NOD блокирует 2 неизвестных адреса [Backdoor.Win32.Agent.dlmu ]

Сделайте лог [url="http://virusinfo.info/showpost.php?p=493610&postcount=1"]ComboFix[/url]

Снова wadgeotrust.com/index.php IP: 188.165.146.90

Увапжаемые хэлперы, ещё есть какие нибудь варианты лечения?

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

О, не видел предыдущего сообщения, сейчас сделаю.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Готово.

Удалите вручную[QUOTE]
c:\windows\SysWow64\an.bat
c:\windows\SysWow64\sd.bat[/QUOTE]

Скопируйте текст ниже в Блокнот и сохраните как файл с названием [B]CFScript.txt[/B] [B][COLOR="#0000CD"]в корень диска С[/COLOR][/B]
[code]KillAll::

File::

Driver::
BDMWrench_x64

Folder::

Registry::

FileLook::

DirLook::[/code]
После сохранения переместите [B]CFScript.txt[/B] на пиктограмму ComboFix.exe.
[img]http://savepic.org/5315621m.gif[/img]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.

Всё сделал.

Что с проблемой?

Сейчас нет проблем, надеюсь и не появятся.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Благодарю, отличный сайт у Вас!

Запакуйте, пожалуйста, папку [B]C:\Qoobox\Quarantine[/B] с паролем [B]virus[/B] и пришлите по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

[url="http://virusinfo.info/showpost.php?p=500136&postcount=2"]Удалите ComboFix[/url]

Удалить Combofix не получается, пишет: не удаётся найти Combofix.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

А что делать с папкой C:\Qoobox?

Пробуйте вариант с OTCleanIt.

Папка C:\Qoobox\BackEnv осталась.

Удаляйте ее

Меня это очень сильно удивляет, столько манипуляций и снова - wsslupdate.org IP 188.165.146.86

Самое интересное, что на какое то время сообщения пропадают, но потом возобновляются и начинают выскакивать часто.

Похоже пора сносить Винду!

[QUOTE=Oronchik;1205905]Похоже пора сносить Винду![/QUOTE]

Погодите.

Скачайте программу [URL="https://yadi.sk/d/6A65LkI1WEuqC"]Universal Virus Sniffer[/URL] и [url=http://virusinfo.info/showthread.php?t=121767]сделайте полный образ автозапуска uVS[/url].

Вчера переустановил Оперу, с удалением всех пользовательских данных. Сегодня полёт нормальный! Посмотрю пару дней. Тему пока не закрывайте пожалуйста.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Снова wsslupdate.org активизировался.

Вот полный образ автозапуска uVS.

[url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS:[/url][code];uVS v3.85.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
; C:\WINDOWS\SYSWOW64\IR16_32.DLL
addsgn 79132211B9E9317E0AA1AB596A521205DAFFF47DC4EA942D892B2942AF292811E11BC3DCC10016A5AA6CAC9C4616EAA283DBF8FB588E4E283DFEB17F390232FA 14 PE:Malware.XPACK!1.64D5 [Rising]
zoo C:\WINDOWS\SYSWOW64\IR16_32.DLL
regt 28
regt 29

sreg

chklst
delvir

delref %SystemRoot%\SYSWOW64\DRIVERS\BDARKIT.SYS
del %SystemRoot%\SYSWOW64\DRIVERS\BDARKIT.SYS
delref %Sys32%\D3DADAPTER.DLL
delref %Sys32%\IR16_32.DLL
delref %Sys32%\KBDMAI.DLL
delref %Sys32%\WLANMGR.DLL
delref %Sys32%\DRIVERS\BDMWRENCH_X64.SYS
delref %Sys32%\DRIVERS\BDSAFEBROWSER.SYS
delref HTTP://10KANAL.ORG/?SRC=HP2&SUBID1=DEC
delref %SystemDrive%\PROGRAMDATA\APPDATA\ROAMING\BROWSERS\EXE.EMORHC.BAT
deltmp
czoo
areg[/code]Компьютер перезагрузится.

В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

Сделайте полный образ автозапуска uVS, загрузите на rghost.ru и дайте ссылку в теме.

Всё сделал.

Карантин отправил.

Вот ссылка на образ автозапуска в uVS: [url]http://rghost.ru/60069465[/url]

И лог выполнения скрипта:

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

С НАСТУПАЮЩИМ!:)

- сделайте лог [URL="http://virusinfo.info/soft/tool.php?tool=checkbrowserlnk"]Check Browsers' LNK[/URL]


и ещё раз проверьте проблему.

Как проверить проблему?

Сообщения выскакивают сами по себе. NOD может пол дня или целый день молчать, а потом с интервалом в 10-20 минут выкидывать сообщения о блокировке адресов. Ещё я заметил, что это как то связано с количеством страниц, открытых в браузере.

Лог Check Browsers' LNK:

- Перетащите лог Check_Browsers_LNK.log на [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]утилиту ClearLNK[/url]. Отчёт о работе прикрепите.

[quote="Oronchik;1206629"]Ещё я заметил, что это как то связано с количеством страниц, открытых в браузере.[/quote]
может не с кол-вом, а с самими страницами ;). То есть Nod ругается на эти страницы :).

Адреса, которые Вы упоминали в первом сообщении этой темы, продолжают блокироваться? Если нет, проблема, связанная с трояном, решена. Блокировка других адресов связана с ссылками и баннерами на открываемых страницах. Если посещаете варезные и прочие сайты с не очень хорошей репутацией - так и будет.

Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа.
Прикрепите эти три файла к своему следующему сообщению.