Need Help...

Printable View

30.07.2008, 16:53
Intact

Вложений: 3

Need Help...

При открытии интернетных страничек время от времени выскакивает окошко с текстом
[B]NOTICE: Your system is not optimized ....и так далее...
предлогает скачать SafePCTool.[/B]
поисковики не работают.(гугль, яндекс)
система тормозит.
в автозагрузке даже после удаления появляется зараза "BM5bafff0d"
грузится из файла RunDLL32 C:\windows\system32\file_name.dll, s
file_name - всегда разный, просто набор букв.

антивирусы не реагируют...
востановление системы отключено
чистка Temp'a, кеша не помогают.
30.07.2008, 17:02
Rene-gad

Spyware Doktor - фтопку, не нужное никому дело 8)
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\fccaWMff.dll','');
DeleteFile('C:\WINDOWS\system32\fccaWMff.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин [COLOR="Red"][B]по красной ссылке[/B][/COLOR] вверху темы.
- Прикрепите логи к новому сообщению.
30.07.2008, 17:24
Intact

После выполнения скрипта, windows зависает постоянно на заставке "ПРИВЕТСТВИЕ"

будет ли толк продолжать из из Safe Moda?
30.07.2008, 17:33
Rene-gad

[QUOTE=Intact;261433]
будет ли толк продолжать из из Safe Moda?[/QUOTE]Ну если Вы не можете загрузиться в нормальном режиме, то ничего другого не остается.
если удастся - выполните скрипт
[CODE]begin
executerepair(6);
executerepair(8);
executerepair(10);
executerepair(11);
executerepair(17);
RebootWindows(true);
end.[/CODE]
после перезагрузки попробуйте зайти в нормальном режиме.
30.07.2008, 19:15
Intact

Вложений: 3

получилось загрузиться, полезли ошибки rundll (Ошибка при загрузке ...
не найден модуль.)

логи + карантин
30.07.2008, 19:22
Rene-gad

[QUOTE=Intact;261473]получилось загрузиться, полезли ошибки rundll [/QUOTE]Это не ошибки, а трепыхания зловреда перед смертью ;)
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O2 - BHO: (no name) - {646CE3AE-6802-4240-BC8C-E3E8F8BAFC1C} - (no file)
O4 - HKLM\..\Run: [BM5bafff0d] Rundll32.exe "C:\WINDOWS\system32\iggsbbcn.dll",s
O4 - HKLM\..\Run: [589ccc91] rundll32.exe "C:\WINDOWS\system32\ntabcbny.dll",b
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://sdlc-esd.sun.com/ESD40/JSCDL/jre/6u5-b19/jinstall-6u5-windows-i586-jc.cab?AuthParam=1211047437_0350c352731519b5e47c3dd2fe591366&GroupName=JSC&BHost=javadl.sun.com&FilePath=/ESD40/JSCDL/jre/6u5-b19/jinstall-6u5-windows-i586-jc.cab&File=jinstall-6u5-windows-i586-jc.cab
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\iggsbbcn.dll','');
QuarantineFile('C:\WINDOWS\system32\ntabcbny.dll','');
DeleteFile('C:\WINDOWS\system32\ntabcbny.dll');
DeleteFile('C:\WINDOWS\system32\iggsbbcn.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин [COLOR="Red"][B]по красной ссылке[/B][/COLOR] вверху темы.
- Прикрепите логи к новому сообщению.
30.07.2008, 21:35
Intact

Вложений: 3

Комп уже вовсе не включается, зависает попрасту. Логи сделать успел.
30.07.2008, 21:45
Rene-gad

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
executerepair(1);
executerepair(5);
executerepair(8);
executerepair(10);
executerepair(11);
executerepair(16);
executerepair(17);
RebootWindows(true);
end.
[/CODE]
После перезагрузки сообщите о состоянии больного.
30.07.2008, 21:53
Intact

Не включился больной...
31.07.2008, 12:36
Rene-gad

[QUOTE=Intact;261550]Не включился больной...[/QUOTE]спросим консилиум. Ждите.
31.07.2008, 13:01
kps

Попробуйте такой скрипт [url=http://virusinfo.info/showthread.php?t=7239]в AVZ[/url]:
[code]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\mdmi386.exe','');
QuarantineFile('C:\WINDOWS\system32\sofie.dll','');
QuarantineFile('C:\WINDOWS\system32\pmnlifcy.dll','');
DeleteFile('C:\WINDOWS\system32\pmnlifcy.dll');
DeleteFile('C:\WINDOWS\system32\mdmi386.exe');
DeleteFile('C:\WINDOWS\system32\sofie.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]

Компьютер перезагрузится.

Пришлите карантин.
Очистите временные папки и кеш браузера.
Сделайте новые логи.
Посмотрите, как проблема.
31.07.2008, 15:04
Intact

Вложений: 3

всё тот-же симптом... на заставке приветствие висит.

(карантин+логи)
31.07.2008, 15:11
kps

C:\WINDOWS\system32\mdmi386.exe - Trojan.Win32.Lebag.bt
C:\WINDOWS\system32\sofie.dll - Trojan.Win32.BHO.fgr
C:\WINDOWS\system32\pmnlifcy.dll - Trojan.Win32.Monderc.gen
Удалены.
Едем дальше:
Скачайте [url=http://www.gmer.net/gmer.zip]Gmer[/url]. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.
31.07.2008, 15:30
Intact

Вложений: 1

gmer log
31.07.2008, 15:36
kps

Не густо :) Пункт 2 правил выполняли (полная проверка CureIt!'ом)?
31.07.2008, 15:38
Intact

Выполнял, на ночь остовлял...пусто
31.07.2008, 15:40
kps

Сделайте полную проверку в [url=http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/]AVPTool[/url].
31.07.2008, 18:29
Intact

Вирусов нема...
PC с тормозоми, но загрузился (: что радует.

Всем спасибо.!
31.07.2008, 18:40
kps

А AVPTool что-то нашел?
31.07.2008, 19:53
Intact

[quote=kps;261901]А AVPTool что-то нашел?[/quote]
Нет
31.07.2008, 20:05
kps

Зайдите в AVZ - Сервис - Системные утилиты - SFC проверка системных файлов.
Понадобится установочный диск Windows.
22.02.2009, 06:49
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]12[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\fccawmff.dll - [B]Trojan.Win32.Monder.wp[/B] (DrWEB: Trojan.Virtumod.441)[*] c:\\windows\\system32\\mdmi386.exe - [B]Trojan.Win32.Lebag.bt[/B] (DrWEB: Win32.HLLM.Reset.33)[*] c:\\windows\\system32\\pmnlifcy.dll - [B]Trojan.Win32.Monderc.gen[/B] (DrWEB: Trojan.DownLoader.59972)[*] c:\\windows\\system32\\sofie.dll - [B]Trojan.Win32.BHO.fgr[/B] (DrWEB: Trojan.Fakealert.1086)[/LIST][/LIST]