из файла c:\windows\system32\drivers\etc\hosts удалить все строки, кроме строки "127.0.0.1 localhost"Сообщение от DINAMIT
Сейчас сделаем
ВСЕ, ПОФИКСИЛ
среди присланных в 1 и 2 архиве файл i386p.sys - троян, его нужно удалять.
в последнем письме command.exe - тоже троян
удаляйте эти файлы, перезагружайтесь, делайте новые логи
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Насколько я помню i386p.sys так просто не удалить. Нужно сначала удалить его "папу" предположительно msctl32.dll
Не, все удалилось
папу нам не прислали, поэтому сделать вывод о его существовании не могу. хотя это еще вопрос - кто кого прикрывает...
2 DINAMIT : файлы atmtd.dll* удаляйте - они выкачиваются трояном command.exe из интернета
(кстати, баннеры на рабочем столе ставит именно command.exe)
и ждем новые логи.
Баннеры вроде не выскакивают
http://www.dealiotoday.com/normal/yyy102.html
http://vaclick.epilot.com/click.aspx...WW6AEbRjWDGgQ1
Ну, судя по всему осталось самое неприятное look2me
БАННЕР ВЫПОЛЗ, причем было затишье и тут одновременно баннер и окно с ууууу.... Наверно это один и тот же, но сейчас как-то не постоянно раньшетак в каждую минуту ....
look2me выкачивает всякую дрянь из инета. Нужно его сначала прибить.
Мне делать все что указано здесь?
Не всё. Там несколько способов. Нужно выбрать любой на вкус.
Сейчас попробую .......
Файлики пришли, точный диагноз по ним:
cXFx\command.exe = AdWare.Win32.CommAd.a
system32\drivers\i386p.sys = Trojan.Win32.Agent.of (это трояно-руткитный драйвер, зашифрованный к тому-же)
Эти два файла нужно прибить через отложенное удалене AVZ (файл/отложенное удаление), перезагрузиться и убедиться, что они убились.
Судя по последним логам Geser прав - это классический Look2me, если не поможет инструкция по указанной ссылке, то проще снять HDD, прицепить к другому ПК и прибить "зверя" ...
ВСЕ ВРОДЕ БОЛЬШЕ НИЧЕГО НЕ ВСПЛЫВАЕТ
Всегда рады
ВОТ ЛОГИ ...... ЕЩЕ РАЗ СПАСИБО !!!!Всегда рады
из файла c:\windows\system32\drivers\etc\hosts удалить все строки, кроме строки "127.0.0.1 localhost"
В HijackThis пофиксить
O20 - Winlogon Notify: H323TSP - C:\WINDOWS\system32\guard.tmp (file missing)
O20 - Winlogon Notify: ModuleUsage - C:\WINDOWS\system32\mpicda.dll (file missing)
O20 - Winlogon Notify: WindowsUpdate - C:\WINDOWS\system32\gp2sl3f71.dll (file missing)
Ещё немного хлама -
O23 - Service: Abangid - - (no file)
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\cXFx\command.exe (file missing)
O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe (file missing)
Тоже пофиксить.
А вот Hosts я бы не чистил, меньше будет шансов зацепить какой-нибудь гадости в будующем, Look2Me честно туда добавил своих конкурентов
ВСЕ, ПОСМОТРИТЕ, ПЛИЗ ЕЩЕ РАЗ, А ТО МАЛО ЛИ
В принципе для полного счастья можно в АВЗ->Менеджер расширений проводника удалить
C:\WINDOWS\system32\kldukx.dll
C:\WINDOWS\system32\guard.tmp
но это уже косметика, так всё чисто
ВСЕ СПАСИБО!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Уважаемый(ая) DINAMIT, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
