Junior Member
Вес репутации
60
Помогите вылечить IE (Sanitardiska)
IE сам открывает новые окна типа http://89.188.16.10/go/?cmp=vm_mg_ot...d=dwm.exe&url=
Firefox так же открывает новые окна.
в свойствах обозревателя при каждом запуске куки устанавливаются в "принимать со всех сайтов"
Пробовал всем на свете лечить, утилита от drweb находит VBS, но видимо до конца не может удалить. Adaware и nod32 тоже не спасают.
Заранее спасибо!
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Обязательно запустите AVZ с правами администратора!
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL','');
QuarantineFile('C:\Users\SS83B7~1.MED\AppData\Local\Temp\ursrr.dll','');
DeleteFile('C:\Users\SS83B7~1.MED\AppData\Local\Temp\ursrr.dll');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
Загрузите карантин согласно приложению №3 правил. Повторите логи.
Junior Member
Вес репутации
60
Закачал файлик, спасайте.
А логи где? Скрипт не помог?
Junior Member
Вес репутации
60
в процессе
Скрипт видимо не помог, потому что сейчас даже виндовский экслорер закрывается пока не убить все RUNDLL32 HOSTED процессы.
Плюс outlook перестал запускаться, то есть он стартует и жрет до 50% процессора и все, висит.
Файлики прилагаю.
Вложения
Важно:
Под Вистой AVZ надо запускать от имени Администратора , для этого нажмите avz.exe правой кнопкой мыши и выберите в контекстном меню соответствующий пункт.
Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Users\SS83B7~1.MED\AppData\Local\Temp\ursrr.dll','');
QuarantineFile('C:\Users\SS83B7~1.MED\AppData\Local\Temp\sidcdier.dll','');
DeleteFile('C:\Users\SS83B7~1.MED\AppData\Local\Temp\sidcdier.dll');
DeleteFile('C:\Users\SS83B7~1.MED\AppData\Local\Temp\ursrr.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил
Сделайте новые логи (опять же запуская от имени Администратора).
I am not young enough to know everything...
Junior Member
Вес репутации
60
продолжение 2
файлы после запуска второго скрипта под "администратором"
Вложения
Отлично. Удалены две модификации Vundo (Virtumonde).
На всякий случай пришлите по правилам этот файл:
C:\Windows\system32\psqlpwd.dll
I am not young enough to know everything...
Junior Member
Вес репутации
60
Отправил dll в zip'е
Добавлено через 18 минут
IE и лис работают нормально теперь, проблем нет. Единственное Outlook не хочет работать, зависает после старта и жрет проц. Переустанавливал.
Последний раз редактировалось serhio777; 13.02.2008 в 17:53 .
Причина: Добавлено
Присланый файл чистый.
Больше ничего подозрительного не вижу.
I am not young enough to know everything...
Junior Member
Вес репутации
60
Спасибо, буду чинить outlook.
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 3 Обработано файлов: 16 В ходе лечения обнаружены вредоносные программы:
c:\\users\\ss83b7~1.med\\appdata\\local\\temp\\sid cdier.dll - Trojan.Win32.Monder.gen (DrWEB: Trojan.Virtumod.272) c:\\users\\ss83b7~1.med\\appdata\\local\\temp\\urs rr.dll - not-a-virus:AdWare.Win32.Virtumonde.imh (DrWEB: Trojan.Virtumod.274)