Вываливается окно рекламы поверх браузера. Убить ничем не могу, антивири не видят. Трафик генериться весьма активно. Через AVZ увеидел что, что-то сидит в ядре, но удалять неумею из ядра.
Printable View
Вываливается окно рекламы поверх браузера. Убить ничем не могу, антивири не видят. Трафик генериться весьма активно. Через AVZ увеидел что, что-то сидит в ядре, но удалять неумею из ядра.
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('kddxk.exe','');
DelBHO('{1094613F-84B6-4131-AEC1-71DF88291044}');
QuarantineFile('C:\WINDOWS\system32\pllib.dll','');
QuarantineFile('C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\DZNFT5CE\MultiDistFC[1].CAB','');
QuarantineFile('C:\WINDOWS\system32\kddxk.exe','');
DeleteFile('C:\WINDOWS\system32\kddxk.exe');
DeleteFile('C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\DZNFT5CE\MultiDistFC[1].CAB');
DeleteFile('C:\WINDOWS\system32\pllib.dll');
DeleteFile('kddxk.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы.
- Прикрепите логи к новому сообщению.
Вроде больше ничего не осталось
Я рано радовался, НОД до сих пор переодически видит что какой то вирус пытается записаться в систему
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O17 - HKLM\System\CCS\Services\Tcpip\..\{ABE02FDB-D6DB-462E-919A-F7DF82F849EC}: NameServer = 85.255.116.130,85.255.112.107
O17 - HKLM\System\CCS\Services\Tcpip\..\{DC6C717B-1570-435A-A6D7-47D1926A31F1}: NameServer = 85.255.116.130,85.255.112.107
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.130 85.255.112.107
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.130 85.255.112.107
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.130 85.255.112.107
[/CODE]
Если не перестанет ругаться - повторите логи.
Лог Hijack- я прикрепил, остальные без изменений
Прикрепил окна NOD32 с предупреждениями, может проще будет искать
[ATTACH]77810[/ATTACH]
[ATTACH]77811[/ATTACH]
[ATTACH]77812[/ATTACH]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\System32\Px.ax','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы.
То, что в первом скрине - это нехорошая страница. Как Вы на нее попадатете? Вы Темп и Ко. очистили?
странно у меня такое подозрение что он в НОДе сидит, я как комп запустился НОД вырубил, потом подключил сеть полазал в нете, файла небыло, как запустил его контрол центр, появился вирь. ТОесть пока нет соединения с интерентом файл PX.ax не создается
Может он с этого сайта закачивается?
Вы кэш проводника почистили?
Кеш вычистил полностью там только необходимые файлы остались ...
Сейчас попробую срубить под корень нод и поставить с чистого дистрибудива.
З.Ы. Последнюю Бяку залил .
[size="1"][color="#666686"][B][I]Добавлено через 52 секунды[/I][/B][/color][/size]
Эксплорер даже можно не открывать, окно все равно вылезет если есть соединение с интернетом
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei-3/PopularScreenSaversFWBInitialSetup1.0.1.0.cab
[/CODE]
Если не перестанет ругаться - повторите логи.
После фикса вошёл в штопор, пока не выходит, постояно ругается на нарушение политик DCOM и говорит что через 1 минуту будет перегружен.
Файл Px.ax исчезать отказывается
[QUOTE=Monolith;284886]После фикса вошёл в штопор, пока не выходит, постояно ругается на нарушение политик DCOM [/QUOTE]А Вы больше ничего не фиксили? :O
1. Снёс нод-32
2. Перегрузился как он и просил
3. Выполнил фикс
4. Через 5-10 секунд появилось окно с "Радостью"
Окно во всех проводниках появляется или только в ИЕ?
Окно то больше не появляется...
Как систему из штопора вывести н епосоветуете?
Там Бекап лежит какой то с него можно все вертать обратно?
Здесь тольк IE 6
[QUOTE=Monolith;284898]
Там Бекап лежит какой то с него можно все вертать обратно?
[/QUOTE]Запустите Хайджек, кнопка View the list of backups.
Эврика, без интернета DCOM живее всех живых, осталась какая то зараза которая его и гасит, так как не находит ссылки которую я стёр фиксом.
Логи в процессе
Свежие логи
Бэкап сказал типа все ОК и исчез, изменений никаких небыло, DCOm так же успешно умирает. Установил в параметрах ему что бы не перезапускал компьютер сейчас хот ьделать на нём что т оможно, но без DCOM проблемы часто вылезают, шнурок сети вынимать нелзя иначе по новой не опознает без перезагрузки
Вообще странно, но ...
1. нашел с помощью AVZ строчку в реестре. (Ссылку на Px.ax, прошу прощения, но копию строки не сделал)
2. Убил строчку в реестре
3. Перезагрузился
4. Удалил файл Px.ax
5. Перегрузился
6. DCOM ожил, пока живет и чувствует себя ещё весьма не плохо, наблюдаем.
А если Вы остановите DCOM?
что значит если я остановлю DCOM?