Показано с 1 по 16 из 16.

подмена адреса DSN (заявка № 22855)

  1. #1
    Junior Member Репутация
    Регистрация
    05.03.2008
    Сообщений
    21
    Вес репутации
    59

    Thumbs up подмена адреса DSN

    Здравствуйте!
    Совсем недавно обращалась за помощью из-за того, что срезались сертификаты.
    но было принято решение переустановить Win.
    .....переустановили, но одна проблема сменилась другой.
    Кроме того установили некоторые приложения (до установки антивируса)
    так же установили Symantec.
    Через один день стали высвечиваться сообщения об ошибках (world, outlook, winvare.exe) последнее высвечивалось сразу после загрузки Win.
    Через ещё день стали самозагружаться "клубничные" сайты,
    выяснилось, что периодически подменяется адрес DSN сервера.
    При этом Symantec ничего не находил и не находит.
    AVZ при запуске сразу перезагружал комп, при запуске утилиты c флешки CureIT-тоже
    После того как файл winvare.exe(при он-лайн проверке на сайте DrWeb он был идентифицирован как вирус BackDoor.HaxDoor.554) был перемещен в корзину
    1-й стандартный скрипт AVZ выполнился, 2-й не может (программа виснет в начале проверки диска)
    +Win стал не сразу запускаться, а при выключении высвечиваются окна о завершении программ - Explorer.exe и Connection Tray.
    Подскажите как избавиться от этой напасти.

    P.S. Логи которые удалось сделать прикрепляю.
    Заранее спасибо.
    Последний раз редактировалось Регина; 14.05.2008 в 15:34.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Пофиксите
    Код:
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.110 85.255.112.108
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.110 85.255.112.108
    O19 - User stylesheet: C:\WINDOWS\257900.css
    O20 - Winlogon Notify: ovrscn - C:\WINDOWS\SYSTEM32\ovrscn.dll
    Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('Hsrx83.sys','');
     StopService('ovwscn');
     DeleteService('ovwscn');
     StopService('ovrscn');
     DeleteService('ovrscn');
     QuarantineFile('ovrscn.dll','');
     QuarantineFile('kdamz.exe','');
     QuarantineFile(' C:\WINDOWS\257900.css','');
     QuarantineFile('C:\WINDOWS\system32\ovrscn.dll','');
     DeleteFile('C:\WINDOWS\system32\ovrscn.dll');
     DeleteFile(' C:\WINDOWS\257900.css');
     DeleteFile('kdamz.exe');
     DeleteFile('ovrscn.dll');
     DeleteFile('Hsrx83.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки закачайте карантин и повторите логи.

  4. #3
    Junior Member Репутация
    Регистрация
    05.03.2008
    Сообщений
    21
    Вес репутации
    59
    Карантин выслала.
    А с файлом winvare.exe (который был помещен в корзину) ничего не надо делать или его можно удалить?

    Новые логи прилагаю.
    Последний раз редактировалось Регина; 14.05.2008 в 15:34.

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    скачайте C:\WINDOWS\System32\Drivers\Hsrx83.sys - force delete
    пофиксите ...
    Код:
    O20 - Winlogon Notify: ovrscn - C:\WINDOWS\SYSTEM32\ovrscn.dll
    выполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('ovrscn.dll','');
     QuarantineFile('kdamz.exe','');
     BC_DeleteSvc('ovwscn');
     QuarantineFile('C:\WINDOWS\system32\ovwscn.sys','');
     BC_DeleteSvc('ovrscn');
     QuarantineFile('Hsrx83.sys','');
     DeleteFile('Hsrx83.sys');
     BC_DeleteSvc('Hsrx83');
     DeleteFile('C:\WINDOWS\system32\ovrscn.sys');
     DeleteFile('C:\WINDOWS\system32\ovwscn.sys');
     DeleteFile('C:\WINDOWS\system32\kdamz.exe');
     DeleteFile('ovrscn.dll');
     DeleteFile('C:\WINDOWS\system32\ovrscn.dll');
     DeleteFile('c:\windows\system32\klogini.dll');
     DeleteFile('c:\windows\system32\fltr. a3d');
     DeleteFile('c:\windows\system32\redir2.a3d');
     DeleteFile('c:\windows\system32\p3.ini');  
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...
    повторите логи ...
    Последний раз редактировалось Rene-gad; 14.05.2008 в 14:41. Причина: синтаксис скрипта

  6. #5
    Junior Member Репутация
    Регистрация
    05.03.2008
    Сообщений
    21
    Вес репутации
    59
    Поссылке программку скачала - поясните пожалуйста что с ней надо дальше делать ( как поступить с C:\WINDOWS\System32\Drivers\Hsrx83.sys - force delete

    Добавлено через 28 минут

    с программкой разобралась, строку профиксила
    при запуске лога в AVZ появился протокол - Ошибка скрипта: ';' expected, позиция [12:2]
    Последний раз редактировалось Регина; 14.05.2008 в 14:34. Причина: Добавлено

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Регина Посмотреть сообщение
    при запуске лога в AVZ появился протокол - Ошибка скрипта: ';' expected, позиция [12:2]
    fixed, попробуйте этот же скрипт еще раз запустить.

  8. #7
    Junior Member Репутация
    Регистрация
    05.03.2008
    Сообщений
    21
    Вес репутации
    59
    Вроде всё прошло нормально (если не считать что при после выполнения скрипта было найдено какое-то новое оборудование (не устанавливала) и появилось сообщение о восстановлении системы после серьезной ошибки)
    После выпоннения стандартного скрипта и перезагрузки комп. данное сообщение больше не появлялось + Win вроде нормально загрузился.
    Вложения Вложения

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Пофиксите
    O20 - Winlogon Notify: ovrscn - C:\WINDOWS\
    Если после перезагрузки запись больше не появится, то это хороший знак

  10. #9
    Junior Member Репутация
    Регистрация
    05.03.2008
    Сообщений
    21
    Вес репутации
    59
    Профиксила, перезагрузила , посмотрела снова - и о чудо! - этой строки там не обнаружилось.
    Только очень мучает вопрос - что делать с файлом winvare.exe, который так и лежит в корзине (который DrWeb в онлайне определил как вирус)

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Регина Посмотреть сообщение
    что делать с файлом winvare.exe, который так и лежит в корзине (который DrWeb в онлайне определил как вирус)
    Очистите корзину и темп-папки: http://virusinfo.info/showthread.php?t=10025
    Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

    Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!

  12. #11
    Junior Member Репутация
    Регистрация
    05.03.2008
    Сообщений
    21
    Вес репутации
    59
    Вроде папки очистила с помощью программки - только она установиласть на непонятном языке , а как переделать на Eng. не понимаю.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Регина Посмотреть сообщение
    она установиласть на непонятном языке , а как переделать на Eng. не понимаю.
    Третий (средний) пункт меню, предпоследняя строчка в PopUp-меню

  14. #13
    Junior Member Репутация
    Регистрация
    05.03.2008
    Сообщений
    21
    Вес репутации
    59
    С программой всё получилось.
    Надо ли ещё что-то делать.

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Регина Посмотреть сообщение
    Надо ли ещё что-то делать.
    Следовать заветам книги Безопасный Интернет

  16. #15
    Junior Member Репутация
    Регистрация
    05.03.2008
    Сообщений
    21
    Вес репутации
    59
    Я не верю..... это просто праздник какой-то!!!
    Спасибо!

  17. #16
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 6
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\kdamz.exe - Trojan.Win32.Monder.gen (DrWEB: Trojan.Virtumod.based.14)

  • Уважаемый(ая) Регина, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Подмена адреса интернета на другой
      От antiseptic78 в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 21.06.2010, 10:29
    2. Подмена IP адреса DHCP
      От Denis_Ulyev в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 29.04.2010, 12:46
    3. Подмена MAC-адреса DNS-сервера, вирус?
      От AllGrit в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 18.08.2008, 19:29
    4. Пролема с IP, подмена адреса
      От tigren88 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 21.05.2007, 10:39
    5. Перехватчики, подмена адреса
      От mA_sat в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 13.03.2007, 11:46

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01056 seconds with 20 queries