IExplorer "лепит" весь экран своими окнами.

**nkochet** · 01.03.2007, 16:49

Здравствуйте! При запуске iexplore и указании ему URL он начинает до бесконечности открывать все новые и новые окна...
С другими браузерами все в порядке.
Зарвнее спасибо!
Наталья

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**drongo** · 01.03.2007, 17:11

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\tvtuekro.exe','');
 QuarantineFile('C:\WINDOWS\system32\nfnnycry.dll','');
 QuarantineFile('C:\Program Files\VSAdd-in\VSAdd-in.dll','');
 QuarantineFile('C:\WINDOWS\system32\huhrcyod.dll','');
 QuarantineFile('C:\WINDOWS\system32\ipajgrcg.dll','');
 QuarantineFile('C:\WINDOWS\system32\ssqonnk.dll','');
 QuarantineFile('C:\WINDOWS\system32\mljgd.dll','');
 CreateQurantineArchive(GetAVZDirectory+'virusinfo_8215_quarantine.zip');
RebootWindows(false);
end.

Компьютер перегрузиться.
Загрузите файл virusinfo_8215_quarantine.zip из каталога AVZ через форму http://virusinfo.info/upload_virus.php, указав ссылку на тему http://virusinfo.info/showthread.php?t=8215

**nkochet** · 01.03.2007, 22:23

Спасибо за быстрый ответ, но дело в том, что происходит не только это.
При перезагрузке системы активирус Nod32 выдает сообщение о вирусах, причем нескольких: Spy.VBStat.j trojan, BHO.NAH trojan, Adware.virtumonde.ft, Adware.Winfixer, Adware.toolbar.searchcolours. Далее говорит, что в реестре есть какие-то страшные ошибки, предлагает скачать бесплатное приложение Winfixer и проверить реестр. Хо4ешь-не хо4ешь запускает браузер (причем любой) и лезет на страницу, предлагает все-таки скачать это приложение. Если закрыть окно, продолжает засыпать сообщениями об ошибках в системе.
Антивирус пишет что с вредителями справился, предлагает удалить файлы (в частности mljgd.dll из windows\system32, ругается на virtumonde), удаляю, предлагает перезагрузиться, но все по новой, а mljgd.dll появляется снова. При этом наблюдается самопроизвольное открытые браузеров и новых страничек, на которые не может зайти, а в IExplore начинается открытие большого количества пустых окон, я видела больше 50. Временами компьютер начинает "хрустеть" винтом и что-то делать, при на нем ничего не запущено. Я уже замучилась пытаться избавиться от этой гадости...
Файлы все те же самые, просто прошлое сообщение писал мой муж, а все последующее попалось мне.

**nkochet** · 01.03.2007, 22:31

Kстати VSadd сидит в Start\control panel\add or remove programs и не убирается оттуда, после выполнения скрипта пока изменений нет...

**drongo** · 01.03.2007, 23:54

указанных файлов в карантине нет . наверное мешает ваш нод32 . Значит так, отключайте антивирус, исполняйте скрипт, включайте антивирус и присылайте карантин .
P.s. Данный скрипт только для копирования файлов для исследования, он не трогает никакие файлы. Надо ведь знать с чем боремся, да к тому же не вы же одни хотите вылечиться

Geser · 02.03.2007, 00:01

Выполните приведённый ниже скрипт, после него повторите все логи и пришлите содержимое карантина

Код:

begin
ClearQuarantine;
 QuarantineFile('c:\windows\system32\snmp.exe','');
 DeleteFile('C:\WINDOWS\system32\mljgd.dll');
 DeleteFile('C:\WINDOWS\system32\ssqonnk.dll');
 DeleteFile('C:\WINDOWS\system32\ipajgrcg.dll');
 DeleteFile('ssqonnk.dll');
 DeleteFile('C:\WINDOWS\system32\huhrcyod.dll');
DeleteFile('C:\WINDOWS\system32\nfnnycry.dll');
DeleteFile('C:\WINDOWS\system32\tvtuekro.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_LogFile(GetAVZDirectory + 'boot_clr.log'); 
 BC_Activate; 
RebootWindows(true);
end.

**nkochet** · 02.03.2007, 12:55

drongo сделала

**nkochet** · 02.03.2007, 12:58

Cделала

{moderated} карантин согласно правил нужно загружать туда - http://virusinfo.info/upload_virus.php?tid=8215
(перенесён)

**Shu_b** · 02.03.2007, 13:08

Посмотрите пожалуйста содержимое карантина, согласно приложения 2 правил, с пятого пункта.
третий раз присылаемый карантин пуст.

Geser · 02.03.2007, 13:39

Проблема решена?

**drongo** · 02.03.2007, 15:01

Думаю, осталось только пофиксить остатки в HijackThis и после этого перегрузиться .

Код:

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
O2 - BHO: (no name) - {0F01FF26-18F5-4613-BFD6-14DE2FBA24C3} - (no file)
O2 - BHO: (no name) - {46A4E9D9-B30E-452A-8157-DBBEC8573B03} - (no file)
O2 - BHO: (no name) - {7D26F227-C9F1-4989-9990-1FD5F54BE0C2} - C:\WINDOWS\system32\mljgd.dll (file missing)
O2 - BHO: (no name) - {E03C740E-BB24-4d3c-B92A-6F84DE1DD99C} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O3 - Toolbar: (no name) - {74DD705D-6834-439C-A735-A6DBE2677452} - (no file)
O20 - Winlogon Notify: mljgd - C:\WINDOWS\system32\mljgd.dll (file missing)
O20 - Winlogon Notify: ssqonnk - C:\WINDOWS\

Если тулбар от yahoo перестанет работать, переустановить (если нужен конечно)

**nkochet** · 02.03.2007, 18:44

Вроде справились, пока следов вирусов нет. Посмотрю. А Вам огромный респект за то, что вы делаете, СПАСИБО:-)

**AndreyKa** · 04.03.2007, 13:52

Вы можете нам помочь в дальнейшей борьбе с заразой.
Если у вас нет проблем с Интернет трафиком, то выполните, пожалуйста, процедуру описанную здесь: http://virusinfo.info/showthread.php?t=3519
Не забудьте при этом закрыть все программы, которые вы запустили сами.
Если в результате файл превысит 20 МБ, то его придется разбить на несколько архивов.