непонятно что редиректит на сайты

Printable View

25.02.2008, 20:56
коржик

Вложений: 3

непонятно что редиректит на сайты

со страниц выдачи поисковиков, да и просто из адресной строки без лишних вопросов перенаправляет на другие сайты (причем не всегда почему то)
еще стала частенько тормозить загрузка страниц.
avast home ниче не видит.
:(
25.02.2008, 22:16
AndreyKa

Закройте все программы.
Запустите AVZ.
Выполните скрипт через меню Файл:
[code]
begin
QuarantineFile('C:\WINDOWS\system32\kdrpy.exe','');
BC_QrFile('C:\WINDOWS\system32\kdrpy.exe');
BC_DeleteFile('C:\WINDOWS\system32\kdrpy.exe');
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил) по ссылке [url]http://virusinfo.info/upload_virus.php?tid=18638[/url]
[b]Обновите базы AVZ.[/b]
Выполните пункты Правил 8-9. Новый лог virusinfo_syscure.zip приложите к своей теме.
26.02.2008, 00:02
коржик

скрипт выполнил.
карантин отправил.
базы обновил.
пункты 8-9 выполнил.
лог прилагаю.
26.02.2008, 00:03
коржик

Вложений: 1

вот лог
26.02.2008, 00:20
akok

[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('kdrpy.exe');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

Повторите лог virusinfo_syscure.zip и HJT
26.02.2008, 08:39
коржик

Вложений: 2

во время выполнения скрипта AVZ аваст обнаружил троян.
логи прилагаю.
26.02.2008, 08:45
V_Bond

антивирус нужно выключать на время выполнения скрипта (читаем правила) ..
выругался он на драйвер от авз ... так что в логах чисто ....
26.02.2008, 10:29
коржик

так что?
все вылечилось?
а что было то?
логи повторять не надо?
26.02.2008, 10:31
V_Bond

было kdrpy.exe_ - [B]Trojan.Win32.DNSChanger.apn[/B]
теперь чисто ...
26.02.2008, 10:38
коржик

Спасибо!
26.02.2008, 12:18
Макcим

Здесь нет "левых" адресов?[CODE]O17 - HKLM\System\CCS\Services\Tcpip\..\{1EBECFFA-1A2A-4DB8-8C8E-C004518F6219}: NameServer = 85.255.114.35,85.255.112.79
O17 - HKLM\System\CCS\Services\Tcpip\..\{4C1A7209-D56E-4D65-94A7-5E24064EE290}: NameServer = 85.255.114.35,85.255.112.79
O17 - HKLM\System\CCS\Services\Tcpip\..\{82185D37-1F8E-4B58-BFEB-393B0B156F8F}: NameServer = 85.255.114.35,85.255.112.79
O17 - HKLM\System\CCS\Services\Tcpip\..\{935F18FF-1C0D-43D2-9D42-B09015A838B6}: NameServer = 85.255.114.35,85.255.112.79
O17 - HKLM\System\CCS\Services\Tcpip\..\{C6A38068-104B-4A35-8A2B-CE79E2888AEB}: NameServer = 217.76.36.129
O17 - HKLM\System\CCS\Services\Tcpip\..\{D3039FB7-E66C-4DA2-8126-AC26513611C3}: NameServer = 85.255.114.35,85.255.112.79
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.35 85.255.112.79
O17 - HKLM\System\CS1\Services\Tcpip\..\{1EBECFFA-1A2A-4DB8-8C8E-C004518F6219}: NameServer = 85.255.114.35,85.255.112.79
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.35 85.255.112.79[/CODE]
26.02.2008, 12:34
pig

85.255.114.35 и 85.255.112.79 производят впечатление именно левых. Принадлежат домену dedi.inhoster.com (сама сеть украинская - УкрТелеГруп, Одесса), но DNS там другие.
217.76.36.129 - аналогично. Безымянный хост из сети московского ВНИИТЕМР, DNS там другой.
26.02.2008, 17:48
коржик

ВНИИТЕМР это провайдер инета на работе.
УкрТелеГруп - левый.
что то нужно еще сделать?
26.02.2008, 17:51
rubin

Пофиксьте в HiJackThis
[code]O17 - HKLM\System\CCS\Services\Tcpip\..\{1EBECFFA-1A2A-4DB8-8C8E-C004518F6219}: NameServer = 85.255.114.35,85.255.112.79
O17 - HKLM\System\CCS\Services\Tcpip\..\{4C1A7209-D56E-4D65-94A7-5E24064EE290}: NameServer = 85.255.114.35,85.255.112.79
O17 - HKLM\System\CCS\Services\Tcpip\..\{82185D37-1F8E-4B58-BFEB-393B0B156F8F}: NameServer = 85.255.114.35,85.255.112.79
O17 - HKLM\System\CCS\Services\Tcpip\..\{935F18FF-1C0D-43D2-9D42-B09015A838B6}: NameServer = 85.255.114.35,85.255.112.79
O17 - HKLM\System\CCS\Services\Tcpip\..\{D3039FB7-E66C-4DA2-8126-AC26513611C3}: NameServer = 85.255.114.35,85.255.112.79
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.35 85.255.112.79
O17 - HKLM\System\CS1\Services\Tcpip\..\{1EBECFFA-1A2A-4DB8-8C8E-C004518F6219}: NameServer = 85.255.114.35,85.255.112.79
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.35 85.255.112.79[/code]
Если понадобится - потом восстановите оригинальные настройки доступа в Интернет
26.02.2008, 21:09
коржик

вот теперь похоже что все.
пока не пофиксил в HJK меня редиректило все равно.
Спасибо еще раз!
26.02.2008, 21:13
rubin

Советуем прочитать [URL="http://security-advisory.virusinfo.info/"]электронную книгу[/URL] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

Вы можете нас отблагодарить, [URL="http://www.virusinfo.info/showthread.php?t=3519"]оказав нам помощь в сборе базы безопасных файлов[/URL]. Мы будем Вам очень благодарны!

Удачи!
22.02.2009, 04:07
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\kdrpy.exe - [B]Trojan.Win32.DNSChanger.apn[/B] (DrWEB: BackDoor.Mbot)[/LIST][/LIST]