Подмена ссылок в IE

Printable View

29.05.2008, 16:58
skVoID

Вложений: 3

Подмена ссылок в IE

Об этом уже писали тут - перехватываются ссылки в IE: при поиске в Яндексе осуществляется переход в Гугл, ссылки в Гугле не открываются. Плюс в процессе лечения нашлись другие пакости.

Что делалось: 1. запуск Симантека с последними обновлениями (без результатов); 2. запуск CureIt в безопасном режиме (находит Руткит и вроде лечит/удаляет, но после перезагрузки всё те же проблемы); 3. AVZ (не обнаруживает Руткит, находит лишь Trojan.Win32.SubSys.dj).

Система Windows XP SP2.
Логи по правилам с отключенным Симантеком приложены.
Спасибо.
29.05.2008, 17:05
Гриша

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
QuarantineFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL','');
QuarantineFile('C:\WINDOWS\TEMP\mc21.tmp','');
QuarantineFile('C:\WINDOWS\system32\basenagh32.dll','');
QuarantineFile('c:\windows\system32\userinit.exe','');
DeleteFile('C:\WINDOWS\system32\basenagh32.dll');
DeleteFile('C:\WINDOWS\TEMP\mc21.tmp');
DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(1 );
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:[url]http://virusinfo.info/upload_virus.php?tid=23674[/url]

Повторите логи.
29.05.2008, 18:34
skVoID

Спасибо.Выполнил скрипт, компьютер перезагрузился и теперь не загружается - blue screen:
[I]"STOP: с0000135 {Unable To Locate Component}This application has failed to start because basenagh32 was not found. Reinstalling the application may fix this problem."[/I]
30.05.2008, 02:15
pig

Придётся брать Live CD и с него починять... Или снять диск и подцепить к другому компьютеру.

Позвать редактор реестра
Загрузить с вашей системы \WINDOWS\System32\config\system
В разделах ControlSet001, ControlSet002 и так далее (сколько найдётся, обычно их два) выбрать ключи Control\Session Manager\SubSystems, найти параметр Windows
Отредактировать сей параметр, заменив basenagh32.dll на basesrv.dll