Постоянное обращение к вредоносному сайту

**mast** · 23.06.2010, 22:11

Здравствуйте !
Опишу свою проблему с самого начала.

Сначала при загрузке рабочего стола стала вылезать ошибка Explorer.exe.
После этого появлялся пустой рабочий стол.
Установленный антивирус - нод32.
После загрузки в защищенном режиме комп. мог загрузиться нормально, но при следующей перезагрузки проблема повторялась.
С этой проблемой справился с помощью восстановления с точки двухнедельной давности.
После этого решил проверить комп на вирусы....
Установил программу Malwarebytes Anti-Malware.
Программа стала выдавать сообщения следующего вида:
Malwarebytes Anti-Malware
Была предотвращена попытка доступа к вредоносному сайту:
90.156.178.40

Полностью проделал все описанные процедуры...
И не один раз.
Но сообщения продолжают все так же появляться.
Причем их появление совпадает (как мне кажется) с работой Firefox.
Если возможно, помогите ! SOS !

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**thyrex** · 23.06.2010, 22:56

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\totalcmd\cglptnt.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\regguard.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\rwdyz.sys','');
 DeleteService('uamdkvmyk');
 DeleteFile('C:\WINDOWS\system32\drivers\rwdyz.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Выполните скрипт из этой темы http://virusinfo.info/showthread.php?t=43700

Сделайте новые логи

**mast** · 23.06.2010, 23:20

все сделал, перезагрузил - обращение к вредоносному сайту не исчезло пока...
действую далее - выполню скрипт с указанной вами страницы и пришлю новые логи.
вот карантин -

**thyrex** · 23.06.2010, 23:42

Читайте внимательно, как нужно прислать карантин

Сделайте лог http://virusinfo.info/showpost.php?p=493610&postcount=1

**mast** · 24.06.2010, 01:05

Сообщение от thyrex

...
Сделайте лог http://virusinfo.info/showpost.php?p=493610&postcount=1

сделал

**thyrex** · 24.06.2010, 01:09

Что теперь с проблемой?

**mast** · 24.06.2010, 01:34

После перезагрузки (после окончания работы программы ComboFix), выдало сообщение об ошибке explorer...
Из диспетчера перезагрузил...
Загрузилось нормально.
Вредоносный сайт так же зовет в гости.

При работе firefox.

**thyrex** · 24.06.2010, 01:41

Поищите в FireFox неизвестные дополнения

Проверьте в ярлыке для запуска FireFox, не приписался ли какой-либо "хвост" к исполняемому файлу

**mast** · 24.06.2010, 02:02

все дополнения отключил, хвоста нет...
проблема осталась.
в логе avz ушли красные строки...
но осталась только одна -
CmpCallCallBacks = 00088F76
Disable callback - уже нейтирализованы

причем каждый раз - та же строка.

**thyrex** · 24.06.2010, 11:18

Попробуйте переустановить FireFox с полным удалением его папок на диске.

Проверьте, проявляется ли проблема при работе с другими браузерами

**mast** · 24.06.2010, 12:28

Сообщение от thyrex

Попробуйте переустановить FireFox с полным удалением его папок на диске.

Проверьте, проявляется ли проблема при работе с другими браузерами

Да, проявляется и в IE и в Хроме...

**thyrex** · 24.06.2010, 13:15

Попробуйте в этих браузерах отключить использование JavaScript и проследить за ситуацией

Лог МВАМ предоставьте. Да и новые логи AVZ тоже

**mast** · 24.06.2010, 16:42

CmpCallCallBacks = 00088F76
Disable callback - уже нейтирализованы

В общем осталось только это (при выполнении стандартного скрипта avz).
Вредно это или нет ?

**thyrex** · 24.06.2010, 17:53

Нет

**mast** · 24.06.2010, 20:28

thyrex,

Большое спасибо за помощь и терпение !
Вы мне ОЧЕНЬ помогли !
С огромным уважением к Вам лично и ко всему вашему коллективу !

**thyrex** · 24.06.2010, 20:43

Спасибо и Вам за оценку работы

Поскольку отключение JavaScript, я так понимаю, помогло, Вам осталось найти вредоносный скрипт

Удалите ComboFix

**mast** · 24.06.2010, 20:57

Сообщение от thyrex

Спасибо и Вам за оценку работы

Поскольку отключение JavaScript, я так понимаю, помогло, Вам осталось найти вредоносный скрипт

Удалите ComboFix

Нет, Java я не отключал.
Помогло, как мне кажется авто-обновление модуля ComboFix.
После этого обновления я повторил действия по вашей инструкции.
И ушли красные строки все, кроме указанной. И пропало постоянное сообщение о вредоносном сайте.
Так получается, еще надо удалить вредоносный скрипт...
А я подумал было, что победа полная !
Что мне сделать, чтобы убить хада ?

**thyrex** · 25.06.2010, 00:43

Раз дело было не в отключении JavaScript значит ничего искать не нужно

**mast** · 26.06.2010, 23:00

к моему огромному сожалению, обращение к вредоносному сайту вернулось =(
Как вы и предполагали - причина в скрипте.
Так как при отключении скриптов в браузере, проблема не проявляется.
Как его (скрипт) обезвредить ?

**thyrex** · 27.06.2010, 00:11

Ищите все файлы с расширением js, собирайте в одну папку, запаковывайте и прекрепляйте к сообщению на форуме

Постоянное обращение к вредоносному сайту (заявка № 81673)

Опции темы

Постоянное обращение к вредоносному сайту

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Похожие темы

svchost обращается к вредоносному сайту

Постоянное обращение к дисководу

Постоянные обращения к вредоносному сайту

Постоянное обращение к HDD!

Постоянное обращение к Рутокену.

Ваши права в разделе