RiskWare.CrackTool.Win32.HotHook.dll

[max_paine]

Браузер,интернет,компьютер иногда зависают
Открыаються окна ie с всякими сайтами
Подозрение на RiskWare.CrackTool.Win32.HotHook.dll

[polar_owl]

Закройте все программы, выгрузите антивирус, фаерволл

Выполните в AVZ скрипт:

Код:

begin
SearchRootkit(true, true);
 TerminateProcessByName('c:\program files\dr.web.14\cron.exe');
 QuarantineFile('D:\ЗАКАЧКИ\Мои документы\Загрузки\amh.rar','');
 QuarantineFile('D:\ЗАКАЧКИ\pb.zip','');
 QuarantineFile('C:\Windows\System32\H@tKeysH@@k.DLL','');
 QuarantineFile('c:\program files\hide my ip 2009\hidemyipsrv.exe','');
 QuarantineFile('C:\Windows\system32\HMIPCore.dll','');
 QuarantineFile('C:\ProgramData\SVOPQpuI.exe','');
 QuarantineFile('C:\Windows\Fonts\oTVvtE.com','');
 QuarantineFile('C:\Users\A26A~1\AppData\Local\Temp\GPU-Z.sys','');
 QuarantineFile('C:\Windows\system32\drivers\discache.sys','');
 QuarantineFile('c:\program files\dr.web.14\cron.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер сам перезагрузится.
Выполните после перезагрузки такой скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'virus.zip');
end.

В папке c АВЗ сохранится virus.zip.
Пришлите его по ссылке Прислать запрошенный карантин вверху темы.

[max_paine]

Выслал.

[polar_owl]

Закройте все программы, выгрузите антивирус, фаерволл

Выполните в AVZ скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\ProgramData\SVOPQpuI.exe');
 DeleteFile('C:\Windows\Fonts\oTVvtE.com');
 DeleteFile('c:\windows\tasks\At*.job');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
end.

После выполнения скрипта компьютер сам перезагрузится.

Повторите логи.

Открыаються окна ie с всякими сайтами

Например?

[AndreyKa]

Установите надежные пароли на учетные записи пользователей с правами администратора.

[max_paine]

Скрипт выполнил
Короче,я читал про этот вирус в базе др.Веба,что он открывает сайты,адреса которых грузит с сервера.
Всегда разные,то игры,то антивирусы и т.д.

Добавлено через 59 секунд

А если поставить пароль,то заходить через другого пользователя?

[polar_owl]

Вы кстати не подскажете, где SP3 взяли?

Версия Windows: 6.1.7600, Service Pack 3

Нужны логи.
Сайты так открываются только в IE или в других браузерах тоже?

[max_paine]

Так у меня семерка стоит,а эта надпись чисто так.
Еще раз делать логи?уууу,три часа...
Только в IE,и главное:никаких браузеров не открыто и открывается ie с сайтом

[polar_owl]

Только в IE

Посмотрите в надстройках браузера, нет ли там чего лишнего

[max_paine]

Пока только два,первый делается...

В каком?В мозиле и IE,так я его не настраивал даже?

Добавлено через 1 минуту

А как удалить IE?

[pig]

Только в IE

Посмотрите. Зловреды любят самостоятельно прописываться куда не надо.

[max_paine]

Главная страница http://footage.3dn.ru/
А так ничего нету.Я может его просто удалю и все...

Добавлено через 1 минуту

Эт сс..а: "Запросите разрешение от TrastedInstaller" на изменение этой папки"
Как удалить же все таки IE?

[polar_owl]

Главная страница http://footage.3dn.ru/

Пофиксите в HijackThis:

Код:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://footage.3dn.ru

[max_paine]

Короче,пока ничего не вылетает и не лагает.
Будут проблемы напишу.
И выкину последний лог когда сделается..

[polar_owl]

Как скажете...

[max_paine]

Вот и первый отчет

[AndreyKa]

Dr.Web у вас какой версии, 4.44? Давно версия 6.0 вышла.
nnCron зачем, если в Windows есть встроенный планировщик?

Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:

Код:

begin
ExecuteWizard('TSW', 2, 2, true);
DeleteFileMask('c:\windows\tasks', 'at*.job', true);
RebootWindows(true);
end.

Компьютер перезагрузится.

Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.

[max_paine]

nnCron зачем, если в Windows есть встроенный планировщик?

Не понял?И зачем он?

др.веб 5.0

[polar_owl]

В логе чисто. Что с проблемами?

[max_paine]

Проблем нет.Вылечено.тему закрыть.Спасибо вам!