Показано с 1 по 5 из 5.

Попап scanner.dr-protection-adv.com (заявка № 16121)

  1. #1
    Junior Member Репутация
    Регистрация
    08.01.2008
    Сообщений
    2
    Вес репутации
    33

    Exclamation Попап scanner.dr-protection-adv.com

    Добрый день!

    Основной симптом -- появление попапа (с URL вида http://scanner.dr-protection-adv.com/scan/?advid=2595) при открытии произвольных сайтов. При загрузке этого сайта появляется окошко с сообщением, что комп инфицирован, и предложением установить и запустить сканнер со spy-shreder.com.

    Пытался лечиться авастовским антивирусом + ad-aware + spybot-S&D. ad-aware и spybot-S&D поудаляли какие-то трояны. сейчас ничего не находят, но проблема с попапом осталась.

    Нашел тему на форуме techspot.com (http://www.techspot.com/vb/topic94636.html), в которой упоминается тот же самый попап. Проделал набор инструкций с их форума (http://www.techspot.com/vb/topic58138.html).
    В результате авастовский антивирус при сканировании после загрузки в защищенной моде нашел (до этого ничего не находил):
    Код:
    C:\Program Files\Common Files\System\svchost.exe
    Win32:Trojan-gen {Other}
    Virus/Worm
    Тоже самое вычистилось авастом из архивов востановления системы. AVG Antispyware и Panda Antirootkit ничего не нашли. Отправил на techspot.com логи, но пока что-то несколько дней ответа нет.

    Попап никуда не пропал. Spybot-S&D выдает сообщения с разными URL вида:
    Код:
    IE helper has detected an URL that is known as malicious resource.
    http://gomyron.com/MTcxMDg=/2/26114/ax=.DriveCleaner 2006
    Логи AVZ и свежий лог HJT получил, но отправить их с зараженного ноута не получилось -- при открытии окна создания новой темы в поле редактора сообщения грузится страница попапа, после чего возникают модальные окошки с просьбой загрузить и установить сканнер, от которых можно избавиться, только нажав Ok, после отмены выполнения/записи файла либо подвисает страница с формой создания сообщения, либо не грузится страничка с формой прикрепления аттача.

    Посылаю сообщение с логами с другого компа.
    Буду крайне признателен за помощь!
    Вложения Вложения
    Последний раз редактировалось VAO; 08.01.2008 в 18:30.

  2. Реклама
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Пофиксите в HijackThis:
    Код:
    O20 - Winlogon Notify: botreg- - C:\WINDOWS\
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\PROGRA~1\COMMON~1\System\D_4362.dll','');
     DeleteFile('C:\PROGRA~1\COMMON~1\System\D_4362.dll');
     DelBHO('{FDEA2C12-A476-A13C-2B4C-A3BD546315C2}');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил.
    Сделайте новые логи, начиная с п.10 правил.

    Добавлено через 1 минуту

    P.S. Я бы советовал заменить троицу Avast/AntiSpyware/Adaware одним нормальным антивирусом.
    Последний раз редактировалось Bratez; 08.01.2008 в 18:38. Причина: Добавлено
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    08.01.2008
    Сообщений
    2
    Вес репутации
    33
    В HijackThis почистил, скрипт в AVZ выполнил, карантин загрузил (там кроме этой D_4362.dll еще dll от MSI была, на которую AVZ всегда ругается, я ее тоже на всякий случай пристегнул).

    Новые логи прикладываю.

    > P.S. Я бы советовал заменить троицу Avast/AntiSpyware/Adaware одним нормальным антивирусом.
    +++
    Вообще-то, изначально был один Avast :-o
    AntiSpyware и Adaware появились в процессе попыток решить проблему.
    Надеялся, что avast+EQSecure хватит, но жизня показала, что это не так :-(
    Если есть возможность, можно поподробнее насчет того, какой "один нормальный антивирус" поможет избежать подобных проблем в будущем?
    Особенно учитывая, что ноут пользуется достаточно некомпетентным в таких делах человеком...
    Насколько мне известно, народ и с Nod32, и с Касперским такие штуки ловит.
    Мне на работе корпоративного файрвола и Nod32 хватает, дома на компе мы со старшеньким одним авастом обходимся, пока проблем не было, а вот жена второй раз с сентября на свой ноут что-то поймала.
    Вложения Вложения

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    рекомендуемые антивирусы

    EQService.exe - это что ? китайский антиспай ....
    что из этого используете ...
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику

  6. #5
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,539
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 4
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\progra~1\\common~1\\system\\d_4362.dll - Trojan-Downloader.Win32.Delf.dtf (DrWEB: Trojan.DownLoader.38492)


  • Уважаемый(ая) VAO, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 0
      Последнее сообщение: 30.11.2011, 15:10
    2. много много процессов + блокировка доступа на ваш ресурс (заявка №64965)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 2
      Последнее сообщение: 12.04.2011, 21:00
    3. Выпущено обновление Dr.Web GUI Scanner
      От ALEX(XX) в разделе Антивирусы
      Ответов: 0
      Последнее сообщение: 04.06.2009, 20:15
    4. Обновление для Dr.Web GUI Scanner
      От SDA в разделе Антивирусы
      Ответов: 0
      Последнее сообщение: 16.05.2009, 14:26
    5. Ответов: 8
      Последнее сообщение: 22.02.2009, 01:36

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00600 seconds with 22 queries