Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 23.

Поймал червя FearAds.am и еще что-то (заявка № 39208)

  1. #1
    Junior Member Репутация
    Регистрация
    07.02.2009
    Сообщений
    12
    Вес репутации
    29

    Thumbs up Поймал червя FearAds.am и еще что-то

    Стоит Нод32, он обнаружил AdWare.win32.FearAds.am, удалить не мог, обновление Windows XP блокируются, потом скачал AVZ почистил им. Обновления также блокируются, Онлайн-сканеры каспера, Нода, Панды так же блокируются... Dr.Web в безопасном режиме ничего не нашел. Далее обновил Нод32, еще раз прогнал им, обнаружил Win32/Kryptik.GL - очищен удалением - изолирован.
    Обновления Винды и онлайн сканеры также блокируются Выдает картинку Google! Все началось вчера, когда открыл письмо от коллеги в аутлуке, хотя НОД32 не оставил его во входящих а промаркировал спамом. И к сожалению автоапдейт виндовс тоже отключен был с лета 2008 Стоит Win XP Pro SP2. Вечером аутлук начал принимать письма-пустышки. Подозреваю что он всем в адрессной книге уже разослал червя
    Вопрос еще один - вчера еще смотрел счет в интернет-банке, могла инфа уйти ?
    Помогите вывести заразу!
    P.S. файл вирусинфо_сисчек.зип почему то не смог создать, запутался я.
    Вложения Вложения
    Последний раз редактировалось V_Bond; 07.02.2009 в 17:42. Причина: карантин в теме ...

  2. Реклама
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('UIUSys');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\UIUSYS.SYS','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\rimmptsk.sys','');
     DeleteFile('C:\WINDOWS\system32\DRIVERS\UIUSYS.SYS');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил
    пофиксите
    Код:
    F2 - REG:system.ini: UserInit=userinit.exe,
    O17 - HKLM\System\CCS\Services\Tcpip\..\{42338113-6978-45F2-95AE-2DAC679F7176}: NameServer = 85.255.112.39,85.255.112.40
    O17 - HKLM\System\CCS\Services\Tcpip\..\{45EA6300-6BD3-4C3C-B43E-5A436F2A7A55}: NameServer = 85.255.112.39,85.255.112.40
    O17 - HKLM\System\CCS\Services\Tcpip\..\{954D57B7-1CE7-4C79-9741-9DAFBA16A4CC}: NameServer = 85.255.112.39,85.255.112.40
    O17 - HKLM\System\CS5\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
    O17 - HKLM\System\CS6\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
    повторите логи

  4. #3
    Junior Member Репутация
    Регистрация
    07.02.2009
    Сообщений
    12
    Вес репутации
    29
    Скрипт запустил, пофиксил, спасибо! сайты все равно блокируюся, не могу скачать апдейты виндовс. НОД32 уже ничего не нашел, высылаю карантин.
    Вложения Вложения
    Последний раз редактировалось V_Bond; 07.02.2009 в 21:43. Причина: еще раз прилепитн карантин , закрою тему

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    віполните скрипт
    Код:
    begin
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\rimmptsk.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\MDPMGRNT.sys','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\HSX_DPV.sys','');
    end.
    пришлите карантин согласно приложения 3 правил

  6. #5
    Junior Member Репутация
    Регистрация
    07.02.2009
    Сообщений
    12
    Вес репутации
    29
    Извиняюсь
    при выполнении скрипта вышло такое сообщение:

    Файл успешно помещен в карантин (C:\WINDOWS\system32\DRIVERS\rimmptsk.sys)
    Выполнен карантин файла C:\WINDOWS\system32\DRIVERS\rimmptsk.sys
    Файл успешно помещен в карантин (C:\WINDOWS\system32\Drivers\MDPMGRNT.sys)
    Выполнен карантин файла C:\WINDOWS\system32\Drivers\MDPMGRNT.sys
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\DRIVERS\HSX_DPV.sys)
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\DRIVERS\HSX_DPV.sys)
    Карантин с использованием прямого чтения - ошибка

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    этим лог сделайте ...

  8. #7
    Junior Member Репутация
    Регистрация
    07.02.2009
    Сообщений
    12
    Вес репутации
    29
    Сделал лог
    Вложения Вложения
    • Тип файла: log 1.log (66.7 Кб, 7 просмотров)

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    выполните скрипт
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('C:\WINDOWS\system32\drivers\gaopdxbobhovcx.sys');
     BC_ImportDeletedList;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    лог gmer повторите

  10. #9
    Junior Member Репутация
    Регистрация
    07.02.2009
    Сообщений
    12
    Вес репутации
    29
    выполнил скрипт, повторил лог.
    При перезагрузке кстати появляется значок Виндос_апдэйта, но показывает 0% и через секунд 5 пропадает.
    Вложения Вложения
    • Тип файла: log 2.log (69.8 Кб, 3 просмотров)

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    выполните скрипт
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('C:\WINDOWS\system32\drivers\gaopdxbobhovcx.sys');
      DeleteFile('gaopdxserv.sys');
     BC_DeleteSvc('gaopdxserv.sys');
     BC_ImportDeletedList;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    лог gmer повторите

  12. #11
    Junior Member Репутация
    Регистрация
    07.02.2009
    Сообщений
    12
    Вес репутации
    29
    Сделал
    Вложения Вложения
    • Тип файла: log 3.log (67.6 Кб, 3 просмотров)

  13. #12
    Junior Member Репутация
    Регистрация
    07.02.2009
    Сообщений
    12
    Вес репутации
    29
    Вот только что НОД32 нашел еще одного трояна. Наконец то заработала скачка хотфиксов в IE!

    08.02.2009 2:03:56 Защита файловой системы в режиме реального времени файл C:\WINDOWS\SYSTEM32\GAOPDXDYIBVKLP.DLL Win32/TrojanClicker.Agent.NFK троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло при попытке доступа к файлу следующим приложением: C:\Program Files\Mozilla Firefox 3.1 Beta 2\firefox.exe.
    06.02.2009 22:44:44 Защита файловой системы в режиме реального времени файл C:\DOCUME~1\Engineer\LOCALS~1\Temp\tmp3FAF.tmp Win32/Patched.AE вирус удален (после следующего перезапуска) - изолирован NT AUTHORITY\SYSTEM Событие произошло в файле модифицированном приложением: C:\DOCUME~1\Engineer\LOCALS~1\Temp\matrix32260.exe .
    06.02.2009 22:44:43 Защита файловой системы в режиме реального времени файл C:\WINDOWS\TEMP\tempo-119618687.tmp модифицированный Win32/Kryptik.GF троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: C:\WINDOWS\system32\spoolsv.exe.

    Добавлено через 8 минут

    После перезагрузки заработал Windows Update!
    Последний раз редактировалось Jerry08; 08.02.2009 в 00:19. Причина: Добавлено

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    удалите ключи реестра ...
    Код:
     HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@group                                                                                                                                                                                                                     file system
    HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@userdata                                                                                                                                                                                                                  -1
    HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules                                                                                                                                                                                                                   
    HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules@gaopdxserv                                                                                                                                                                                                        \\?\globalroot\systemroot\system32\drivers\gaopdxbobhovcx.sys
    HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules@gaopdxl                                                                                                                                                                                                           \\?\globalroot\systemroot\system32\gaopdxdyibvklp.dll
    HKLM\SYSTEM\ControlSet006\Services\gaopdxserv.sys@group                                                                                                                                                                                                                         file system
     HKLM\SYSTEM\ControlSet006\Services\gaopdxserv.sys@userdata                                                                                                                                                                                                                      -1
     HKLM\SYSTEM\ControlSet006\Services\gaopdxserv.sys\modules                                                                                                                                                                                                                       
     HKLM\SYSTEM\ControlSet006\Services\gaopdxserv.sys\modules@gaopdxserv                                                                                                                                                                                                            \\?\globalroot\systemroot\system32\drivers\gaopdxbobhovcx.sys
     HKLM\SYSTEM\ControlSet006\Services\gaopdxserv.sys\modules@gaopdxl                                                                                                                                                                                                               \\?\globalroot\systemroot\system32\gaopdxdyibvklp.dll
    еще раз повторите лог

  15. #14
    Junior Member Репутация
    Регистрация
    07.02.2009
    Сообщений
    12
    Вес репутации
    29
    к сожалению через Regedit не удаляется ( а как по другому сделать - я не знаю(
    И ветка там одна везде - gaopdxserv.sys

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    подсказка: через avz- сервис- поиск в реестре

  17. #16
    Junior Member Репутация
    Регистрация
    07.02.2009
    Сообщений
    12
    Вес репутации
    29
    сделал, удалил всего 3 ключа.
    Вложения Вложения
    • Тип файла: zip 4.zip (141.7 Кб, 3 просмотров)

  18. #17
    Junior Member Репутация
    Регистрация
    07.02.2009
    Сообщений
    12
    Вес репутации
    29
    Прогнал сегодня заново AVZ
    Вложения Вложения

  19. #18
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    Скачать, запустите, зайдите в раздел "Registry", по "My computer" нажмите правой кнопкой "Find Text" и введите:

    Код:
    gaopdxserv
    Все что найдет удалить правой кнопкой "Delete", после каждого найденного ключа для того, чтобы продолжить поиск нажимайте по "My computer" правой кнопкой и выбирайте "Find Next"...

    Повторите лог gmer...

  20. #19
    Junior Member Репутация
    Регистрация
    07.02.2009
    Сообщений
    12
    Вес репутации
    29
    сделал
    Вложения Вложения
    • Тип файла: log 5.log (67.6 Кб, 2 просмотров)

  21. #20
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    Теперь чисто, установите SP3+all updates...

  • Уважаемый(ая) Jerry08, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Поймал червя (судя по всему) Хелп!
      От kostya_J в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 26.08.2010, 08:08
    2. червячок вроде)
      От worldsay в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 04.02.2010, 23:56
    3. Никак не удалить AdWare.Win32.FearAds.ay
      От СветаВрач в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 04.11.2009, 00:23
    4. Рекламная программа AdWare.Win32.FearAds.q
      От celtic в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 03.04.2009, 09:21
    5. модифицированный Win32/Adware.FearAds приложение
      От AKoval в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 07.03.2009, 12:04

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00728 seconds with 22 queries