Junior Member
Вес репутации
63
И снова errorsafe
Несколько дней воюю с этой заразой-и все равно где-то сидит.Восстановление системы отключено,KAV,doctorVEB,что-то поудаляли,но какая-то гадость все равно появляется.Установил Outpost и заблокировал сайт 82,98,235,61-туда постоянно лезет Explorer.exe-похоже он заражен,а как его вылечить не знаю.Когда работаешь в осле так тот сразу тянет на errorsafe.Сейчас установил Firefox-хоть не рвется на этот гребаный сайт.Помогите избавиться от этой заразы.
Файлы прилагаю.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('awtuuss.dll','');
QuarantineFile('C:\WINDOWS\System32\qomnk.dll','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки пришлите карантин согласно приложению 3 правил.
Junior Member
Вес репутации
63
Попробуйте поискать файл 'awtuuss.dll' вручную, если найдется - пришлите по правилам.
Junior Member
Вес репутации
63
Файл не найден.Найден в реестре в разделе [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]
Junior Member
Вес репутации
63
Простите,пожалуйста,нужно бежать на работу.Отвечу завтра.Кстати в этом же разделе есть и qomnk.dll.
qomnk.dll - Trojan.Virtumod.
Выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\System32\qomnk.dll');
DeleteFile('awtuuss.dll');
DelWinlogonNotifyByFileName('qomnk.dll');
DelWinlogonNotifyByFileName('awtuuss.dll');
DelBHO('50BFBE09-6D1F-4354-ACD6-F24C8CAE4823');
BC_ImportDeletedList;
ExecuteSysClean;
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки приложите к теме файл 'boot_clr.log' и сделайте новые логи.
Последний раз редактировалось Bratez; 15.04.2007 в 16:55 .
Junior Member
Вес репутации
63
Код выполнил,файлы прилагаю.
Вложения
В программе Hijackthis пофиксите строки
Код:
O2 - BHO: (no name) - {182B90A3-F372-438A-800C-6814B4DE417B} - (no file)
O2 - BHO: (no name) - {67C55A8D-E808-4caa-9EA7-F77102DE0BB6} - (no file)
O2 - BHO: (no name) - {C8B64C24-5CD9-4D46-836D-9F3FB2B6DBF8} - C:\WINDOWS\System32\qomnk.dll (file missing)
O20 - Winlogon Notify: awtuuss - C:\WINDOWS\
O20 - Winlogon Notify: qomnk - C:\WINDOWS\
Junior Member
Вес репутации
63
Сделано.
Я поискал файл hosts-а он отсутстует.Нужно ли его создать с помощью Hijackthis?
Лучше так: AVZ - файл - выполнить скрипт - выполните следующий скрипт:
Код:
begin
ClearHostsFile;
end.
. Файл hosts будет создан заново.
Junior Member
Вес репутации
63
Hosts создал.
Я так понимаю-наша борьба с errorsafe закончена?
Bratez с ним хорошо поборолся. Какие-нибудь симптомы заражения остались? На всякий случай, повторите логи, начиная с п.10 правил
Junior Member
Вес репутации
63
Код:
Какие-нибудь симптомы заражения остались?
Вроде бы нет.Логи сделал,прилагаю.
Огромное спасибо Numb и Bratez за оказанную помощь.
Вложения
Если Нортона Антивируса нет, то можно профиксить. Какой-то остаток от него остался.
Код:
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
63
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 5 В ходе лечения обнаружены вредоносные программы:
c:\\windows\\system32\\qomnk.dll - not-a-virus:AdWare.Win32.Virtumonde.fl (DrWEB: Trojan.Virtumod)