Не работают обновления, и постоянно перенаправляет на другие сайты.
Симптомы следующие:
1. Nod32, Outpost Firewall Pro, Windows Defender и Центр Обновления Windows перестали скачивать обновления.
2. Постоянно вижу подмену рекламы - вместо стандартных баннеров отображается реклама таблеток Vimax. Так же, иногда при случайном клике на сайте (не обязательно на ссылку) открывается попап (игнорируя попап-блокер в Опере) с рекламой.
3. Через фаерволл постоянно вижу в процессе svchost.exe трафик с ukrtelegroup.com.ua, и zlkon.lv - с процесса "Системный" (то есть имя процесса фаерволом не определяется). Любая попытка заблокировать этот трафик отключает интернет.
4. Только что заметил, после регистрации на сайте - картинки с kaspersky.ru не грузятся. Подозреваю что это тоже из-за действий вируса.
Что пытался делать:
- Обнаружил, что эта зараза подменила мне DNS-сервера. сбросил через ipconfig /release, ipconfig /renew.
- нашел файл C:/autorun.inf, прочитал что он пытается открыть - удалил оба файла. Последний опознался антивирусом как Kryptik.GH.
- через HijackThis нашел 4 зловредные записи, которые упоминают айпишник этой UkrTeleGroup - 85.255.112.***, пофиксил.
Вообще, по ощущениям, это то ли W32.Tidns (судя по описанию), то ли какой-то DNS Changer, но как с ним бороться - уже и не знаю, поэтому прошу помощи.
ЗЫ: Не могу загрузить один из файлов - слишком большой размер.
Последний раз редактировалось Dellirium; 21.03.2009 в 18:53.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Компьютер перезагрузится.
Пришлите карантин AVZ (см. приложение 3 Правил) используя ссылку Прислать запрошенный карантин верху этой темы. Обновите базы AVZ.
Сделайте новые логи AVZ и приложите к этой теме.
Установите Adobe Acrobat Reader 9.1 или удалите старый.
Карантин отправил.
Базы обновил (вроде бы и так были последние)
Поскольку карантин забрал 2 файла из Windows Installer'a, он перестал работать, поэтому хоть проблема и исчезла (уже большое вам спасибо за это), но невозможно ни удалить/установить что-то (это касается Adobe Reader'a) ни скачать обновления для Винды/Дефендера, вернее качаются-то они качаются, но не устанавливаются.
Я временно достал их оттуда, но пр ипроверке они, разумеется, попали туда снова.
UPD: Заметил, что Нод32 поломался. Просто не открывается по нажатию иконки (иконка - красная)
Последний раз редактировалось Dellirium; 22.03.2009 в 16:42.
Поскольку карантин забрал 2 файла из Windows Installer'a, он перестал работать
...
Я временно достал их оттуда, но пр ипроверке они, разумеется, попали туда снова.
Карантин AVZ ничего не забирает, файлы туда честно копируются, оригиналы остаются на месте. Удаляются только явно зловредные файлы. О каких файлах речь?
Карантин AVZ ничего не забирает, файлы туда честно копируются, оригиналы остаются на месте. Удаляются только явно зловредные файлы. О каких файлах речь?
а, извиняюсь, я удалил их при проверке раньше
я так понимаю, их можно смело восстанавливать обратно?
Кого "их"? Не видя файлов, сказать ничего нельзя. Если CureIt с AVPTool на них не ругаются - значит, с очень большой вероятностью чистые, восстанавливайте.
Вредоносный файл один: C:\Windows\system32\drivers\gaopdxlkdwtfdg.sys = Trojan.Win32.Tdss.unt (BackDoor.Tdss.73)
Похоже, его трупик лежит ещё лежит на диске.
Скачайте IceSword.
Запустите, слева внизу кнопка File.
Найдите файл
C:\Windows\system32\drivers\gaopdxlkdwtfdg.sys
щелкните на нем правой кнопкой и выберите force delete.
Кого "их"? Не видя файлов, сказать ничего нельзя. Если CureIt с AVPTool на них не ругаются - значит, с очень большой вероятностью чистые, восстанавливайте.
восстановил, не помогло.
Сообщение от AndreyKa
Вредоносный файл один: C:\Windows\system32\drivers\gaopdxlkdwtfdg.sys = Trojan.Win32.Tdss.unt (BackDoor.Tdss.73)
Похоже, его трупик лежит ещё лежит на диске.
Скачайте IceSword.
Через рапидшару не качается (у меня один ай-пи на мнооого абонентов), поэтому скачал отсюда (ссылку нашел в википедии, вроде как не олжно быть заражено )
Однако, программа не открывается, даже если открывать правой кнопкой от имени администратора. Пишет "Initialize Failed". Проверил на другом компьютере (правда там ХР) - запускается.
Попутно переустановил нод32 на более новый. все равно не открывается.
Однако, программа не открывается...,Пишет "Initialize Failed".
1. Пуск/Выполнить... набрать msconfig, нажать клавишу ВВОД.
2. В карточке Автозапуск - Все отключить
3. В карточке Службы - Службы Windows не показывать, остальные отключить.
4. Перегрузить систему и попробовать запустить IceSword
1. Пуск/Выполнить... набрать msconfig, нажать клавишу ВВОД.
2. В карточке Автозапуск - Все отключить
3. В карточке Службы - Службы Windows не показывать, остальные отключить.
4. Перегрузить систему и попробовать запустить IceSword
Сейчас попробую, но в безопасном режиме (а это почти и есть безопасный режим) тоже самое было
Добавлено через 48 минут
Нет, тоже самое: Initialize Failed.
Последний раз редактировалось Dellirium; 23.03.2009 в 16:01.
Причина: Добавлено
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: