Атака неизвестных сайтов

Printable View

30.10.2007, 15:49
thecrow

Вложений: 2

Атака неизвестных сайтов

Сначала все было нормально,пока не стали выскакивать сайты которых я не разу не открывал . Это как всплывающиеся окна которых сколько не пытайся закрывать они окончательно не пропадут .
Посмотрите мои логи пожалуйста , может эта зараза где нибудь на компьютере сидит эти сайты вечно кидает .
Вот кстате 2 из них
[FONT=Courier New]http://www.brandarama.com/WYfq461dd8620?sud=[/FONT]
[FONT=Courier New]http://smiley.smileycentral.com/download/index.jhtml?partner=ZNxmk789&spu=true[/FONT]
Сразу предупреждаю не смейте на них заходить а то будет то что и у меня .
30.10.2007, 16:03
Bratez

[quote]
>>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных[/quote]
Похоже у вас кроме прочего поражение файловым вирусом.
Скачайте свежий CureIt ([url]http://www.drweb.ru/download/1028/[/url]), желательно это сделать на чистом компьютере и записать на CD, сделайте [b]полную[/b] проверку в безопасном режиме.

Затем скачайте повторно AVZ и HijackThis.
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
QuarantineFile('c:\windows\system32\svchost.exe:ext.exe','');
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('C:\TEMP\winlogon.exe','');
QuarantineFile('C:\WINDOWS\system32\jkkjj.dll','');
QuarantineFile('C:\WINDOWS\system32\jhtyiras.dll','');
QuarantineFile('C:\WINDOWS\system32\jammkamd.dll','');
DeleteFile('C:\WINDOWS\system32\jammkamd.dll');
DeleteFile('C:\WINDOWS\system32\jhtyiras.dll');
DeleteFile('C:\WINDOWS\system32\jkkjj.dll');
DeleteFile('C:\TEMP\winlogon.exe');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
DeleteFile('c:\windows\system32\svchost.exe:ext.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки пришлите карантин согласно приложению 3 правил.
Сделайте новые логи.
31.10.2007, 02:24
thecrow

Запускаю безопасный режим ,говорит нажмите да для входа нажимаю появляеться робочий стол потом тухнит резко
31.10.2007, 03:04
Bratez

Попробуйте вместо "Да для входа" нажать Ctrl-Alt-Del и запустить CureIt через диспетчер задач (Файл - Новая задача - Обзор...).
Если в безопасном ничего так и не выйдет, делайте проверку в обычном, только обязательно полную и желательно дважды.
31.10.2007, 20:15
thecrow

Вложений: 3

Готово

Готово
31.10.2007, 20:26
V_Bond

выполните скрипт...
[code]
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\system32\jkkjj.dll','');
QuarantineFile('C:\WINDOWS\system32\jhtyiras.dll','');
QuarantineFile('c:\windows\system32\userinit.exe','');
QuarantineFile('system32\DRIVERS\tcpip.sys','');
QuarantineFile('C:\WINDOWS\system32\akgpfwdw.exe','');
QuarantineFile('C:\WINDOWS\system32\igtdxchf.dll','');
DeleteFile('C:\WINDOWS\system32\jhtyiras.dll');
DeleteFile('C:\WINDOWS\system32\jkkjj.dll');
DelCLSID('89AD4D75-2429-462e-BD4E-443F233F6033');
DelCLSID('B5B85EE9-830B-44FB-BD1A-14318EFC5F31');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи...
31.10.2007, 21:07
thecrow

[quote=V_Bond;146588]выполните скрипт...
[code]
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\system32\jkkjj.dll','');
QuarantineFile('C:\WINDOWS\system32\jhtyiras.dll','');
QuarantineFile('c:\windows\system32\userinit.exe','');
QuarantineFile('system32\DRIVERS\tcpip.sys','');
QuarantineFile('C:\WINDOWS\system32\akgpfwdw.exe','');
QuarantineFile('C:\WINDOWS\system32\igtdxchf.dll','');
DeleteFile('C:\WINDOWS\system32\jhtyiras.dll');
DeleteFile('C:\WINDOWS\system32\jkkjj.dll');
DelCLSID('89AD4D75-2429-462e-BD4E-443F233F6033');
DelCLSID('B5B85EE9-830B-44FB-BD1A-14318EFC5F31');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи...[/quote]
присылаю все что запрошено--а мне отвечают -что не то прислп аал...
31.10.2007, 21:09
V_Bond

карантин загрузите [url]http://virusinfo.info/upload_virus.php?tid=13673[/url]
01.11.2007, 02:34
Bratez

Пофиксите в HijackThis (что останется):
[code]
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: (no name) - {89AD4D75-2429-462e-BD4E-443F233F6033} - C:\WINDOWS\system32\jhtyiras.dll (file missing)
O2 - BHO: (no name) - {B5B85EE9-830B-44FB-BD1A-14318EFC5F31} - C:\WINDOWS\system32\jkkjj.dll (file missing)
O4 - HKLM\..\Run: [Windows SP System] svchost.exe
O4 - HKLM\..\Run: [08ded865] rundll32.exe "C:\WINDOWS\system32\igtdxchf.dll",b
[/code]
Через AVZ ("Сервис" - "Поиск файлов на диске") поищите файл по имени [b]svchost.exe[/b]. Если найдется где-то кроме папки windows\system32, пришлите по правилам.