adr.php

Printable View

05.09.2009, 15:12
KleriC

Вложений: 3

Cutalot.cn/abr/adr.php

В последние 4 дня стало постоянно каждые 30-40 минут вылезать по 8 сообщений от нода - " [B]Cutalot[/B].[B]cn[/B]/abr/adr.php - адрес заблокирован". Причем с каждым днем количество таких сообщений за раз увеличивается. Что-то очень настырно пытается вызвать этот адрес. Сканил нодом с последними базами - ничего не находил,AVZ и AVPtool тоже не помогают. Также стал замечать что на панеле где пуск находится и отображаются запущенные процессы стал мелькать windows installer. [U][B][/B][/U][B][U][/U][URL="ftp://ftp.drweb.com/pub/drweb/cureit/setup.exe"][/URL] [/B]
05.09.2009, 15:14
Белый Сокол

[B]Выполните скрипт в AVZ[/B] (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\system32\PfModNT.sys','');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
BC_ImportAll;
ExecuteSysClean;
SetAVZPMStatus(true);
BC_Activate;
RebootWindows(true);
end.
[/code]

После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "[B][COLOR="Red"]Прислать запрошенные файлы[/COLOR][/B]" над первым сообщением темы).

Повторите логи.
05.09.2009, 15:16
KleriC

Спасибо,сейчас попробую
05.09.2009, 16:03
KleriC

Вложений: 3

Вот новые логи, пока все нормально. Карантин отправил.
05.09.2009, 22:49
thyrex

Пофиксить в HiiJack
[CODE]R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.apeha.ru
O4 - Startup: is-4B21H.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present[/CODE]Перезагрузиться

Сделать новый лог HiJack + сообщить, что с проблемой?
06.09.2009, 02:23
KleriC

Вложений: 1

Все сделал. Пока вроде все нормально, но надо еще время.
06.09.2009, 04:41
KleriC

Все, проблема решена, большое вам спасибо))
06.09.2009, 11:46
thyrex

Установите SP3 (может потребоваться активация) + все новые заплатки
Установите Internet Explorer 8
07.09.2009, 11:46
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]