Показано с 1 по 16 из 16.

Троян Redirect (заявка № 19850)

  1. #1
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.09.2007
    Сообщений
    255
    Вес репутации
    73

    Thumbs up Троян Redirect

    Здравствуйте, уважаемые Хэлперы !
    Обращаюсь к вам с просьбой о помощи в лечении от паразитов. КИС 7 нашел троян Redirect , а значит справился с ним. Но в работе компа появились странные изменения, и особенно я увидел их сейчас : выполняя правила , я спокойно скачал HiJackThis, AVZ4, а вот при попытке сквчать cureit у компа начались глюки. Сначала не хотел открывать страницу ftp Вэба, я изменил статус сетевого экрана КИСа с максимального до минимального. На страницу фтп пустил, а вот при скачивании стали открываться окошки состояния скачивания все больше и больше, я остановил процесс только с помощью Диспетчера задач. Снова попытался скачать, скачал, но под каким то станным именем "CAAZG96V
    Dr.Web(R в кружке) Cureit !
    Doktor Web. Ltd"
    меня это насторожило и перед тем как запускать в безопасном режиме я решил посоветоваться с вами. Эти глюки связаны либо с каким то зловредом у меня или может быть враги "побили" ссылку в разделе Правила. Пожалуйста, подскажите, что мне делать дальше.
    С уважением,

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Скорее всего касперский не всё удалил и редерект где-то остался, поэтому Вас так и кидало. Дайте логи АВЗ и HiJackThis. Посмотрим, если там так уж страшно тогда порекомендуем повоевать cureit

  4. #3
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.09.2007
    Сообщений
    255
    Вес репутации
    73
    Логи выполнил, отправляю.
    Последний раз редактировалось vd7; 05.09.2008 в 10:49.

  5. #4
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.09.2007
    Сообщений
    255
    Вес репутации
    73
    Попутно опишу проблемы скоторых я заметил изменения в компе.
    После того как КИС выдал сообщение о трояне я заметил, что у меня пропало окошко слева внизу Переключения регистра языков и в автозагрузку попал Виндов Меседжер (2 зеленых человечка справа внизу). Причем это все при работе под ограниченной учетной запмсью. При работе под администратором никаких изменений нет.
    Сегодня при попытке загрузить Cureit произошли сбои о которых я уже писал и трафик исходящий при загрузке вырос в 4 раза.
    Пожалуйста, помогите вылечить !

    Добавлено через 45 минут

    При проверке флэшки КИС уже в который раз выдает , что не может проверить файл с адресом где-то в папке Вебмани, Advizor. В установке и удалении программ я попытался вообще удалить программу с названием Web Money Advisor....но она не удаляется. Раньше никогда такого небыло,... в дополнение ко всему предыдущему.
    Последний раз редактировалось vd7; 15.03.2008 в 03:39. Причина: Добавлено

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    удалить остатки симантека, он совсем не нужен на данном компьютере когда есть кис.Утилита на сайте симантека: http://service1.symantec.com/SUPPORT...05103109480139

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\temp.exe','');
     QuarantineFile('C:\Program Files\Adobe\Adobe Premiere Elements 2.0\epic_regs.dll','');
     QuarantineFile('C:\Program Files\Messenger\msmsgs.exe','');
     QuarantineFile('C:\WINDOWS\System32\GEARSec.exe','');
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=19850
    Последний раз редактировалось drongo; 15.03.2008 в 10:45.

  7. #6
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.09.2007
    Сообщений
    255
    Вес репутации
    73
    Пожалуйста, подскажите, что конкретно, какую программу надо скачать и как запустить с указанного Вами ресурса, я не шпрехаю почти совсем, а там куча программ. Помогите, пожалуйста.

    Добавлено через 21 минуту

    Там есть типа переключателя на русский язык, но после переключения переводит совершенно на другие ресурсы - о деинсталляции ни слова.
    Я на свой страх и риск скачал программу под №1 , там вроде упоминается об деинсталляции (The Norton Removal Tool uninstalls all Norton). Скачал, запустил, он что то (REMOVAL) выполнил, но после ФИНИШ открыл опять какой то ресурс нерусский. Это все что надо было сделать для инсталляции ? Сейчас выполню логи, а то подгружаю вас пионерскими вопросами.

    Добавлено через 21 минуту

    Указания по деинстлляции , скрин в AVZ, лог выполнил, загрузил согласно правила с данными
    Файл сохранён как080315_041003_virus_47db926b0aa16.zipРазмер файла79589MD5ebfc57b1949ada0d63db8e677d89aa67

    Посмотрите, пожалуйста, какие могут быть рекомендации для усиления защищенности компа ? Можно ли включить Восстановление системы и создать новую точку?
    Спасибо.

    Добавлено через 2 часа 17 минут
    Последний раз редактировалось vd7; 15.03.2008 в 14:34. Причина: Добавлено

  8. #7
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.09.2007
    Сообщений
    255
    Вес репутации
    73
    Удалось ли мне отправить лог с карантином ? Надо ли после такого заражения трояном менять все пароли, в т.ч. и системные ?
    Прошу ответить.

    Добавлено через 18 минут

    Попытался переместить ярлыкки Internet Explorer и Microsoft Outlook с рабочего стола в папку Мои документы и не получилось . Нормально ли это , не является ли эта блокировка работой какого либо зловреда ?
    Последний раз редактировалось vd7; 16.03.2008 в 07:35. Причина: Добавлено

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    Новые логи сделайте как в первом сообщении и прикрепить к вашему следующему посту- посмотрим : удалился или нет.
    карантин пришёл .в той папке нет temp.exe, поищите пожалуйста по всему диску с авз(2 приложение правил)
    Последний раз редактировалось drongo; 16.03.2008 в 10:32.

  10. #9
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.09.2007
    Сообщений
    255
    Вес репутации
    73
    Логи выполнил , прикрепляю.
    При поиске файла temp.exe , согласно 2 приложению правил получил вот такой ответ AVZ:
    Ошибка карантина файла, попытка прямого чтения (temp.exe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\temp.exe)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\temp.exe)
    Карантин с использованием прямого чтения - ошибка
    Последний раз редактировалось vd7; 05.09.2008 в 10:48.

  11. #10
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.09.2007
    Сообщений
    255
    Вес репутации
    73
    При переключении на учетную запись с ограничением пользователя, Языковая панель не активна, т.е. я не могу поместить значек регистра на рабочий стол. Почему, не понимаю. Пожалуйста, поясните, не является ли это результатом работы зловреда.

    Добавлено через 5 часов 43 минуты

    Не смог найти temp.exe ни через пуск, ни спомощью AVZ "Поиск файлов на диске".
    Что делать дальше ?

    Добавлено через 4 часа 51 минуту

    В теме Как полностью обезопаситься от autorun-нов? на форуме прочитал :"
    Цитата:
    Каким образом можно восстановить отображение скрытых и системных файлов, которые не показываются даже после снятия галочки в "Сервис-Свойства папки-Скрывать защищённые системные файлы"?
    Это признак инфекции.
    Начните с темы в "Помогите", выполните правила и вам помогут.


    Во время поиска файла temp.exe я пытался снимать галку, и у меня тоже ничего не происходило....А значит - инфицирован.
    Уважаемые Хэлперы, очень надеюсь на вашу помощь !
    Последний раз редактировалось vd7; 16.03.2008 в 23:52. Причина: Добавлено

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт ....
    Код:
    begin
    ExecuteRepair(6);
    ExecuteRepair(8);
    ExecuteRepair(9);
    RebootWindows(true);
    end.
    какие проблемы остались ?

  13. #12
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.09.2007
    Сообщений
    255
    Вес репутации
    73
    После всех перечисленных мною подозрений мне было предложено избавиться от остатков симантека а также выслать карантин для проверки. Указанное я выполнил, выслал контрольные логи , а вот файл temp.exe мне так и не удалось найти и поместить в карантин. Скрипт указанный Вами я выполнил.
    Что мне следует сделать далее ?

  14. #13
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    У Вас какая конкретно версия Касперского установлена?

  15. #14
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.09.2007
    Сообщений
    255
    Вес репутации
    73
    КИС 7.0.1.321 b

    Добавлено через 9 часов 35 минут

    Уважаемые Хэлперы, я так и не смог найти temp.exe в карантин. Особых тревожных сигналов в работе ноута пока не наблюдаю. Надо ли делать еще контрольные логи ?
    Последний раз редактировалось vd7; 17.03.2008 в 11:04. Причина: Добавлено

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    в ваших логах не видно ничего вредоносного ...
    Последний раз редактировалось V_Bond; 17.03.2008 в 12:01.

  17. #16
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.09.2007
    Сообщений
    255
    Вес репутации
    73
    Спасибо за помощь! Чем могу быть вам полезен ?
    С уважением,

  • Уважаемый(ая) vd7, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. add redirect
      От joshtheman777 в разделе Malware Removal Service
      Ответов: 7
      Последнее сообщение: 25.08.2010, 22:07
    2. Google redirect
      От schofield в разделе Malware Removal Service
      Ответов: 0
      Последнее сообщение: 01.07.2010, 01:34
    3. Possible DNSChanger\Redirect
      От exT1m в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 13.02.2010, 21:51
    4. Help with Browser Redirect
      От meandeef в разделе Malware Removal Service
      Ответов: 4
      Последнее сообщение: 21.11.2009, 05:31
    5. Google Redirect Adware
      От PMDX в разделе Malware Removal Service
      Ответов: 5
      Последнее сообщение: 20.06.2009, 10:40

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00749 seconds with 19 queries