-
Junior Member
- Вес репутации
- 56
Internet Explorer и Порно страницы
Здравствуйте Всем!
Симптомы.
На данный момент времени происходит следующее: при подключении к интернету появляется окно NOD32 с трояном, не записал название, а комп пока далеко.
Начинается сетевая активность, то есть трафик льется в обе стороны приболизительно в одном объеме.
При запуске Internet Explorer появляется окно с порнухой независимо от адреса который вбит.
Opera пока еще функционирует нормально.
При проверка свежим CureIt в безопасном режиме ничего не обнаруживается. AVPTool не гонял, просто пока нет возможности скачать.
Помогите кто чем может.
Логи прилагаются.
PS: Еще в процессах присутствут процесс паша.ехе, который невозможно прибить. и CureIt на него никак не отреагировал.
Последний раз редактировалось hotchpotch; 02.03.2009 в 08:45.
С уважением Детушев Сергей aka HotchPotch
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполнить:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\паша\skuwwfd.exe');
QuarantineFile('C:\Documents and Settings\паша\skuwwfd.exe','');
QuarantineFile('C:\WINDOWS\system32\digeste.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\systemntmi.sys','');
DeleteService('systemntmi');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
DeleteService('tcpsr');
QuarantineFile('C:\WINDOWS\System32\Drivers\Iss02.sys','');
DeleteService('Iss02');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\viylib.dll','');
QuarantineFile('c:\documents and settings\паша\паша.exe','');
TerminateProcessByName('c:\documents and settings\паша\паша.exe');
DeleteFile('c:\documents and settings\паша\паша.exe');
DeleteFile('C:\Documents and Settings\All Users\Application Data\viylib.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Iss02.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys');
DeleteFile('C:\WINDOWS\system32\digeste.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Сделать новые логи.
Загрузить карантин.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 56
Карантин загрузил. Логи выложил.
Последний раз редактировалось hotchpotch; 02.03.2009 в 08:45.
С уважением Детушев Сергей aka HotchPotch
-
Пофиксить
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\паша\skuwwfd.exe \o
O2 - BHO: viylibP - {20D9BE3A-C204-48FB-9988-513409575D5F} - C:\Documents and Settings\All Users\Application Data\viylib.dll (file missing)
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{20D9BE3A-C204-48FB-9988-513409575D5F}');
DeleteService('port135sik');
DeleteService('netsik');
DeleteService('ati64si');
DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys');
DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys');
DeleteFile('C:\WINDOWS\system32\drivers\port135sik.sys');
DeleteFile('digeste.dll');
DeleteFile('C:\Documents and Settings\паша\Local Settings\Temporary Internet Files\Content.IE5\1SKC5VY2\CAHIC1CZ.htm');
DeleteFile('C:\Documents and Settings\паша\Local Settings\Temporary Internet Files\Content.IE5\ZJ95PXXQ\xyyandex.net.img_neb1[1].js');
DeleteFile('C:\Documents and Settings\паша\skuwwfd.exe ');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('port135sik');
BC_DeleteSvc('netsik');
BC_DeleteSvc('ati64si');
BC_Activate;
RebootWindows(true);
end.
Повторите пункт 2 диагностики...
-
-
Junior Member
- Вес репутации
- 56
Последний раз редактировалось hotchpotch; 02.03.2009 в 08:45.
С уважением Детушев Сергей aka HotchPotch
-
Больше ничего подозрительного не видно.
Для профилактики отключите восстановление системы.
Пусть удалятся все точки, потом можете включить его обратно.
Какие-то проблемы еще остались?
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 56
С уважением Детушев Сергей aka HotchPotch
-
Разве не надоело наступать на те же грабли? Дарю: http://virusinfo.info/showthread.php?t=30339
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 16
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\паша\паша.exe - Trojan.Win32.Rabbit.d (DrWEB: Trojan.DownLoad.28430)
- c:\windows\system32\digeste.dll - Trojan-Dropper.Win32.Agent.ahxa
-