит старых троянов. »

Лицензии нет, так бы продлили:) Придется ставить что-нибудь бесплатное.

С уязвимостями разберусь. Самочувствие хорошее, снова меня выручили, спасибо.

Есть какие-нибудь рекомендации, что можно сделать в будущем в подобной ситуации своими силами?

Рекомендации стандартные

+

червь скорее пришел через незакрытые уязвимости.

Маячок в основном распространяется под видом полезных программ скачанных с файлопомоек, а не с официальных сайтов + всякие программки для контакта, фэйсбука и проч. А так же методами социальной инженерии - погляди какая фотка, вот такие себе обои поставил, погляди - это не ты на этой странице и т.п.

Обновления, ограниченная учетка, программы только с оф.сайтов, отключенные лишние плагины в браузерах, антивирус, разумная голова - все это снизит % заражения. (для еще большего снижения вероятности необходимо настроить Политики ограниченного использования программ - http://www.oszone.net/3979/Software_...ction_Policies - работает только в Pro и Ultimate версиях ОС)

+

смените пароли, червь мог их утащить

+

просканьте полностью систему на предмет неактивных тушек антивирусом или сканером вроде CureIt