SanitarDiska

[COLOR=black][FONT=Times New Roman][SIZE=3]Завелся SanitarDiska, откуда неизвестно. Проверялся, нашелся Virtumonde, был вроде как удален, через некоторое время при использовании ИЕ7 периодически кидало на сайт санитаров, а также сайты [/SIZE][/FONT][FONT=Times New Roman][SIZE=3]celldorado.com[/SIZE][/FONT][FONT=Times New Roman][SIZE=3] и [/SIZE][/FONT][FONT=Times New Roman][SIZE=3]mt50.nl[/SIZE][/FONT][FONT=Times New Roman][SIZE=3]. При этом блокируется трафик от некоторых сайтов, невозможно например, зайти на мейл ру или выполнить поиск на поисковиках гугл, яндекс, рамблер.[/SIZE][/FONT][/COLOR]
[URL="http://virusinfo.info/forumdisplay.php?f=46#"][IMG]http://virusinfo.info/images/misc/paperclip.gif[/IMG][/URL]

Ad-Aware - деинсталировать (толку от дубины в ядерной войне ;) )
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{DA6D00C6-0A74-47F6-8CF0-A85F278992CF}');
QuarantineFile('C:\WINDOWS\system32\wwwahiwr.dll','');
QuarantineFile('C:\WINDOWS\system32\sjfkcouj.dll','');
QuarantineFile('C:\WINDOWS\system32\hgGYpPGY.dll','');
DeleteFile('C:\WINDOWS\system32\hgGYpPGY.dll');
DeleteFile('C:\WINDOWS\system32\sjfkcouj.dll');
DeleteFile('C:\WINDOWS\system32\wwwahiwr.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи ...

Карантин выслал, новые логи:

пофиксите ...
[code]
O2 - BHO: (no name) - {0BBA1096-1276-4C85-BC47-2963264E507D} - (no file)
O2 - BHO: (no name) - {6A58862D-14C9-4ADE-B4D2-23115FDE599D} - C:\WINDOWS\system32\hgGYpPGY.dll (file missing)
O2 - BHO: (no name) - {EE05B6C6-91F7-4B39-B1DA-86BC83A40815} - (no file)
[/code]
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{6A58862D-14C9-4ADE-B4D2-23115FDE599D}');
QuarantineFile('fctxjm.exe','');
DeleteFile('fctxjm.exe');
DeleteFile('C:\WINDOWS\system32\hgGYpPGY.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи начиная с пункта 10 правил ...

Пофиксил.
Выполнил скрипт.
Карантин выслал, новые логи:

Creative Service for CDROM Access.sys , genmcmn.sys - пришлите согласно приложения 2 правил ....

Карантин отослал,но вроде эти файлы туда не добавились ибо:
" Карантин с использованием прямого чтения - ошибка"

выполните скрипт ...
[code]
begin
BC_DeleteSvc('genmcmn');
BC_DeleteSvc('Creative Service for CDROM Access');
BC_Activate;
RebootWindows(true);
end.
[/code]
какие-то проблемы остались ?

Выполнил.
Ну помимо того что иногда после загрузки ОС появляется черный экран и система вырубается и учитывая, что это было и до санитаров, с определенной вероятностью, то проблем больше вроде нет, пока никаких признаков вредителей.
Спасибо большое!
И вопросик, откуда эта гадость (санитарская) могла пролезть, в смысле механизм попадания в систему? Так, на будущее.

По возможности не пользоваться Internet Explorer, использовать альтернативные браузеры, Firefox,Opera(с отключёнными скриптами)
прочитате [URL="http://security-advisory.newmail.ru/"]электронную книгу[/URL] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

ИЕ использую "раз в пол года", в основном Опера.
Спасибо за ссылку.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]29[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\program files\\rhinosoft.com\\serv-u\\servutray.exe - [B]not-a-virus:Server-FTP.Win32.Serv-U.6404[/B][*] c:\\windows\\system32\\hggyppgy.dll - [B]not-a-virus:AdWare.Win32.Virtumonde.yuy[/B] (DrWEB: Trojan.Virtumod.based.16)[*] c:\\windows\\system32\\sjfkcouj.dll - [B]Trojan.Win32.Monder.qx[/B] (DrWEB: Trojan.Virtumod.based.16)[*] c:\\windows\\system32\\wwwahiwr.dll - [B]not-a-virus:AdWare.Win32.Virtumonde.yuv[/B] (DrWEB: Trojan.Virtumod.based.16)[/LIST][/LIST]