-
Троян Redirect
Здравствуйте, уважаемые Хэлперы !
Обращаюсь к вам с просьбой о помощи в лечении от паразитов. КИС 7 нашел троян Redirect , а значит справился с ним. Но в работе компа появились странные изменения, и особенно я увидел их сейчас : выполняя правила , я спокойно скачал HiJackThis, AVZ4, а вот при попытке сквчать cureit у компа начались глюки. Сначала не хотел открывать страницу ftp Вэба, я изменил статус сетевого экрана КИСа с максимального до минимального. На страницу фтп пустил, а вот при скачивании стали открываться окошки состояния скачивания все больше и больше, я остановил процесс только с помощью Диспетчера задач. Снова попытался скачать, скачал, но под каким то станным именем "CAAZG96V
Dr.Web(R в кружке) Cureit !
Doktor Web. Ltd"
меня это насторожило и перед тем как запускать в безопасном режиме я решил посоветоваться с вами. Эти глюки связаны либо с каким то зловредом у меня или может быть враги "побили" ссылку в разделе Правила. Пожалуйста, подскажите, что мне делать дальше.
С уважением,
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Скорее всего касперский не всё удалил и редерект где-то остался, поэтому Вас так и кидало. Дайте логи АВЗ и HiJackThis. Посмотрим, если там так уж страшно тогда порекомендуем повоевать cureit
-
Логи выполнил, отправляю.
Последний раз редактировалось vd7; 05.09.2008 в 10:49.
-
Попутно опишу проблемы скоторых я заметил изменения в компе.
После того как КИС выдал сообщение о трояне я заметил, что у меня пропало окошко слева внизу Переключения регистра языков и в автозагрузку попал Виндов Меседжер (2 зеленых человечка справа внизу). Причем это все при работе под ограниченной учетной запмсью. При работе под администратором никаких изменений нет.
Сегодня при попытке загрузить Cureit произошли сбои о которых я уже писал и трафик исходящий при загрузке вырос в 4 раза.
Пожалуйста, помогите вылечить !
Добавлено через 45 минут
При проверке флэшки КИС уже в который раз выдает , что не может проверить файл с адресом где-то в папке Вебмани, Advizor. В установке и удалении программ я попытался вообще удалить программу с названием Web Money Advisor....но она не удаляется. Раньше никогда такого небыло,... в дополнение ко всему предыдущему.
Последний раз редактировалось vd7; 15.03.2008 в 03:39.
Причина: Добавлено
-
удалить остатки симантека, он совсем не нужен на данном компьютере когда есть кис.Утилита на сайте симантека: http://service1.symantec.com/SUPPORT...05103109480139
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\temp.exe','');
QuarantineFile('C:\Program Files\Adobe\Adobe Premiere Elements 2.0\epic_regs.dll','');
QuarantineFile('C:\Program Files\Messenger\msmsgs.exe','');
QuarantineFile('C:\WINDOWS\System32\GEARSec.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=19850
Последний раз редактировалось drongo; 15.03.2008 в 10:45.
-
-
Пожалуйста, подскажите, что конкретно, какую программу надо скачать и как запустить с указанного Вами ресурса, я не шпрехаю почти совсем, а там куча программ. Помогите, пожалуйста.
Добавлено через 21 минуту
Там есть типа переключателя на русский язык, но после переключения переводит совершенно на другие ресурсы - о деинсталляции ни слова.
Я на свой страх и риск скачал программу под №1 , там вроде упоминается об деинсталляции (The Norton Removal Tool uninstalls all Norton). Скачал, запустил, он что то (REMOVAL) выполнил, но после ФИНИШ открыл опять какой то ресурс нерусский. Это все что надо было сделать для инсталляции ? Сейчас выполню логи, а то подгружаю вас пионерскими вопросами.
Добавлено через 21 минуту
Указания по деинстлляции , скрин в AVZ, лог выполнил, загрузил согласно правила с данными
Файл сохранён как080315_041003_virus_47db926b0aa16.zipРазмер файла79589MD5ebfc57b1949ada0d63db8e677d89aa67
Посмотрите, пожалуйста, какие могут быть рекомендации для усиления защищенности компа ? Можно ли включить Восстановление системы и создать новую точку?
Спасибо.
Добавлено через 2 часа 17 минут
Последний раз редактировалось vd7; 15.03.2008 в 14:34.
Причина: Добавлено
-
Удалось ли мне отправить лог с карантином ? Надо ли после такого заражения трояном менять все пароли, в т.ч. и системные ?
Прошу ответить.
Добавлено через 18 минут
Попытался переместить ярлыкки Internet Explorer и Microsoft Outlook с рабочего стола в папку Мои документы и не получилось . Нормально ли это , не является ли эта блокировка работой какого либо зловреда ?
Последний раз редактировалось vd7; 16.03.2008 в 07:35.
Причина: Добавлено
-
Новые логи сделайте как в первом сообщении и прикрепить к вашему следующему посту- посмотрим : удалился или нет.
карантин пришёл .в той папке нет temp.exe, поищите пожалуйста по всему диску с авз(2 приложение правил)
Последний раз редактировалось drongo; 16.03.2008 в 10:32.
-
-
Логи выполнил , прикрепляю.
При поиске файла temp.exe , согласно 2 приложению правил получил вот такой ответ AVZ:
Ошибка карантина файла, попытка прямого чтения (temp.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\temp.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\temp.exe)
Карантин с использованием прямого чтения - ошибка
Последний раз редактировалось vd7; 05.09.2008 в 10:48.
-
При переключении на учетную запись с ограничением пользователя, Языковая панель не активна, т.е. я не могу поместить значек регистра на рабочий стол. Почему, не понимаю. Пожалуйста, поясните, не является ли это результатом работы зловреда.
Добавлено через 5 часов 43 минуты
Не смог найти temp.exe ни через пуск, ни спомощью AVZ "Поиск файлов на диске".
Что делать дальше ?
Добавлено через 4 часа 51 минуту
В теме Как полностью обезопаситься от autorun-нов? на форуме прочитал :"
Цитата:
Каким образом можно восстановить отображение скрытых и системных файлов, которые не показываются даже после снятия галочки в "Сервис-Свойства папки-Скрывать защищённые системные файлы"?
Это признак инфекции.
Начните с темы в "Помогите", выполните правила и вам помогут.
Во время поиска файла temp.exe я пытался снимать галку, и у меня тоже ничего не происходило....А значит - инфицирован.
Уважаемые Хэлперы, очень надеюсь на вашу помощь !
Последний раз редактировалось vd7; 16.03.2008 в 23:52.
Причина: Добавлено
-
выполните скрипт ....
Код:
begin
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
RebootWindows(true);
end.
какие проблемы остались ?
-
-
После всех перечисленных мною подозрений мне было предложено избавиться от остатков симантека а также выслать карантин для проверки. Указанное я выполнил, выслал контрольные логи , а вот файл temp.exe мне так и не удалось найти и поместить в карантин. Скрипт указанный Вами я выполнил.
Что мне следует сделать далее ?
-
У Вас какая конкретно версия Касперского установлена?
-
КИС 7.0.1.321 b
Добавлено через 9 часов 35 минут
Уважаемые Хэлперы, я так и не смог найти temp.exe в карантин. Особых тревожных сигналов в работе ноута пока не наблюдаю. Надо ли делать еще контрольные логи ?
Последний раз редактировалось vd7; 17.03.2008 в 11:04.
Причина: Добавлено
-
в ваших логах не видно ничего вредоносного ...
Последний раз редактировалось V_Bond; 17.03.2008 в 12:01.
-
-
Спасибо за помощь! Чем могу быть вам полезен ?
С уважением,