Показано с 1 по 16 из 16.

при загрузке explorer сразу лезет в сеть. (заявка № 8501)

  1. #1
    Junior Member Репутация
    Регистрация
    19.03.2007
    Адрес
    Russia
    Сообщений
    13
    Вес репутации
    36

    Thumbs up при загрузке explorer сразу лезет в сеть.

    Здравствуйте. У меня такая проблема - при загрузке Винды - explorer сразу пытается вылезти в сеть... NOd 32 сразу перехватывает подключение, и указывает на следющее.
    hXXp://82.98.235.61/nauj/really.dll?...2739EF0F575570 Win32/BHO.G - троян - изолирован - Связь завершена
    hXXp://82.98.235.61/ms_s_2.dll?uid=0...2739EF0F575570 Win32/Spy.VBStat.J - троян изолирован - Связь завершена
    C:\DOCUME~1\Nick\LOCALS~1\Temp\iujatidy.dll Win32/Adware.Virtumonde.HB - приложение - изолирован - удален. Событие в новом файле, созданном приложением C:\WINDOWS\Explorer.EXE. Файл был перемещен в карантин. Вы можете закрыть это окно.
    C:\DOCUME~1\Nick\LOCALS~1\Temp\xemjpska.exe - Win32/Adware.Toolbar.SearchColours приложение изолирован - удален. Событие в новом файле, созданном приложением C:\WINDOWS\Explorer.EXE. Файл был перемещен в карантин. Вы можете закрыть это окно.

    Подскажите, что можно сделать. Спсибо
    Вложения Вложения

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    Перед выполнением скрипта нужно отключиться от интернета и отключить модуль резидентной защиты NOD, чтобы он не мешал.
    AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\user32.exe','');
     QuarantineFile('C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE','');
     QuarantineFile('C:\WINDOWS\system32\wunauclt.exe','');
     QuarantineFile('C:\WINDOWS\dr.exe','');
     QuarantineFile('C:\WINDOWS\system32\appmgmts.dll','');
     QuarantineFile('C:\WINDOWS\system32\xxywwwx.dll','');
     QuarantineFile('C:\WINDOWS\system32\jkhhf.dll','');
     CreateQurantineArchive(GetAVZDirectory+'virusinfo_8501_quarantine.zip');
    RebootWindows(true);
    end.

    После перезагрузки NOD нужно включить!

    Загрузите файл virusinfo_8501_quarantine.zip из каталога AVZ через форму http://virusinfo.info/upload_virus.php, указав ссылку на тему http://virusinfo.info/showthread.php?t=8501
    Последний раз редактировалось drongo; 19.03.2007 в 13:04.

  4. #3
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    C:\WINDOWS\system32\wunauclt.exe - P2P-Worm.Win32.Padonak.a (По Kaspersky)

    C:\WINDOWS\system32\xxywwwx.dll- Trojan.Virtumod (Dr.Web)

    http://www.virustotal.com/vt/en/resu...7e080f89330741

    C:\WINDOWS\system32\jkhhf.dll -Trojan.Virtumod (Dr.Web)

    http://www.virustotal.com/vt/en/resu...02f37a1f61cf5e

    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\jkhhf.dll');
     DeleteFile('C:\WINDOWS\system32\xxywwwx.dll');
     DeleteFile('C:\WINDOWS\system32\wunauclt.exe');
     BC_ImportDeletedList;
     ExecuteSysClean; 
     BC_LogFile(GetAVZDirectory + 'boot_clr.log');
     BC_Activate;
     RebootWindows(true);
    end.
    Повторите логи, а также добавьте файл 'bclr.log' из папки AVZ.
    Последний раз редактировалось drongo; 19.03.2007 в 14:50.

  5. #4
    Junior Member Репутация
    Регистрация
    19.03.2007
    Адрес
    Russia
    Сообщений
    13
    Вес репутации
    36

    после выполнения скрипта...

    после выполнения скрипта - всё по-прежнему лезет в и-нет при загрузке
    Вложения Вложения

  6. #5
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\jkhhf.dll');
     DeleteFile('C:\WINDOWS\system32\xxywwwx.dll');
     BC_ImportDeletedList;
     ExecuteSysClean; 
     BC_LogFile(GetAVZDirectory + 'boot_clr.log');
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки файл 'bclr.log' из папки AVZ прикрепите к следующему сообщению.

  7. #6
    Junior Member Репутация
    Регистрация
    19.03.2007
    Адрес
    Russia
    Сообщений
    13
    Вес репутации
    36

    после выполнения последнего скрипта, пока в сетку не побежал.

    после выполнения последнего скрипта, пока в сетку не побежал.

  8. #7
    Junior Member Репутация
    Регистрация
    19.03.2007
    Адрес
    Russia
    Сообщений
    13
    Вес репутации
    36

    после выполнения последнего скрипта, пока в сетку не побежал.

    после выполнения последнего скрипта, пока в сетку не побежал.
    Вложения Вложения

  9. #8
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Уверен что больше не побежит. Мы его прибили основательно Повторите ещё раз логи на всякий случай. А каким антивирусом Вы пользуетесь? Ещё хорошо файрвол бы поставить

  10. #9
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Не так все гладко

    в ControlPanel в Планировщике заданий посмотреть задания.
    Интересует на какое время назначен их запуск. Скорее всего, их можно
    удалить.

    в AVZ поискать user32.exe и dr.exe. Если найдутся, то добавить в карантин и прислать согласно Правил.
    Плюс wunauclt.exe
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  11. #10
    Junior Member Репутация
    Регистрация
    19.03.2007
    Адрес
    Russia
    Сообщений
    13
    Вес репутации
    36
    использую Nod32, Ad-Aware SE Personal и RemoveIT Pro XT2 - SE... спасибо за помощь и советы, но с фаерволом (это вроде был ОУТПОСТ) у меня сразу отношения не наладились ;-(. Но теперь учту.
    Откуда взял не понятно, если в случае с klez4 сам виноват, то тут...иг знает.
    еще раз спс.

  12. #11
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    PavelA, Вы такой же не внимательный как и я.
    в AVZ поискать user32.exe и dr.exe. Если найдутся, то добавить в карантин и прислать согласно Правил.
    Уже сделанно - это чистые файлы. wunauclt.exe - мы уже прибили

    Николай, повторите ещё раз логи и удалите задания в планировщике.

  13. #12
    Junior Member Репутация
    Регистрация
    19.03.2007
    Адрес
    Russia
    Сообщений
    13
    Вес репутации
    36

    очередная стадия борьбы :-E

    explorer теперь в сеть не проситься.
    повторил всё логи. К сожалению , задания удалил и на какое они были запланированы не посмотрел.
    еще залез в "менеджер автозапуска" в avz - там в WINLOGON по-прежнему висит, или может просто остался "горячо" знакомый xxywwwx.dll, но в system32 (где он покоился ранее) его нет.
    можно его из "менеджер автозапуска" пофиксить?
    Вложения Вложения

  14. #13
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Пофиксите в hijackthis
    Код:
    O2 - BHO: (no name) - {C18872E2-D171-4527-A60D-029224B10FFB} - C:\WINDOWS\system32\xxywwwx.dll (file missing)
    O2 - BHO: (no name) - {DAAA8F1C-5E5B-4FB8-9D30-7C5130B8803E} - C:\WINDOWS\system32\jkhhf.dll (file missing)
    O20 - Winlogon Notify: jkhhf - C:\WINDOWS\
    O20 - Winlogon Notify: jkhhf- - C:\WINDOWS\
    O20 - Winlogon Notify: xxywwwx - xxywwwx.dll (file missing)
    O20 - Winlogon Notify: xxywwwx- - xxywwwx.dll (file missing)
    Автозагрузку лучше не трогайте. Там можно пофиксить только xxywwwx.dll, если останется после hijackthis.

  15. #14
    Junior Member Репутация
    Регистрация
    19.03.2007
    Адрес
    Russia
    Сообщений
    13
    Вес репутации
    36
    в hijackthis пофиксил, в avz следов тоже нету. Спасибо. Извините, что оторвал

  16. #15
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Вы можете нас отблагодарить так Мы будем Вам очень благодарны!

  17. #16
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,524
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 8
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\jkhhf.dll - not-a-virus:AdWare.Win32.Virtumonde.fl (DrWEB: Trojan.Virtumod)
      2. c:\\windows\\system32\\wunauclt.exe - P2P-Worm.Win32.Padonak.a (DrWEB: Trojan.AVKill.24
      3. c:\\windows\\system32\\xxywwwx.dll - not-a-virus:AdWare.Win32.Virtumonde.hr (DrWEB: Trojan.Virtumod)


  • Уважаемый(ая) Николай, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 8
      Последнее сообщение: 02.11.2010, 22:05
    2. Ответов: 2
      Последнее сообщение: 18.04.2009, 09:08
    3. Ответов: 10
      Последнее сообщение: 22.02.2009, 03:17
    4. Winlogon лезет в сеть
      От AleXPander в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 26.06.2008, 04:55
    5. Winlogon лезет в сеть
      От gxoct в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 18.06.2008, 17:39

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01345 seconds with 23 queries