|
|
|
|
| Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » Переадресация на earthmobile.ru |
|
|
Переадресация на earthmobile.ru
|
|
Новый участник Сообщения: 1 |
Доброго времени суток!
Проблема подобная http://forum.oszone.net/thread-250965.html Симптомы те же: переадресация на earthmobile.ru, показ банера и левых сайтов. Что было: установлено несколько антивирусов, базы не обновлялись Что сделано: удалены все антивирусы, установлен NOD32 6 версии + сделал все согласно инструкции Файлы логов: |
|
|
Отправлено: 21:08, 18-02-2013 |
скептик-оптимист
Сообщения: 5718
|
Профиль | Отправить PM | Цитировать Временно отключите:
Антивирус/Файерволл • Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится. Код:
 begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('C:\Recycle.Bin\B6232F3AFC8.exe','');
QuarantineFile('C:\Windows\system32\BTHMHfEdbhiEIa.exe','');
QuarantineFile('C:\Windows\Temp\TS_7E77.tmp','');
QuarantineFile('C:\Windows\Temp\TS_AD0C.tmp','');
QuarantineFile('C:\Windows\Temp\TS_C355.tmp','');
QuarantineFile('C:\Program Files (x86)\GUT5513.tmp','');
QuarantineFile('C:\Program Files (x86)\GUM5512.tmp','');
QuarantineFile('C:\Program Files (x86)\GUTDB04.tmp','');
QuarantineFile('C:\Program Files (x86)\GUMDB03.tmp','');
QuarantineFile('C:\Program Files (x86)\GUT7ED.tmp','');
QuarantineFile('C:\Program Files (x86)\GUM7EC.tmp','');
DeleteFile('C:\Program Files (x86)\GUT5513.tmp');
DeleteFile('C:\Program Files (x86)\GUM5512.tmp');
DeleteFile('C:\Program Files (x86)\GUTDB04.tmp');
DeleteFile('C:\Program Files (x86)\GUMDB03.tmp');
DeleteFile('C:\Program Files (x86)\GUT7ED.tmp');
DeleteFile('C:\Program Files (x86)\GUM7EC.tmp');
DeleteFile('C:\Recycle.Bin\B6232F3AFC8.exe');
DeleteFile('C:\Windows\system32\BTHMHfEdbhiEIa.exe');
DeleteFile('C:\Windows\Temp\TS_7E77.tmp');
DeleteFile('C:\Windows\Temp\TS_AD0C.tmp');
DeleteFile('C:\Windows\Temp\TS_C355.tmp');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','4Y3Y0C3A0F7W0VXEYIJT');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','4Y3Y0C3A0F7W0VXEYIJT');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','yHFzmSmZujKRFlDJeCDwJpcJXP');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
ExecuteRepair(1);
RebootWindows(true);
end.
Код:
begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. • Нужно Пофиксить в эти строки в HiJackThis. некоторые строчки могут отсутствовать. Код:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://dasearch.ru
O4 - HKLM\..\Run: [yHFzmSmZujKRFlDJeCDwJpcJXP] C:\Windows\system32\BTHMHfEdbhiEIa.exe
O4 - HKUS\S-1-5-18\..\Run: [4Y3Y0C3A0F7W0VXEYIJT] C:\Recycle.Bin\B6232F3AFC8.exe /q (User 'система')
O4 - HKUS\.DEFAULT\..\Run: [4Y3Y0C3A0F7W0VXEYIJT] C:\Recycle.Bin\B6232F3AFC8.exe /q (User 'Default user')
O17 - HKLM\System\CCS\Services\Tcpip\..\{6BC7D09F-FFA0-49C7-8E16-2F9DEDAF0A0C}: NameServer = 5.199.140.179
O17 - HKLM\System\CCS\Services\Tcpip\..\{76BC4F9A-B441-4E91-B47D-8F8B020DE980}: NameServer = 5.199.140.179
O17 - HKLM\System\CCS\Services\Tcpip\..\{846ee342-7039-11de-9d20-806e6f6e6963}: NameServer = 5.199.140.179
O17 - HKLM\System\CCS\Services\Tcpip\..\{8F60B46A-7B68-4489-A4C2-B898440DFCAD}: NameServer = 80.82.209.180
O17 - HKLM\System\CCS\Services\Tcpip\..\{EF8B3C41-2BC5-4CF3-85C9-14BD1D648AAE}: NameServer = 5.199.140.179
O17 - HKLM\System\CS1\Services\Tcpip\..\{6BC7D09F-FFA0-49C7-8E16-2F9DEDAF0A0C}: NameServer = 5.199.140.179
O17 - HKLM\System\CS2\Services\Tcpip\..\{6BC7D09F-FFA0-49C7-8E16-2F9DEDAF0A0C}: NameServer = 5.199.140.179
Сделайте повторные логи AVZ + RSIT Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM |
|
------- Отправлено: 01:17, 19-02-2013 | #2 |
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
| |||||
| Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
| И снова трабл с Admotionblock.ru и Earthmobile.ru | MaxLikeMax | Лечение систем от вредоносных программ | 4 | 31-01-2013 20:15 | |
| [решено] Перекидывает с сайтов на earthmobile.ru/ | PLATON | Лечение систем от вредоносных программ | 7 | 10-01-2013 11:24 | |
| Интернет - [решено] открывает только yandex.ru, mazda.ru, mail.ru | Peutrov | Microsoft Windows 7 | 2 | 11-10-2012 17:13 | |
| На каких движках сделаны fotokritik.ru, photoforum.ru? Подскажите пожалуйста аналог | Sergio Chrome | Вебмастеру | 0 | 01-07-2011 07:42 | |
| Дам приглашение на 2ip.ru , взамен на habrahabr.ru . | maasja | Флейм | 4 | 24-09-2010 03:33 | |
|
|
Время: 23:18. | © OSzone.net 2001-
|
|
Powered by: vBulletin Copyright ©2000 - 2025, Jelsoft Enterprises Ltd. |
