Показано с 1 по 15 из 15.

homepage hijackers =( (заявка № 5727)

  1. #1
    Андрей2006
    Guest

    Exclamation homepage hijackers =(

    homepage hijackers =( вообщем все делаю как тут http://virusinfo.info/showthread.php?t=1235 а когда в AVZ тыркаю "Выполнить отмеченные скрипты" то у меня комп перезагружается =( и лог не сохраняется,
    зато есть лог из hijackthis но не знаю поможет сильно ли он 1 решить мою траблу =(

    зы: почему у меня комп перезагружается, когда я выполняю отмеченные скрипты ?? %(
    Заранее очень благодарен таким людям как Вы. Спасибо.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    Эти файлы пришлите, как описано в Приложении 2:
    Код:
    C:\WINDOWS\system32\itunesff.exe
    C:\dfndr.exe
    C:\kybrd.exe
    C:\nwnm.exe
    C:\WINDOWS\System32\YSTEM3~1\winspool.exe
    C:\WINDOWS\DOBE~1\WAUCLT~1.EXE
    C:\WINDOWS\zM7Mzs0\command.exe
    C:\WINDOWS\System32\wpabaln.exe
    C:\WINDOWS\System32\vbsys2.dll
    Эти строки можно попробовать сразу пофиксить через HijackThis:
    Код:
    O16 - DPF: {33331111-1111-1111-1111-611111193423} - 
    O16 - DPF: {33331111-1111-1111-1111-611111193429} - 
    O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
    O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
    O16 - DPF: {33331111-1111-1111-1111-615111193427} - 
    O16 - DPF: {33331111-1111-1111-1111-622221193458} - file://c:\ex.cab
    O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\System32\vbsys2.dll (file missing)
    А вот это худо:
    Код:
    O20 - Winlogon Notify: Internet Settings - C:\WINDOWS\system32\i442leho1h4c.dll
    Это, насколько я понимаю, Look2Me. Попробуйте вот этот совет.

  4. #3
    Андрей2006
    Guest
    обидно =(
    +C:\WINDOWS\system32\itunesff.exe
    +C:\dfndr.exe
    +C:\kybrd.exe
    +C:\nwnm.exe
    +C:\WINDOWS\System32\YSTEM3~1\winspool.exe
    +C:\WINDOWS\DOBE~1\WAUCLT~1.EXE
    -C:\WINDOWS\zM7Mzs0\command.exe
    +C:\WINDOWS\System32\wpabaln.exe
    -C:\WINDOWS\System32\vbsys2.dll

    +O16 - DPF: {33331111-1111-1111-1111-611111193423} -
    +O16 - DPF: {33331111-1111-1111-1111-611111193429} -
    +O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
    +O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
    +O16 - DPF: {33331111-1111-1111-1111-615111193427} -
    +O16 - DPF: {33331111-1111-1111-1111-622221193458} - file://c:\ex.cab
    -O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\System32\vbsys2.dll (file missing)

    -O20 - Winlogon Notify: Internet Settings - C:\WINDOWS\system32\i442leho1h4c.dll



    там где “-“ пофиксить не получилось =( посоветуйте как от них можно избавиться ?

    "Это, насколько я понимаю, Look2Me. Попробуйте вот этот совет". - Вроде сделал, как было сказано, но все равно homepage hijackers не пропадают

    проверьте еще раз лог может, что не удалилось? =(



    Вложения Вложения
    Последний раз редактировалось Андрей2006; 20.06.2006 в 20:21.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    Вы файлы прислали? Совет по изгнанию Look2Me пробовали? IMHO, сначала надо его задавить, после этого AVZ должна запуститься (если ей не AntiVir мешал, конечно).

  6. #5
    Андрей2006
    Guest
    Я запускаю AVZ и когда нажимаю выполнение отмеченных скриптов у меня комп перезагружается, это даже тогда когда я отключаю антивирус =(

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    544
    Цитата Сообщение от Андрей2006
    Я запускаю AVZ и когда нажимаю выполнение отмеченных скриптов у меня комп перезагружается, это даже тогда когда я отключаю антивирус =(
    Попробуйте пропустить 8-й пункт из правил, сделайте только второй скрипт AVZ, он не должен виснуть, судя по логу Hijack должен быть ещё и Rootkit которого Hijack не видит.

  8. #7
    Андрей2006
    Guest
    "Вы файлы прислали?" Я их пофиксел, но -C:\WINDOWS\zM7Mzs0\command.exe & -C:\WINDOWS\System32\vbsys2.dll не фиксяца
    и когда я хочу найти эти файлы в директории C:\WINDOWS\System32 и C:\WINDOWS\zM7Mzs0 я их не не вижу и папки zM7Mzs0 тоже. =(

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    544
    Цитата Сообщение от Андрей2006
    Я их пофиксел, но -C:\WINDOWS\zM7Mzs0\command.exe & -C:\WINDOWS\System32\vbsys2.dll не фиксяца
    Ладно поехали, в конце сделаете свежий лог Hijack и попробуете ещё раз второй лог AVZ из правил, не получится - сделайте лог вот этой утилитой (в ней надо перейти на закладку Rootkit в правой колонке снять последнюю галку (files) и нажать Skan после этого скопировать полученный отчет).
    Скачайте CureIt, f-look2me

    1. Создайте Reg файл следующего содержимого -

    Код:
    REGEDIT4
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
    "{24E27EA9-FCF3-444F-BD80-20543BA5D946}"=-
    
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{24E27EA9-FCF3-444F-BD80-20543BA5D946}]
    
    [-HKEY_LOCAL_MACHINE\SOFTWARE\TrustIn Bar]
    
    [-HKEY_LOCAL_MACHINE\SOFTWARE\TrustIn Bar\TrustIn Bar]
    
    [-HKEY_LOCAL_MACHINE\SOFTWARE\TrustIn Popups]
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
    "TISA"=-
    
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6BBD6756-F9BA-4A7E-8C94-A801F740A608}]
    
    [-HKEY_CLASSES_ROOT\CLSID\{6BBD6756-F9BA-4A7E-8C94-A801F740A608}]
    
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{da7ff3f8-08be-4cac-bc00-94d91c6ae7f4}]
    
    [-HKEY_CLASSES_ROOT\CLSID\{da7ff3f8-08be-4cac-bc00-94d91c6ae7f4}]
    
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F365382D-CF21-45BA-80CF-B868C6ED9634}]
    
    [-HKEY_CLASSES_ROOT\CLSID\{F365382D-CF21-45BA-80CF-B868C6ED9634}]
    
    [-HKEY_CLASSES_ROOT\CLSID\{a19ef336-01d4-48e6-926a-fe7e1c747aed}]
    
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main]
    "Start Page"="http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home"
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
    "{a19ef336-01d4-48e6-926a-fe7e1c747aed}"-
    
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    "Trust Cleaner"=-
    "TrustIn Popups"=-
    и добавьте его в реестр.

    2. Зайдите в установку/удаление программ и удалите программы, если таковые есть -
    Trust Cleaner
    TrustIn Bar
    TrustIn Contextual Ads
    Trustin Popups
    TrustIn Search Assistant
    Trust Cleaner Promo


    3. Удалите файлы и каталоги из приведенного ниже списка -
    C:\Program Files\TrustIn Popups
    C:\Program Files\TrustIn Bar
    C:\Program Files\TrustIn Contextual
    C:\Program Files\TrustIn Popups
    C:\Program Files\TrustIn Search
    %Temp%\wschtm35.dll
    %Temp%\srsvc.exe
    C:\WINDOWS\local.html
    C:\WINDOWS\SYSTEM32\tisa.dll
    C:\WINDOWS\SYSTEM32\lut.dat
    C:\WINDOWS\SYSTEM32\tisa.cnf
    C:\WINDOWS\SYSTEM32\ticads.exe
    C:\WINDOWS\SYSTEM32\tctool.exe
    C:\WINDOWS\SYSTEM32\ticont.dll
    C:\WINDOWS\SYSTEM32\tpopup.ex
    C:\WINDOWS\SYSTEM32\tconini.dat
    C:\WINDOWS\SYSTEM32\lcch.dat
    C:\WINDOWS\onlineshopping.ico
    C:\WINDOWS\removeadware.ico
    C:\WINDOWS\sexpersonals.ico
    C:\WINDOWS\local.html
    C:\WINDOWS\SYSTEM32\tu.exe
    C:\WINDOWS\SYSTEM32\ttu.exe
    C:\WINDOWS\videoslots.ico


    4. Перезагрузитесь.

    5. Удалите AVG антивирус, У Вас установлены AVG и Antivir, последний более эффективен и держать 2-х смысла нет, зато глюки будут.

    6. Запустите Hijack и пофиксите строки -
    Код:
    R3 - URLSearchHook: (no name) - {BA765E66-B8F5-B100-F3B8-902C836D09C5} - C:\WINDOWS\System32\zvw.dll
    O4 - HKCU\..\Run: [Trust Cleaner] C:\Program Files\Trust Cleaner\TrustCleaner.exe
    O4 - HKCU\..\Run: [Enbo] "C:\WINDOWS\System32\YSTEM3~1\winspool.exe" -vt ndrv
    O4 - HKCU\..\Run: [Ktyifkp] C:\Program Files\?іcrosoft.NET\lѕass.exe
    O16 - DPF: {D7BF3304-138B-4DD5-86EE-491BB6A2286C} - http://www.globosoft.info/globobar.cab
    O20 - AppInit_DLLs:   C:\WINDOWS\System32\netdde.dll
    O20 - Winlogon Notify: Run - C:\WINDOWS\system32\mv86l9ls1.dll
    O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\zM7Mzs0\command.exe (file missing)

    7. Распакуйте и запустите f-Look2me.

    8. Перезагрузитесь.

    9. Запустите CureIt. и Проверьте диск C:

    10. Запустите AVZ зайдите в "Файл"=>"Восстановление системы" отметте все пункты и нажмите "Выполнить...".

    11 Перезагрузитесь.

    12. Пока хватит, сделайте логи о которых я писал в самом начале, посмотрим что останется.
    Последний раз редактировалось RiC; 20.06.2006 в 22:20.

  10. #9
    Андрей2006
    Guest
    Все сделал, как было написсано выше
    вот логи
    Вложения Вложения

  11. #10
    Андрей2006
    Guest
    только homepage hijackers не устроне =(

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    132
    Цитата Сообщение от Андрей2006
    только homepage hijackers не устроне =(
    теперь моя очередь давать советы.

    1. запустите HijackThis, после сканирования отметьте галочками строки
    R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
    O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\zM7Mzs0\command.exe (file missing)
    и пофиксите их

    2. запомните имя файла, который в отчете HijackThis стоит в строке начинающейся как "O20 - Winlogon Notify:"

    3. запустите AVZ. в нем запустите AVZGuard. потом в пункте "Файл" выберите "Отложенное удаление файла", там укажите имя файла, которое запомнили в пункте 2. если предложит создать карантин - соглашайтесь.

    4. не выключая AVZGuard произведите перезагрузку системы.

    5. после загрузки попробуйте создать логи AVZ снова, ну и новый лог HijackThis тоже пришлите.

  13. #12
    Андрей2006
    Guest
    сделал, как было написано выше и все равно когда делаю лог через AVZ комп перезагружается
    вот лог hijackthis
    Вложения Вложения

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    132
    Цитата Сообщение от Андрей2006
    сделал, как было написано выше и все равно когда делаю лог через AVZ комп перезагружается
    вот лог hijackthis
    а просто сделать "Файл\Исследование системы" тоже не дает???

    в логе Hijack'а стало получше - гадость (которую тут почему-то все приняли за Look2Me) исчезла.

    попробуйте из программы AVZ ("Сервис\Поиск файлов на диске") поискать файл C:\WINDOWS\zM7Mzs0\command.exe - что-то он не хочет исчезать из логов.

    да, и если в папке AVZ\Quarantine что-то есть - пришлите по правилам форума.

  15. #14
    Андрей2006
    Guest

    Thumbs up

    СПАСИБО ВСЕМ БОЛЬШОЕ БОЛЬШОЕ !!! Вы меня спасли !!! Век не забуду !!

    homepage hijackers больше не замечено ! ууряяя !

    Цитата Сообщение от MOCT
    попробуйте из программы AVZ ("Сервис\Поиск файлов на диске") поискать файл C:\WINDOWS\zM7Mzs0\command.exe - что-то он не хочет исчезать из логов.

    Странно, почему-то не находит.

    Цитата Сообщение от MOCT
    да, и если в папке AVZ\Quarantine что-то есть - пришлите по правилам форума.

    нет там все пусто.


  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    132
    Цитата Сообщение от Андрей2006
    СПАСИБО ВСЕМ БОЛЬШОЕ БОЛЬШОЕ !!! Вы меня спасли !!! Век не забуду !!
    все же желательно сделать логи и прислать файлы, которые до этого не прислали. а то там может еще десяток троянов остаться...

  • Уважаемый(ая) Андрей2006, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. homepage.am (заявка №107581)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 2
      Последнее сообщение: 22.08.2011, 06:00
    2. Homepage hijacked
      От Mandy в разделе Malware Removal Service
      Ответов: 0
      Последнее сообщение: 19.09.2010, 13:57
    3. Homepage issue
      От Isaiah Mercury в разделе Malware Removal Service
      Ответов: 1
      Последнее сообщение: 11.04.2010, 07:43
    4. Работа с AVZ и Hijackers
      От Port123 в разделе Вредоносные программы
      Ответов: 5
      Последнее сообщение: 26.12.2009, 14:09
    5. постоянно меняется homepage
      От salarv в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 27.10.2008, 20:46

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01347 seconds with 21 queries