Вываливается окно рекламы поверх браузера. Убить ничем не могу, антивири не видят. Трафик генериться весьма активно. Через AVZ увеидел что, что-то сидит в ядре, но удалять неумею из ядра.
Вываливается окно рекламы поверх браузера. Убить ничем не могу, антивири не видят. Трафик генериться весьма активно. Через AVZ увеидел что, что-то сидит в ядре, но удалять неумею из ядра.
Последний раз редактировалось Monolith; 09.10.2008 в 20:41.
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('kddxk.exe',''); DelBHO('{1094613F-84B6-4131-AEC1-71DF88291044}'); QuarantineFile('C:\WINDOWS\system32\pllib.dll',''); QuarantineFile('C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\DZNFT5CE\MultiDistFC[1].CAB',''); QuarantineFile('C:\WINDOWS\system32\kddxk.exe',''); DeleteFile('C:\WINDOWS\system32\kddxk.exe'); DeleteFile('C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\DZNFT5CE\MultiDistFC[1].CAB'); DeleteFile('C:\WINDOWS\system32\pllib.dll'); DeleteFile('kddxk.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы.
- Прикрепите логи к новому сообщению.
Вроде больше ничего не осталось
Я рано радовался, НОД до сих пор переодически видит что какой то вирус пытается записаться в систему
Последний раз редактировалось Monolith; 09.10.2008 в 20:41.
-Пофиксите
Если не перестанет ругаться - повторите логи.Код:O17 - HKLM\System\CCS\Services\Tcpip\..\{ABE02FDB-D6DB-462E-919A-F7DF82F849EC}: NameServer = 85.255.116.130,85.255.112.107 O17 - HKLM\System\CCS\Services\Tcpip\..\{DC6C717B-1570-435A-A6D7-47D1926A31F1}: NameServer = 85.255.116.130,85.255.112.107 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.130 85.255.112.107 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.130 85.255.112.107 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.130 85.255.112.107
Лог Hijack- я прикрепил, остальные без изменений
Прикрепил окна NOD32 с предупреждениями, может проще будет искать
Вложение 77810
Вложение 77811
Вложение 77812
Последний раз редактировалось Monolith; 09.10.2008 в 20:41.
- Выполните скрипт
После перезагрузки:Код:begin SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\WINDOWS\System32\Px.ax',''); BC_ImportAll; BC_Activate; RebootWindows(true); end.
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы.
То, что в первом скрине - это нехорошая страница. Как Вы на нее попадатете? Вы Темп и Ко. очистили?
странно у меня такое подозрение что он в НОДе сидит, я как комп запустился НОД вырубил, потом подключил сеть полазал в нете, файла небыло, как запустил его контрол центр, появился вирь. ТОесть пока нет соединения с интерентом файл PX.ax не создается
Может он с этого сайта закачивается?
Вы кэш проводника почистили?
Кеш вычистил полностью там только необходимые файлы остались ...
Сейчас попробую срубить под корень нод и поставить с чистого дистрибудива.
З.Ы. Последнюю Бяку залил .
Добавлено через 52 секунды
Эксплорер даже можно не открывать, окно все равно вылезет если есть соединение с интернетом
Последний раз редактировалось Monolith; 17.09.2008 в 18:01. Причина: Добавлено
-Пофиксите
Если не перестанет ругаться - повторите логи.Код:O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei-3/PopularScreenSaversFWBInitialSetup1.0.1.0.cab
После фикса вошёл в штопор, пока не выходит, постояно ругается на нарушение политик DCOM и говорит что через 1 минуту будет перегружен.
Файл Px.ax исчезать отказывается
1. Снёс нод-32
2. Перегрузился как он и просил
3. Выполнил фикс
4. Через 5-10 секунд появилось окно с "Радостью"
Окно во всех проводниках появляется или только в ИЕ?
Окно то больше не появляется...
Как систему из штопора вывести н епосоветуете?
Там Бекап лежит какой то с него можно все вертать обратно?
Здесь тольк IE 6
Эврика, без интернета DCOM живее всех живых, осталась какая то зараза которая его и гасит, так как не находит ссылки которую я стёр фиксом.
Логи в процессе
Свежие логи
Бэкап сказал типа все ОК и исчез, изменений никаких небыло, DCOm так же успешно умирает. Установил в параметрах ему что бы не перезапускал компьютер сейчас хот ьделать на нём что т оможно, но без DCOM проблемы часто вылезают, шнурок сети вынимать нелзя иначе по новой не опознает без перезагрузки
Вообще странно, но ...
1. нашел с помощью AVZ строчку в реестре. (Ссылку на Px.ax, прошу прощения, но копию строки не сделал)
2. Убил строчку в реестре
3. Перезагрузился
4. Удалил файл Px.ax
5. Перегрузился
6. DCOM ожил, пока живет и чувствует себя ещё весьма не плохо, наблюдаем.
Последний раз редактировалось Monolith; 09.10.2008 в 20:41.
А если Вы остановите DCOM?
что значит если я остановлю DCOM?
Последний раз редактировалось Monolith; 18.09.2008 в 09:28. Причина: лишняя информация
Уважаемый(ая) Monolith, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.