-
Junior Member
- Вес репутации
- 50
DrWeb блокирует неизвестный URL при запуске броузера
При открытии любого броузера (FF/IE/Opera) DrWeb Spider Gate иногда пишет о блокировке какого-то URL:
nanocloudcontroller.com/message.php?subid=711&br=FF&os=13&flg=...
или
http://nanocloudcontroller.com/message.php?subid=711&br=IE_8.00&os=13&flg=...
URL заблокирован SpIder Gate, он известен как источник распространения вирусов".
При этом страница может быть пустой, сообщения появляются не каждый раз.
Вот текст SpIder Gate:
[07/11/2010 09:37:19 00000d08] URL is blocked (malware): nanocloudcontroller.com/message.php?subid=711&br=FF&os=13&flg=8&id=FA46647 2D110D4427CE2D226D3B8D26C&ad=ad&ver=_if14
[07/11/2010 09:37:20 00000ae4] URL is blocked (malware): nanocloudcontroller.com/message.php?subid=711&br=FF&os=13&flg=8&id=FA46647 2D110D4427CE2D226D3B8D26C&ad=ad&ver=_if14
[07/11/2010 09:37:20 00000694] URL is blocked (malware): nanocloudcontroller.com/message.php?subid=711&br=FF&os=13&flg=8&id=FA46647 2D110D4427CE2D226D3B8D26C&ad=ad&ver=_if14/
Сканировал DrWeb/AVPTool - ничего.
Последний раз редактировалось olejah; 07.11.2010 в 10:56.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
RegSearch('HKLM','','espF028.tmp');
SaveLog(GetAVZDirectory + 'avz.log');
QuarantineFile('c:\windows\explorer.exe','');
QuarantineFile('c:\windows\system32\winlogon.exe','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\espF028.tmp','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Файл avz.log из папки с АВЗ прикрепите к следующему сообщению.
-
-
Junior Member
- Вес репутации
- 50
Сообщение от
Olejah
- Файл avz.log из папки с АВЗ прикрепите к следующему сообщению.
карантин отправил, но не знаю, дошел ли...
log прикрепляю
-
Файлы c:\windows\explorer.exe и c:\windows\system32\winlogon.exe необходимо заменить чистыми с дистрибутива.
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\ControlSet001\Control\Print\Providers\F4965D71');
RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\ControlSet002\Control\Print\Providers\F4965D71');
RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Print\Providers\F4965D71');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\espF028.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
- Повторите логи АВЗ, после замены файлов и выполненного скрипта
-
-
Junior Member
- Вес репутации
- 50
Файлы c:\windows\explorer.exe и c:\windows\system32\winlogon.exe необходимо заменить чистыми с дистрибутива.
Заменил, но помучиться пришлось...
Потом, правда Инет включил, так как скрипт не скопировал, скрипт выполнил.
ДрВеб выгрузить полностью не получается, оставил как есть .
Лог АВЗ прикладываю.
-
Сообщение от
2L8
Лог АВЗ прикладываю.
Логи по правилам нужны
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
-
-
-
Junior Member
- Вес репутации
- 50
За сегодняшний день симптомов зловреда не наблюдается.
Спасибо за помощь!
Не подскажете, были ли заражены explorer/winlogon и что на это указывало, т.к. до сегодняшнего дня боролся с вирусами самостоятельно и успешно
-
Сообщение от
2L8
Не подскажете, были ли заражены explorer/winlogon и что на это указывало, т.к. до сегодняшнего дня боролся с вирусами самостоятельно и успешно
Ну не зря же я Вам дал рекомендацию заменить файлы на чистые. Они были действительно заражены.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 8
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\explorer.exe - Trojan.Win32.Patched.kl ( DrWEB: Win32.Dat.13, BitDefender: Win32.Loader.S, NOD32: Win32/Bamital.EQ trojan, AVAST4: Win32:Bamital-AQ )
- c:\\windows\\system32\\winlogon.exe - Trojan.Win32.Patched.kl ( DrWEB: Win32.Dat.13, BitDefender: Win32.Loader.S, NOD32: Win32/Bamital.EQ trojan, AVAST4: Win32:Bamital-AQ )
-