NOD блокирует 2 неизвестных адреса [Backdoor.Win32.Agent.dlmu ]

[thyrex]

Сделайте лог ComboFix

[Oronchik]

Снова wadgeotrust.com/index.php IP: 188.165.146.90

Увапжаемые хэлперы, ещё есть какие нибудь варианты лечения?

- - - - -Добавлено - - - - -

О, не видел предыдущего сообщения, сейчас сделаю.

- - - - -Добавлено - - - - -

Готово.

[thyrex]

Удалите вручную

c:\windows\SysWow64\an.bat
c:\windows\SysWow64\sd.bat

Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С

Код:

KillAll::

File::

Driver::
BDMWrench_x64

Folder::

Registry::

FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

[Oronchik]

Всё сделал.

[thyrex]

Что с проблемой?

[Oronchik]

Сейчас нет проблем, надеюсь и не появятся.

- - - - -Добавлено - - - - -

Благодарю, отличный сайт у Вас!

[thyrex]

Запакуйте, пожалуйста, папку C:\Qoobox\Quarantine с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы

Удалите ComboFix

[Oronchik]

Удалить Combofix не получается, пишет: не удаётся найти Combofix.

- - - - -Добавлено - - - - -

А что делать с папкой C:\Qoobox?

[Vvvyg]

Пробуйте вариант с OTCleanIt.

[Oronchik]

Папка C:\Qoobox\BackEnv осталась.

[thyrex]

Удаляйте ее

[Oronchik]

Меня это очень сильно удивляет, столько манипуляций и снова - wsslupdate.org IP 188.165.146.86

Самое интересное, что на какое то время сообщения пропадают, но потом возобновляются и начинают выскакивать часто.

Похоже пора сносить Винду!

[Vvvyg]

Похоже пора сносить Винду!

Погодите.

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

[Oronchik]

Вчера переустановил Оперу, с удалением всех пользовательских данных. Сегодня полёт нормальный! Посмотрю пару дней. Тему пока не закрывайте пожалуйста.

- - - - -Добавлено - - - - -

Снова wsslupdate.org активизировался.

Вот полный образ автозапуска uVS.

[Vvvyg]

Выполните скрипт в uVS:

Код:

;uVS v3.85.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
; C:\WINDOWS\SYSWOW64\IR16_32.DLL
addsgn 79132211B9E9317E0AA1AB596A521205DAFFF47DC4EA942D892B2942AF292811E11BC3DCC10016A5AA6CAC9C4616EAA283DBF8FB588E4E283DFEB17F390232FA 14 PE:Malware.XPACK!1.64D5 [Rising]
zoo C:\WINDOWS\SYSWOW64\IR16_32.DLL
regt 28
regt 29

sreg

chklst
delvir

delref %SystemRoot%\SYSWOW64\DRIVERS\BDARKIT.SYS
del %SystemRoot%\SYSWOW64\DRIVERS\BDARKIT.SYS
delref %Sys32%\D3DADAPTER.DLL
delref %Sys32%\IR16_32.DLL
delref %Sys32%\KBDMAI.DLL
delref %Sys32%\WLANMGR.DLL
delref %Sys32%\DRIVERS\BDMWRENCH_X64.SYS
delref %Sys32%\DRIVERS\BDSAFEBROWSER.SYS
delref HTTP://10KANAL.ORG/?SRC=HP2&SUBID1=DEC
delref %SystemDrive%\PROGRAMDATA\APPDATA\ROAMING\BROWSERS\EXE.EMORHC.BAT
deltmp
czoo
areg

Компьютер перезагрузится.

В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

Сделайте полный образ автозапуска uVS, загрузите на rghost.ru и дайте ссылку в теме.

[Oronchik]

Всё сделал.

Карантин отправил.

Вот ссылка на образ автозапуска в uVS: http://rghost.ru/60069465

И лог выполнения скрипта:

- - - - -Добавлено - - - - -

С НАСТУПАЮЩИМ!

[regist]

- сделайте лог Check Browsers' LNK


и ещё раз проверьте проблему.

[Oronchik]

Как проверить проблему?

Сообщения выскакивают сами по себе. NOD может пол дня или целый день молчать, а потом с интервалом в 10-20 минут выкидывать сообщения о блокировке адресов. Ещё я заметил, что это как то связано с количеством страниц, открытых в браузере.

Лог Check Browsers' LNK:

[regist]

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

Ещё я заметил, что это как то связано с количеством страниц, открытых в браузере.

может не с кол-вом, а с самими страницами . То есть Nod ругается на эти страницы .

[Vvvyg]

Адреса, которые Вы упоминали в первом сообщении этой темы, продолжают блокироваться? Если нет, проблема, связанная с трояном, решена. Блокировка других адресов связана с ссылками и баннерами на открываемых страницах. Если посещаете варезные и прочие сайты с не очень хорошей репутацией - так и будет.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа.
Прикрепите эти три файла к своему следующему сообщению.