-
Junior Member
- Вес репутации
- 59
три иконки на десктопе - viruswebprotect2008.com
Зараза ведет себя следующим образом:
1. создает три иконки на десктопе - все ведут на viruswebprotect2008.com
2. подменяет "домашнюю страницу" эксплорера - softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2 которая редиректит на www.sys-cleaner.com/?wmid=6010&mid=MjI6NDA6ODk=&lndid=40
3. постоянно (раз в 2-3 минуты) вываливается предупреждение о том, что компьютер заражен и срочно требуется проверка
4. изредка самозапускается новое окно эксплорера со страницей xpantivirussecurity.com/2008/2/_freescan.php?aid=880028
5. после 20-30 минут работы в системном трее появляется иконка (красный кружок с белым крестом внутри), который не реагирует на левую и правую кнопки мыши. Из него лезут предупреждения о том, что компьютер заражен.
6. В диспетчере задач НИКАКИХ левых процессов нет - все всплывающие сообщения порождаются процессами iexplore.exe и csrss.exe
7. Процесс, порождающий иконку в трее установить не удалось.
Заранее благодарен за любую помощь.
Последний раз редактировалось Док; 04.06.2008 в 12:55.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Отключите антивирус!
Пофиксить
Код:
O3 - Toolbar: (no name) - {E738884B-E75D-4AC3-B03F-62F7E7DD853E} - (no file)
O17 - HKLM\System\CCS\Services\Tcpip\..\{7600E72B-389F-43A1-9E88-2205FA2A7595}: NameServer = 85.255.116.146,85.255.112.88
O17 - HKLM\System\CCS\Services\Tcpip\..\{94CA07BB-DF9C-4EE9-BFAC-F1F91300360B}: NameServer = 85.255.116.146,85.255.112.88
O17 - HKLM\System\CCS\Services\Tcpip\..\{D5EBCAF9-91C0-4714-9B69-751B044B7CE2}: NameServer = 85.255.116.146,85.255.112.88
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.146 85.255.112.88
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.146 85.255.112.88
O21 - SSODL: vbksrofa - {8D1CD256-0B2E-4FA1-A44C-A7084E205F6C} - C:\WINDOWS\vbksrofa.dll
O21 - SSODL: mpfanvqg - {D7AEAC0C-25AA-4259-B632-D5E328D8B59D} - C:\WINDOWS\mpfanvqg.dll
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('tuvVOFXn.dll','');
QuarantineFile('kdifv.exe','');
QuarantineFile('WLCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\msjava32.dll','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Vbf26.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Ein37.sys','');
QuarantineFile('C:\WINDOWS\vbksrofa.dll','');
QuarantineFile('C:\WINDOWS\system32\tuvVOFXn.dll','');
QuarantineFile('C:\WINDOWS\system32\nnnNdcda.dll','');
QuarantineFile('C:\WINDOWS\mpfanvqg.dll','');
QuarantineFile('C:\WINDOWS\fvowketqonp.dll','');
DeleteService('Ein37');
DeleteService('Vbf26');
DeleteFile('C:\WINDOWS\fvowketqonp.dll');
DeleteFile('C:\WINDOWS\mpfanvqg.dll');
DeleteFile('C:\WINDOWS\system32\nnnNdcda.dll');
DeleteFile('C:\WINDOWS\system32\tuvVOFXn.dll');
DeleteFile('C:\WINDOWS\vbksrofa.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Ein37.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Vbf26.sys');
DeleteFile('WLCtrl32.dll');
DeleteFile('kdifv.exe');
DeleteFile('C:\WINDOWS\system32\kdifv.exe');
DeleteFile('tuvVOFXn.dll');
DelBHO('{D6309B93-6C78-47FF-A4F9-FDDD28EAE1D3}');
DelBHO('{89A9CC26-4818-4FFD-82E0-9C3CF815FEB2}');
DelBHO('{2E529F87-2B52-438C-9E7C-7D0A0DD910BA}');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6 );
ExecuteRepair(8 );
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:http://virusinfo.info/upload_virus.php?tid=23058
MyWebSearch удалите это адваре,повторите логи.
-
-
Junior Member
- Вес репутации
- 59
Спасибо!
Все вроде хорошо, карантин выслал.
Извините за бестолковость, но как удалить адваре?
-
Через установку/удаление программ.
Логи повторите.
tuvVOFXn.dll-Trojan-Downloader.Win32.ConHook.rt
vbksrofa.dll,fvowketqonp.dll-Trojan.Win32.Vapsup.ffv
msjava32.dll,mpfanvqg.dll-свежие
Последний раз редактировалось Гриша; 19.05.2008 в 13:48.
-
-
Junior Member
- Вес репутации
- 59
в установке\удалении ничего похожего не нашел
Последний раз редактировалось Док; 04.06.2008 в 12:55.
-
Пофиксить
Код:
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\3.bin\MWSSRCAS.DLL (file missing)
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\3.bin\MWSSRCAS.DLL (file missing)
O2 - BHO: ShoppingReport - {100EB1FD-D03E-47FD-81F3-EE91287F9465} - C:\Program Files\ShoppingReport\Bin\2.0.26\ShoppingReport.dll (file missing)
O2 - BHO: (no name) - {209C8206-29C7-45A9-8AA0-1CA27F024D7E} - C:\WINDOWS\system32\nnnNdcda.dll (file missing)
O2 - BHO: (no name) - {2E529F87-2B52-438C-9E7C-7D0A0DD910BA} - C:\WINDOWS\system32\tuvVOFXn.dll (file missing)
O2 - BHO: Microsoft MSJava 32 - {43F7497C-7687-4DEA-A057-F21BD81BC896} - C:\WINDOWS\system32\msjava32.dll
O20 - Winlogon Notify: tuvVOFXn - C:\WINDOWS\
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{43F7497C-7687-4DEA-A057-F21BD81BC896}');
DelBHO('{2E529F87-2B52-438C-9E7C-7D0A0DD910BA}');
DelBHO('{209C8206-29C7-45A9-8AA0-1CA27F024D7E}');
DelBHO('{100EB1FD-D03E-47FD-81F3-EE91287F9465}');
DelBHO('{00A6FAF1-072E-44cf-8957-5838F569A31D}');
DeleteFile('C:\Program Files\MyWebSearch\SrchAstt\3.bin\MWSSRCAS.DLL');
DeleteFile('C:\Program Files\ShoppingReport\Bin\2.0.26\ShoppingReport.dll');
DeleteFile('C:\WINDOWS\system32\nnnNdcda.dll');
DeleteFile('C:\WINDOWS\system32\tuvVOFXn.dll');
DeleteFile('C:\WINDOWS\system32\msjava32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Повторите логи.
-
-
Junior Member
- Вес репутации
- 59
Последний раз редактировалось Док; 04.06.2008 в 12:55.
-
-
-
Junior Member
- Вес репутации
- 59
жалоб нет, спасибище агромадное!
-
Нам интересно Ваше мнение о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
-