Показано с 1 по 15 из 15.

Вирус перехватывает запуск браузеров Opera и Firefox (заявка № 23555)

  1. #1
    Junior Member Репутация
    Регистрация
    28.05.2008
    Сообщений
    8
    Вес репутации
    32

    Thumbs up Вирус перехватывает запуск браузеров Opera и Firefox

    27/05/2008
    Обнаружил, что перестали запускаться все браузеры, включая только что установленные или запускаемые с флэшки (Opera, Firefox), кроме IE, который подменяет ссылки: запускаю поиск в яндексе - открывается Google, часть ссылок подменяется скриптом, открывающим страницу, начинающуюся на asiuoqgusdbaksd.com/go.php...
    Под другим пользователем заходил - то же самое.
    На вирусы проверял - ничего не нашел...

    AVZ пишет:
    >> Маскировка драйвера: Base=F82F0000, размер=16384, имя = "\??\globalroot\systemroot\system32\drivers\clbdri ver.sys"

    Такого файла не нашел на С:

    В интернете эта тема уже поднималась ровно в тот же день тут:
    http://www.caitscoven.co.uk/index.ph...6053.msg271164
    Решение пока не найдено.
    Помогите!

  2. Реклама
     

  3. #2
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Нам нужны логи согласно Правил http://virusinfo.info/showthread.php?t=1235 иначе мы не сможем Вам помочь.

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Цитата Сообщение от vbabeshko Посмотреть сообщение
    Такого файла не нашел на С:
    должен быть C:\Windows\system32\drivers\clbdriver.sys. Сделайте логи по правилам, ссылка в сообщении wise-wistful

  5. #4
    Junior Member Репутация
    Регистрация
    28.05.2008
    Сообщений
    8
    Вес репутации
    32

    Да! Поймал!

    Начал готовить логи по Вашей инструкции. Не пригодились
    Вирус убил CrueIt.exe в безопасном режиме
    clbdriver.sys c:\windows\system32\drivers Trojan.NtRootKit.1158 Удален.

    Странно, что avz не убил его!
    Спасибо!

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Цитата Сообщение от vbabeshko Посмотреть сообщение
    Начал готовить логи по Вашей инструкции. Не пригодились
    Я бы на Вашем месте все-таки логи сделал. С руткитом шутить не надо.

  7. #6
    Junior Member Репутация
    Регистрация
    28.05.2008
    Сообщений
    8
    Вес репутации
    32

    Логи

    Хорошо, высылаю логи, полученные после удаления трояна.
    К сожалению, Symantec закрыть не удалось - нет доступа (корпоративная политика).
    Вложения Вложения

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Цитата Сообщение от vbabeshko Посмотреть сообщение
    К сожалению, Symantec закрыть не удалось - нет доступа (корпоративная политика).
    Открою секрет : Если у Вас есть права локального Админа, Вы можете остановить службы Симантека через Управление службами.
    Пофиксите
    Код:
    O20 - Winlogon Notify: fsmgmt - C:\WINDOWS\SYSTEM32\fsmgmt.dll
    Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\sqluhirl.dll','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\fsmgmt.dll','');
     DeleteFile('C:\WINDOWS\SYSTEM32\fsmgmt.dll');
     DeleteFile('C:\WINDOWS\system32\sqluhirl.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки закачайте карантин по красной ссылке вверху этой страницы и повторите логи.
    Опционально, но не обязательно, можете выполнить скрипт для удаления остатков БитДефендера
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('BDRsDrv');
     DeleteService('BDFsDrv');
     DeleteService('Profos');
     DeleteService('Trufos');
     DeleteFile('C:\PROGRA~1\Softwin\BITDEF~1\trufos.sys');
     DeleteFile('C:\PROGRA~1\Softwin\BITDEF~1\profos.sys');
     DeleteFile('C:\Program Files\Softwin\BitDefender10\bdfsdrv.sys');
     DeleteFile('C:\Program Files\Softwin\BitDefender10\bdrsdrv.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    после чего дать по шее Вашему сисадмину, за то, что:
    а) не сделал этого до установки Симантека и
    б) не установил Сервиспак 3 на всех машинах .
    Последний раз редактировалось Rene-gad; 29.05.2008 в 11:10.

  9. #8
    Junior Member Репутация
    Регистрация
    28.05.2008
    Сообщений
    8
    Вес репутации
    32
    Спасибо за исчерпывающий анализ

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Цитата Сообщение от vbabeshko Посмотреть сообщение
    Спасибо за исчерпывающий анализ
    Скрипт выполнили? Карантин закачали? Анализ - только полдела. Лечиться еще надо.

  11. #10
    Junior Member Репутация
    Регистрация
    28.05.2008
    Сообщений
    8
    Вес репутации
    32

    Всё сделал

    Карантин закачал
    Скрипт выполнил
    Результаты логов прилагаю
    Вложения Вложения

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Если проблем нет, то пофиксите
    O20 - Winlogon Notify: fsmgmt - fsmgmt.dll (file missing)
    Нам интересно Ваше мнение о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.
    Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

  13. #12
    Junior Member Репутация
    Регистрация
    28.05.2008
    Сообщений
    8
    Вес репутации
    32
    Проблем пока нет, а что значит "пофиксить"? Удалить через avz? Поиск в файловой системе мне его не находит.

  14. #13

  15. #14
    Junior Member Репутация
    Регистрация
    28.05.2008
    Сообщений
    8
    Вес репутации
    32
    Спасибо! Понял. Сделал!

  16. #15
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,507
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) vbabeshko, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 5
      Последнее сообщение: 18.12.2011, 13:59
    2. Ответов: 6
      Последнее сообщение: 14.12.2011, 03:17
    3. блокируется работа браузеров(FF, Opera)
      От Кауфман в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 17.03.2011, 15:32
    4. Ответов: 0
      Последнее сообщение: 17.05.2007, 21:09
    5. Firefox: новое поколение браузеров
      От Geser в разделе Софт - общий
      Ответов: 26
      Последнее сообщение: 08.07.2005, 21:40

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00612 seconds with 23 queries