Здраствуйте. Неприятность такая - нажимаю на какой-нибудь сайт, а вылазит sex-mambo.net. Нажимаю, например на ваш сайт, а появляется sex-mambo.net. Помогите пожалуйста.
Здраствуйте. Неприятность такая - нажимаю на какой-нибудь сайт, а вылазит sex-mambo.net. Нажимаю, например на ваш сайт, а появляется sex-mambo.net. Помогите пожалуйста.
Уважаемый(ая) Renegat, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Обновите базы AVZ.
Если базы не обновляются через меню Файл - Обновление баз,
скачайте архив баз http://z-oleg.com/secur/avz_up/avzbase.zip
и распакуйте его в папку Base внутри папки AVZ, заменив имеющиеся файлы и перезапустите AVZ.
Выполните скрипт в AVZ (как выполнить):
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('D:\tarik/filipovic.exe',''); QuarantineFile('D:\autorun.inf',''); DelBHO('{8984B388-A5BB-4DF7-B274-77B879E179DB}'); QuarantineFile('C:\Documents and Settings\Пользователь\fswagz.exe',''); DeleteFile('C:\Documents and Settings\Пользователь\fswagz.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','42'); DeleteFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\661265aq'); DeleteFile('D:\tarik/filipovic.exe'); DeleteFile('D:\autorun.inf'); ExecuteRepair(13); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,2,true); ExecuteWizard('SCU',2,2,true); BC_Activate; RebootWindows(true); end.
После перезагрузки выполните скрипт в AVZ:
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".Код:begin CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); end.
Обновите Internet Explorer до актуальной версии (даже если не используете):
http://windows.microsoft.com/ru-RU/i...r/downloads/ie
Установите все обновления безопасности, вышедшие после Service Pack 3:
http://windowsupdate.microsoft.com/
Выполните скрипт в AVZ отсюда (скопируйте там весь текст):
http://dataforce.ru/~kad/ScanVuln.txt
Если будут найдены уязвимости, в папке AVZ\LOG появится файл avz_log.txt. Приложите его в теме.
Затем откройте его в блокноте, пройдите по всем ссылкам и установите указанные там обновления.
Перезагрузите компьютер, выполните еще раз этот скрипт и убедитесь, что обновления установились.
Сделайте заново лог virusinfo_syscheck.zip и лог HijackThis (пункты 2 и 3 раздела "Диагностика" правил) и приложите в теме.
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
Сделал всё как вы сказали. До строки:
"Обновите Internet Explorer до актуальной версии (даже если не используете):
http://windows.microsoft.com/ru-RU/i...r/downloads/ie"
как только нажал на ссылку обновления попал на сайт sex-mambo.net
Может быть мне с самого начала попробовать?
кагда запустил скрипт http://dataforce.ru/~kad/ScanVuln.txt
вышла ошибка 20.08.2012 is not a valid date and time
Нашёл и прислал quarantine.zip
Последний раз редактировалось Renegat; 16.12.2012 в 18:02.
Пока пропустите действия, которые не можете сделать.
Сделайте повторные логи.
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
Я сделал следующее:
1. Проверил Dr.WEb Нашёл 8 угроз из них 2 трояна Обезвредил угрозы нажав на кнопку.
это не устранило сайт sex-mambo.net
2. Сделал AVZ что написано (лечение) перед этим отключил интернет. Это не устранило мамбу с неработающим интернетом, когда открыл браузер.
3. Подключил интернет, запустил AVZ открыл браузер появилась мамба.
4. Запустил HiJackThis.
В IE тоже такая проблема есть?
Сделайте лог MiniToolBox при подключенном интернете:
http://virusinfo.info/showthread.php...877#post902877
и приложите в теме.
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
Когда запускается WindowsXP появляется ошибка Яндекс и написано внизу Отладка Отправить или не отправлять отчёт
То же самое , когда запускаю IE8. Появляется такая же ошибка Яндекс.
ПО умолчанию у меня Chrom. В хроме у меня Яндекс который вкладки регулирует.
Когда открываешь ещё одно окно в IE и нажимаешь на какую-нибудь ссылку, то ссылка открывается в chrom.
Сообщите подробней, с каким именно файлом от Яндекс происходит ошибка.
Попробуйте так:
Сделайте аппаратный сброс роутера (см. в инструкции к нему).
Затем смените на нем пароль администратора и настройте роутер заново согласно инструкциям провайдера.
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
1.Сделал аппаратный сброс роутера
2. сменил пароль администратора.
3. настроил роутер заново
4. Как только загружается wXP появляется ошибка Яндекс такие файлы:
AppName: praetorian.exe AppVer: 0.2.2.113 ModName: praetorian.exe
ModVer: 0.2.2.113 Offset: 000fa52a
50c5_appcompat.txt
Пока что мамба не появляется.
Поищите в Панели управления - Удаление программ этот Praetorian (или защитник Яндекс или что-то похожее и удалите).
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
В Панели управления - Удаление программ не нашёл этот файл. Но нашёл файл похожий PRAETORIAN.EXE-074401EC.pf
в папке C:\WINDOWS\Prefetch и удалил его оттуда. Теперь пока при одном запуске WXP ошибка Яндекс не вылазит и
мамба тоже не вылазит.
Так что Спасибо большое за помощь!
Тогда это тоже можно пофиксить, оно уже не нужно:
Пофиксите в HijackThis только указанные строки (как пофиксить):
Обновления попробуйте снова установить.Код:O4 - HKCU\..\Run: [Praetorian] C:\Documents and Settings\Iieuciaaoaeu\Local Settings\Application Data\Yandex\Updater\praetorian.exe
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
Сделал это:
1. Пофиксил
2. Заново установил IE8 с обновлениями
3. Перезагрузился. В диспетчере задач какие-то такие процессы
dumpwwi.exe (похоже на это потом этот процесс пропал)
praetorian.exe
yupdate-ctrl.exe
wuauclt.exe
praetorian работает. Ну да ладно, если ошибок больше нет, то пусть живет.
http://dataforce.ru/~kad/ScanVuln.txt
Этот скрипт снова пробовали?
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
Попытался сделать скрипт http://dataforce.ru/~kad/ScanVuln.txt
пишет ошибка 20.08.2012 is not a valid date and time
Я раньше делал "обновление часовых поясов" для windows может поэтому, не знаю.
Время было в формате am-pm. Исправил на 24 часа - скрипт вывел ту же ошибку 20.08.12 и т.д.
Тогда в панели управления нажал Язык и региональные стандарты- И там где написано "выбрать элемент из списка" поменял Английский на русский и скрипт сработал без ошибок. получилось вот это-
Спасибо большое за вашу работу.
Уважаемый(ая) Renegat, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.