при включении браузера появляется окно

masikgreat · 29.08.2011, 15:48

При включении браузера появляется вот это окно:

Логи утилит AVZ http://webfile.ru/5515481 и HiJackThis http://webfile.ru/5515498

Strage_297 · 29.08.2011, 16:12

Выполните скрипт (AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".):

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 TerminateProcessByName('c:\users\maxim\appdata\roaming\netprotocol.exe');
 QuarantineFile('C:\Users\Maxim\appdata\lsass.exe','');
 QuarantineFile('C:\Users\Maxim\appdata\local\temp\flash_player_update.exe','');
 QuarantineFile('C:\Windows\system32\oytdabm.dll','');
 QuarantineFile('c:\users\maxim\appdata\roaming\netprotocol.exe','');
 DeleteFile('C:\Windows\system32\oytdabm.dll');
 DeleteFile('C:\Users\Maxim\appdata\local\temp\flash_player_update.exe');
 DeleteFile('C:\Users\Maxim\appdata\lsass.exe');
 DeleteFile('C:\Users\Maxim\appdata\roaming\netprotocol.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Netprotocol');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Для создания архива с карантином выполните скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).
Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.
В строке "Подробное описание возникшей ситуации": укажите пароль на архив "virus" (без кавычек).
В строке "Электронный адрес": укажите адрес своей электронной почты.
Полученный ответ сообщите в этой теме.

Пофиксите в HiJackThis:

Код:

O4 - HKCU\..\Run: [Netprotocol] C:\Users\Maxim\AppData\Roaming\netprotocol.exe
O20 - AppInit_DLLs: C:\Windows\system32\oytdabm.dll

Сделайте 2-й и 3-й стандартные скрипты и приложите к сообщению.

+

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в сообщение.Сами ничего не удаляйте.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Установите обновления:
- Internet Explorer 8;
- Java;
- Adobe Reader X.

masikgreat · 29.08.2011, 16:27

Strage_297, а это все нужно делать с включенным интернетом и антивирусом или нет? а то после выполнения первого скрипта антивирус заявил о появлении двух потенциальных угрозах которые заблокировал и предлагает отчистить.

Warrior Kratos · 29.08.2011, 16:28

Strage_297, поясните:

Цитата:

Сообщение от Strage_297

DeleteFile('C:\Program Files\Microsoft Security Client\Backup\en-us\epploc_x86.msi');
DeleteFile('C:\Program Files\Microsoft Security Client\Backup\ru-ru\epploc_x86.msi');

masikgreat, пока не выполняйте скрипт!!!

masikgreat · 29.08.2011, 16:32

Warrior Kratos, а что-же делать?

Warrior Kratos · 29.08.2011, 16:34

Пока делайте вот такой лог http://pchelpforum.ru/showpost.php?p=206554&postcount=5

Strage_297 · 29.08.2011, 16:47

Цитата:

Сообщение от Warrior Kratos

поясните

Смотрите до текстовой части лога.

Цитата:

Сообщение от masikgreat

Strage_297, а это все нужно делать с включенным интернетом и антивирусом или нет?

Выключить антивирус/файервол и интернет.

Vvvyg · 29.08.2011, 16:51

Strage_297, я уже предупреждал тут некоторых хелперов, что даже если AVZ выдаёт не подозрение, а явно находит вирус в .msi файлах - это в 99,9% случаев ложное срабатывание. Не надо их удалять не проверив.

masikgreat, удалите из скрипта 2 строки:

Код:

DeleteFile('C:\Program Files\Microsoft Security Client\Backup\en-us\epploc_x86.msi');
DeleteFile('C:\Program Files\Microsoft Security Client\Backup\ru-ru\epploc_x86.msi');

и выполните его.

Warrior Kratos · 29.08.2011, 16:53

Vvvyg, я поправил!!!

Strage_297 · 29.08.2011, 16:57

Сколько шума то развели )

masikgreat, выполняйте скрипты, затем повторно их делайте.

Vvvyg · 29.08.2011, 17:07

Цитата:

Сообщение от Strage_297

Сколько шума то развели )

За удаление легитимного файла - минус в карму, если он, к тому же, от M$ - расстрел на месте

masikgreat · 29.08.2011, 17:12

Спасибо, все теперь работает) а что можно сделать чтоб в дальнейшем обезопасить себя от подобного? (антивирус и все необходимое для защиты включено всегда) чего не хватает чтоб такого не происходило?

Vvvyg · 29.08.2011, 17:14

masikgreat, сперва сделайте всё, что Strage_297 после скрипта написал...

Warrior Kratos · 29.08.2011, 17:15

Цитата:

Сообщение от Vvvyg

masikgreat, сперва сделайте всё, что Strage_297 после скрипта написал...

а потом обновите это

После лечения

1)если установлена Java, обновить ее до текущей версии
скачать отсюда
http://www.java.com/ru/download/manual.jsp

2)обновите ПО:
Adobe Flash Player отсюда
http://get.adobe.com/ru/flashplayer/

3)Adobe Acrobat Reader
http://get.adobe.com/reader/

masikgreat · 29.08.2011, 17:23

O4 - HKCU\..\Run: [Netprotocol] C:\Users\Maxim\AppData\Roaming\netprotocol.exe
O20 - AppInit_DLLs: C:\Windows\system32\oytdabm.dll

у меня в списке нет этих кодов..

29.08.2011, 15:48	#1 (ссылка)
masikgreat Новичок Регистрация: 29.08.2011 Сообщений: 92 Репутация: 0	при включении браузера появляется окно При включении браузера появляется вот это окно: Логи утилит AVZ http://webfile.ru/5515481 и HiJackThis http://webfile.ru/5515498

29.08.2011, 16:12	#2 (ссылка)
Strage_297 Новичок Регистрация: 29.12.2010 Сообщений: 617 Репутация: 37	Выполните скрипт (AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".): Код: begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; TerminateProcessByName('c:\users\maxim\appdata\roaming\netprotocol.exe'); QuarantineFile('C:\Users\Maxim\appdata\lsass.exe',''); QuarantineFile('C:\Users\Maxim\appdata\local\temp\flash_player_update.exe',''); QuarantineFile('C:\Windows\system32\oytdabm.dll',''); QuarantineFile('c:\users\maxim\appdata\roaming\netprotocol.exe',''); DeleteFile('C:\Windows\system32\oytdabm.dll'); DeleteFile('C:\Users\Maxim\appdata\local\temp\flash_player_update.exe'); DeleteFile('C:\Users\Maxim\appdata\lsass.exe'); DeleteFile('C:\Users\Maxim\appdata\roaming\netprotocol.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Netprotocol'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('TSW',2,3,true); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: Код: begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации": укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес": укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Пофиксите в HiJackThis: Код: O4 - HKCU\..\Run: [Netprotocol] C:\Users\Maxim\AppData\Roaming\netprotocol.exe O20 - AppInit_DLLs: C:\Windows\system32\oytdabm.dll Сделайте 2-й и 3-й стандартные скрипты и приложите к сообщению. + Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в сообщение.Сами ничего не удаляйте. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Установите обновления: - Internet Explorer 8; - Java; - Adobe Reader X. Последний раз редактировалось Warrior Kratos; 29.08.2011 в 16:53.

29.08.2011, 16:51	#8 (ссылка)
Vvvyg Эксперт Регистрация: 25.05.2011 Сообщений: 9,136 Репутация: 811	Strage_297, я уже предупреждал тут некоторых хелперов, что даже если AVZ выдаёт не подозрение, а явно находит вирус в .msi файлах - это в 99,9% случаев ложное срабатывание. Не надо их удалять не проверив. masikgreat, удалите из скрипта 2 строки: Код: DeleteFile('C:\Program Files\Microsoft Security Client\Backup\en-us\epploc_x86.msi'); DeleteFile('C:\Program Files\Microsoft Security Client\Backup\ru-ru\epploc_x86.msi'); и выполните его.

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Помогите! При запуске WINDOWS появляется пустое окно...	puma2202	Безопасность	50	17.01.2012 16:09
При включении компа появляется окно ldt	valera23	Безопасность	5	05.06.2011 19:35
При загрузке появляется окно AutuIt Error что делать?	mit9i26	Безопасность	44	05.08.2010 16:44
При включении компъютера появляется черное окно	Емилия	Операционные системы	4	08.05.2010 20:43
После запуска Windows XP появляется окно с jriw.eao	Yzik	Безопасность	3	09.02.2010 17:36
Появляется окно ddaqaen3.exe	bacila.L	Windows XP	3	04.02.2010 19:14
При попытке скачать антивирус окно браузера закрывается	PlaySten	Безопасность	5	17.01.2010 20:34
Появляется окно трансляции	kartserg	Программы	4	13.01.2010 01:41
появляется трансляционное окно	kartserg	Неисправности, настройка	2	13.01.2010 00:09
Когда открываю Оперу, появляется окно с текстом	Влад Юрченко	Интернет и сети	4	09.01.2010 00:47
Появляется синее окно с текстом	fallout123	Windows XP	13	19.04.2009 23:54

29.08.2011, 16:27	#3 (ссылка)
masikgreat Новичок Регистрация: 29.08.2011 Сообщений: 92 Репутация: 0	Strage_297, а это все нужно делать с включенным интернетом и антивирусом или нет? а то после выполнения первого скрипта антивирус заявил о появлении двух потенциальных угрозах которые заблокировал и предлагает отчистить.

29.08.2011, 16:32	#5 (ссылка)
masikgreat Новичок Регистрация: 29.08.2011 Сообщений: 92 Репутация: 0	Warrior Kratos, а что-же делать?

29.08.2011, 16:34	#6 (ссылка)
Warrior Kratos Знаток Регистрация: 20.04.2011 Сообщений: 2,413 Записей в блоге: 4 Репутация: 185	Пока делайте вот такой лог http://pchelpforum.ru/showpost.php?p=206554&postcount=5

29.08.2011, 16:53	#9 (ссылка)
Warrior Kratos Знаток Регистрация: 20.04.2011 Сообщений: 2,413 Записей в блоге: 4 Репутация: 185	Vvvyg, я поправил!!!

29.08.2011, 16:57	#10 (ссылка)
Strage_297 Новичок Регистрация: 29.12.2010 Сообщений: 617 Репутация: 37	Сколько шума то развели ) masikgreat, выполняйте скрипты, затем повторно их делайте.

29.08.2011, 17:12	#12 (ссылка)
masikgreat Новичок Регистрация: 29.08.2011 Сообщений: 92 Репутация: 0	Спасибо, все теперь работает) а что можно сделать чтоб в дальнейшем обезопасить себя от подобного? (антивирус и все необходимое для защиты включено всегда) чего не хватает чтоб такого не происходило?

29.08.2011, 17:14	#13 (ссылка)
Vvvyg Эксперт Регистрация: 25.05.2011 Сообщений: 9,136 Репутация: 811	masikgreat, сперва сделайте всё, что Strage_297 после скрипта написал...

29.08.2011, 17:23	#15 (ссылка)
masikgreat Новичок Регистрация: 29.08.2011 Сообщений: 92 Репутация: 0	O4 - HKCU\..\Run: [Netprotocol] C:\Users\Maxim\AppData\Roaming\netprotocol.exe O20 - AppInit_DLLs: C:\Windows\system32\oytdabm.dll у меня в списке нет этих кодов..

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Ads