63 ответов в этой теме

[Злюк Сковородкин]

Здравствуйте.

Есть компьютер с Windows XP и Internet Explorer 8.
Недавно появилась такая проблема.
Запускаю Internet Explorer 8, открывается начальная страница - Яндекс.
Если я щёлкаю по любой ссылке, то сначала открывается нужная страница, загружается полностью и затем вместо этой страницы открывается страница неприличного содержания ... или разные сайты вроде ...
Если я вручную в адресной строке ввожу какой-либо адрес (mail.ru, rambler.ru), то страница нормально открывается.
Причём такое происходит только под одной учётной записью пользователя и в Internet Explorer'е.
В других браузерах (Opera, Chrome, Mozilla) и под другими учётными записями такая страница не открывается.
Антивирус - AVG.

Эта же проблема возникла ещё на трёх компьютерах. На них установлен Eset NOD32 4.2 .

Что было предпринято.

Удалил все временные файлы из Temp Виндоуса и учётной записи.
Удалил временные файлы Интернета этого пользователя.
Просмотрел и удалил странные файлы в каталоге учётной записи.
В реестре в стандартных местах ничего странного не нашёл.
Сканировал компьютеры и штатными антивирусами и AVZ.
Восстанавливал систему.
Переставлял Internet Explorer.
Сбрасывал настройки и отключал надстройки в IE.
Удалил все куки.
В hosts ничего лишнего нет.

Удалил полностью каталог учётной записи на компьютере. Зашёл снова. Виндоус настроил всё по умолчанию. Сразу открываю IE и после нажатия по третьей ссылки выскочила опять эта зараза.

Пока ничего не помогло.

Ссылка на лог из AVZ:
http://rghost.ru/download/39795497/91f26e14ac69a88f29d1234c75aec7f00098d9fc/virusinfo_syscure.zip

Ссылка на лог из UVS:
http://rghost.ru/download/39795506/400f8775d4b7802405aa6155cfa11a381007a045/BUDILKINA_2012-08-15_14-28-48.rar

Отчёт из Malwarebytes Anti-Malware Free:
http://rghost.ru/download/39799657/82eff8274b78d8833eaf98a16fe07c124d37a7d7/mbam-log-2012-08-15%20(18-15-30).txt

Логи из OLDTimer (http://safezone.cc/forum/showthread.php?t=12019):
http://rghost.ru/download/private/39831981/9cb54d750bc4ba99fdfb9cc02e6de997/8a4627fff24b42586174e134fc57f251974cf6b8/OTL.Txt

http://rghost.ru/download/private/39831984/99a672577a5d02b60b387aa7baab3d41/1da4111ce1612162ff2f003aecb5ac281f47682f/Extras.Txt

Отчёты по инструкции с этого сайта прикреплены.

Прикрепленные файлы:

•  cureit-results.cab   106,12К   3 Скачано раз
•  cureit-fast.log   1,09Мб   3 Скачано раз
•  hijackthis1.log   9,14К   14 Скачано раз
•  Report.txt   50,21К   2 Скачано раз

Сообщение было изменено Borka: 21 Август 2012 - 16:49
убраны линки

[Dr.Robot]

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и RkU. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Что не нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://vms.drweb.com/sendvirus/ несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
- собрать и выложить в своей теме логи утилит, указанных в Правилах этого раздела форума;

[v.martyanov]

C:\WINDOWS\system32\logon.scr в вирлаб.

[Злюк Сковородкин]

C:\WINDOWS\system32\logon.scr в вирлаб.

Отправил.

[v.martyanov]

C:\WINDOWS\system32\logon.scr в вирлаб.

Отправил.

Номер тикета?

[Злюк Сковородкин]

drweb.com #3582489

[Borka]

Сделайте экспорт ветки реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

[Злюк Сковородкин]

Сделал.

Прикрепленные файлы:

•  Services.rar   64,68К   5 Скачано раз

[Dmitry Shutov]

Хелперы вот на это обратите внимание

IE - HKU\S-1-5-21-1563617042-3015756089-115896913-3672\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = FB 89 71 F5 55 45 CD 01 [binary data]

[2011.05.31 08:41:48 | 000,000,344 | ---- | M] () -- C:\WINDOWS\Tasks\At1.job - на VТ

[2011.05.30 13:15:55 | 000,000,802 | ---- | M] () -- C:\WINDOWS\Tasks\budilkina.job - это ваше?

[Злюк Сковородкин]

Хелперы вот на это обратите внимание

IE - HKU\S-1-5-21-1563617042-3015756089-115896913-3672\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = FB 89 71 F5 55 45 CD 01 [binary data]

[2011.05.31 08:41:48 | 000,000,344 | ---- | M] () -- C:\WINDOWS\Tasks\At1.job - на VТ

[2011.05.30 13:15:55 | 000,000,802 | ---- | M] () -- C:\WINDOWS\Tasks\budilkina.job - это ваше?

В реестре сменил параметр StartPage Redirect на Яндекс.

Удалил все эти задания.

Перезагрузил.
Всё равно открывается нужное окно и затем в нём идёт загрузка другой страницы или порнухи.

[SHIELD]

Если есть такой же ПК с такой же ОС,
то можно сравнить папки Windows, из отличившихся файлов,
выбрать подозрительные и отправить их в VMS Dr.WEB.

[v.martyanov]

Если есть такой же ПК с такой же ОС,
то можно сравнить папки Windows, из отличившихся файлов,
выбрать подозрительные и отправить их в VMS Dr.WEB.

Не эффективно.

[Borka]

Отравление DNS-кэша?

[Злюк Сковородкин]

Если есть такой же ПК с такой же ОС,
то можно сравнить папки Windows, из отличившихся файлов,
выбрать подозрительные и отправить их в VMS Dr.WEB.

Не эффективно.

Я только что попробовал. Кое-чего поудалял. Ничего не помогло.

[Злюк Сковородкин]

Отравление DNS-кэша?

Не понял.
Где это посмотреть?

[fetch]

Я только что попробовал. Кое-чего поудалял. Ничего не помогло.

Прежде чем удалять, лучше сначала все-таки разобраться, что это, а то так не долго и совсем убить систему

[Злюк Сковородкин]

Я только что попробовал. Кое-чего поудалял. Ничего не помогло.

Прежде чем удалять, лучше сначала все-таки разобраться, что это, а то так не долго и совсем убить систему

Я же не всё подряд удаляю. Я стараюсь удалять то, что явно не повредит работоспособности системы.
Вот из SYSTEM32 я ничего не удалял, хотя этот каталог как раз и является обычно сборщиком вирусов.

Переставить на одном компьютере систему - не проблема. И таких компьютеров уже 4.
Дело в другом: всё-таки хочется найти этот вирус, а не переставлять систему после любой вирусни.

[Borka]

Отравление DNS-кэша?

Не понял.
Где это посмотреть?

Это смотрится у провайдера. Да еще если комп со схожими симптомами не один...

[v.martyanov]

А если попробовать сравнить результаты ресолвинга имени на проблемной и чистой машине?

[Borka]

А если попробовать сравнить результаты ресолвинга имени на проблемной и чистой машине?

Вы сразу инструкцию пишите.