не работают поисковики(GOOGLE,YANDEX),странный процесс iexplore.exe при загрузке компьютера...не убивается...
не работают поисковики(GOOGLE,YANDEX),странный процесс iexplore.exe при загрузке компьютера...не убивается...
Отключите антивирус и интернет!
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
карантин прислать http://virusinfo.info/upload_virus.php?tid=32229Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Program Files\Common Files\SureThing Shared\stllssvr.exe',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys',''); ClearHostsFile; BC_ImportAll; BC_Activate; ExecuteRepair(6); ExecuteRepair(8); RebootWindows(true); end.
активировать avzpm ( http://virusinfo.info/showthread.php?t=12316 )и повторить логи avz.
версия hijackthis старая , в правилах ведь ясно указано- последнею надо.
Последний раз редактировалось drongo; 17.10.2008 в 13:04. Причина: Добавлено
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
после активации avzpm и последующем выполнении скриптов для создании логов комп уходит на перезагрузку....пишет система восстановлена после серъезной ошибки...
карантин выслан....
Последний раз редактировалось kfelix; 18.10.2008 в 00:22.
высылаю логи avz...
не понятно, кто у вас шалит. вынесу на обсуждение.
из присланного:
rs32net.exe_ - Trojan.Win32.Agent.ahsp,
svshost.dll - Trojan.Win32.Starter.fd,
TurboFTP.exe_ - Trojan.Win32.Agent.ahss
не понятно- вроде не я карантинил это с предыдущих само-лечений?
avp.com_, PhotoRescuePro.dll, stllssvr.exe_, tcpip.sys
Вредоносный код в файлах не обнаружен.
P.s через какой браузер у вас не работают поисковики?
Добавлено через 10 часов 14 минут
значит так, вероятно всего это одна из модификаций Bulknet/Mutant - а он пока avz не даётся.
Прибить нужно айсвордом (ну или есть загрузочный диск )
Сначала скопировать, чтобы и в будущем такое счастье определялось:
C:\WINDOWS\System32\Drivers\ati5mqxx.sys
Скачайте IceSword. http://rapidshare.com/files/13306104...122en.zip.html
Запустите его, внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файл C:\WINDOWS\system32\Drivers\ati5mqxx.sys и если есть - сначала скопируйте его куда хотите при помощи Copy to..., чтобы прислать нам, а потом удалите с помощью force delete (нажмите по нему правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да").
Потом выполните скрипт в AVZ:
Пришлите скопированный Вами файл в zip-архиве с паролем virus (загружать : http://virusinfo.info/upload_virus.php?tid=32229 ).Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\Drivers\ati5mqxx.sys '); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('ati5mqxx'); BC_Activate; RebootWindows(true); end.
Очистите временные папки и кеш браузера.
Сделайте новые логи.
Последний раз редактировалось drongo; 19.10.2008 в 11:25. Причина: Добавлено
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
...выполнил Ваши указания...вроде все прошло...)))) Спасибо...!!!!...
в карантин послал даже 2 файла : ati5mqxx.sys - этот просили,
uziymtkw.sys - а этот мне не понравился...что это за файл???
Просьба подтвердить,что у меня всё нормально и объяснить,что произошло...и как от этого обезопасить себя в будущем???
Еще раз СПАСИБО!!!
Это дравйверок от АВЗ. Вы наверное не всегда антивирус отключали при выполнении скриптов.uziymtkw.sys - а этот мне не понравился...что это за файл???
ati5mqxx.sys - Rootkit.Win32.Protector.bd
В логах вроде бы спокойно.
AVZPM выключите. Он не нужен системе, когда уже вылечили.
icesword тоже можно удалить из системы.
чтобы руткитом и другими зверями в будущем не заразиться полезно почитать и выполнить:
http://virusinfo.info/showthread.php?t=30339
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 31
- В ходе лечения обнаружены вредоносные программы:
- \\ati5mqxx.sys - Rootkit.Win32.Protector.bd (DrWEB: BackDoor.Bulknet.240)
- c:\\documents and settings\\kfelix\\my documents\\turboftp.v5.00.533-explosion\\turboftp.v5.00.533-explosion\\crack\\turboftp.exe - Trojan.Win32.Agent.ahss
- c:\\windows\\system32\\rs32net.exe - Trojan.Win32.Agent.ahsp (DrWEB: BackDoor.Bulknet.256)
- c:\\windows\\system32\\svshost.dll - Trojan.Win32.Starter.fd (DrWEB: BackDoor.Kiddy.29)
Уважаемый(ая) kfelix, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.