не работают поисковики

Printable View

17.10.2008, 12:46
kfelix

Вложений: 3

не работают поисковики

не работают поисковики(GOOGLE,YANDEX),странный процесс iexplore.exe при загрузке компьютера...не убивается...
17.10.2008, 13:03
drongo

Отключите антивирус и интернет!
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Common Files\SureThing Shared\stllssvr.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
ClearHostsFile;
BC_ImportAll;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);
RebootWindows(true);
end.
[/code]

карантин прислать [url]http://virusinfo.info/upload_virus.php?tid=32229[/url]
активировать avzpm ( [url]http://virusinfo.info/showthread.php?t=12316[/url] )и повторить логи avz.

версия hijackthis старая , в правилах ведь ясно указано- последнею надо.
17.10.2008, 23:38
kfelix

Вложений: 1

после активации avzpm и последующем выполнении скриптов для создании логов комп уходит на перезагрузку....пишет система восстановлена после серъезной ошибки...
карантин выслан....
18.10.2008, 01:19
kfelix

Вложений: 2

вроде получилось...

высылаю логи avz...
19.10.2008, 11:17
drongo

не понятно, кто у вас шалит. вынесу на обсуждение.
из присланного:
rs32net.exe_ - Trojan.Win32.Agent.ahsp,
svshost.dll - Trojan.Win32.Starter.fd,
TurboFTP.exe_ - Trojan.Win32.Agent.ahss

не понятно- вроде не я карантинил :)это с предыдущих само-лечений?

avp.com_, PhotoRescuePro.dll, stllssvr.exe_, tcpip.sys

Вредоносный код в файлах не обнаружен.

P.s через какой браузер у вас не работают поисковики?

[size="1"][color="#666686"][B][I]Добавлено через 10 часов 14 минут[/I][/B][/color][/size]

значит так, вероятно всего это одна из модификаций Bulknet/Mutant - а он пока avz не даётся.

Прибить нужно айсвордом (ну или есть загрузочный диск )
Сначала скопировать, чтобы и в будущем такое счастье определялось:
C:\WINDOWS\System32\Drivers\ati5mqxx.sys

Скачайте IceSword. [url]http://rapidshare.com/files/133061044/IceSword122en.zip.html[/url]
Запустите его, внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файл C:\WINDOWS\system32\Drivers\ati5mqxx.sys и если есть - сначала скопируйте его куда хотите при помощи Copy to..., чтобы прислать нам, а потом удалите с помощью force delete (нажмите по нему правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да").

Потом выполните скрипт в AVZ:

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\Drivers\ati5mqxx.sys ');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('ati5mqxx');
BC_Activate;
RebootWindows(true);
end.
[/code]

Пришлите скопированный Вами файл в zip-архиве с паролем virus (загружать : [url]http://virusinfo.info/upload_virus.php?tid=32229[/url] ).

Очистите временные папки и кеш браузера.
Сделайте новые логи.
20.10.2008, 00:36
kfelix

Вложений: 2

...выполнил Ваши указания...вроде все прошло...)))) Спасибо...!!!!:D...
в карантин послал даже 2 файла : ati5mqxx.sys - этот просили,
uziymtkw.sys - а этот мне не понравился:)...что это за файл???
Просьба подтвердить,что у меня всё нормально и объяснить,что произошло...и как от этого обезопасить себя в будущем???
Еще раз СПАСИБО!!!
20.10.2008, 00:58
wise-wistful

[QUOTE]uziymtkw.sys - а этот мне не понравился...что это за файл???[/QUOTE]

Это дравйверок от АВЗ. Вы наверное не всегда антивирус отключали при выполнении скриптов.
ati5mqxx.sys - Rootkit.Win32.Protector.bd

В логах вроде бы спокойно.
20.10.2008, 02:39
drongo

AVZPM выключите. Он не нужен системе, когда уже вылечили.
icesword тоже можно удалить из системы.
чтобы руткитом и другими зверями в будущем не заразиться полезно почитать и выполнить:
[url]http://virusinfo.info/showthread.php?t=30339[/url]
20.10.2008, 13:49
kfelix

Спасибо!

:clapping:
22.02.2009, 08:41
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]31[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \\ati5mqxx.sys - [B]Rootkit.Win32.Protector.bd[/B] (DrWEB: BackDoor.Bulknet.240)[*] c:\\documents and settings\\kfelix\\my documents\\turboftp.v5.00.533-explosion\\turboftp.v5.00.533-explosion\\crack\\turboftp.exe - [B]Trojan.Win32.Agent.ahss[/B][*] c:\\windows\\system32\\rs32net.exe - [B]Trojan.Win32.Agent.ahsp[/B] (DrWEB: BackDoor.Bulknet.256)[*] c:\\windows\\system32\\svshost.dll - [B]Trojan.Win32.Starter.fd[/B] (DrWEB: BackDoor.Kiddy.29)[/LIST][/LIST]