Как избавиться от Dialer.Mywinpop?
Добрый вечер! Опять не обойтись без вашей помощи
Dialer.Mywinpop меня замучил!!! После загрузки DrWeb выдает:
C:\DOCUME~1\User\LOCALS~1\Temp\pa_0177.exe - инфицирован Dialer.Mywinpop. Я это дело удаляю, а при след. загрузке все сначала
Если загружаться не в сети, то чисто. Но как только включаешь сеть, то нате получите. Заранее благодарю за помощь
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполните скрипт в AVZ:
Компьютер перезагрузится. Потом еще один скрипт:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\csrs.dll',''); QuarantineFile('c:\windows\csrs.exe',''); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end.
Снова будет перезагрузка.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\csrs.dll'); DeleteFile('C:\WINDOWS\csrs.exe'); BC_DeleteFile('C:\WINDOWS\csrs.dll'); BC_DeleteFile('C:\WINDOWS\csrs.exe'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После этого пришлите карантин по правилам
и сделайте новые логи.
I am not young enough to know everything...
От сети лучше отключиться?
Лучше отключиться.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Все сделал.
Файл сохранён как 070604_192929_virus_46642fd9a9e01.zip
Размер файла 29927
MD5 df0bc9a3b0deb1772586898782e26def
Логи прилагаю
Жду приговора
похоже, что-то интересное
Выполните скрипт в AVZ:
После этого пришлите карантин по правиламКод:begin ClearQuarantine(); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\xpdx.sys',''); BC_ImportQuarantineList; BC_LogFile(GetAVZDirectory + 'boot_clr.log'); BC_Activate; RebootWindows(true); end.
Последний раз редактировалось drongo; 04.06.2007 в 21:23.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Карантин закачен
Файл сохранён как 070604_215144_virus_466451307aad0.zip
Размер файла 119268
MD5 de7b4681b4ac81c8d3f0c9ed764d58a7
комп очень долго перегружался, потом была checking system
Совсем свежий экземпляр руткита : http://www.virustotal.com/vt/en/resu...ab4e6fbf638abb
Будем убивать
После перезагрузки, сделать новые логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\xpdx.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Последний раз редактировалось drongo; 04.06.2007 в 22:28.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Все сделал. Логи прилагаю.
Похоже, что еще не все
на всякий случай проверить вот это :
Выполните скрипт в AVZ:
Если rundll32.exe будет в карантине, то прислать . Если ничего не попадёт- значит больше ничего не видноКод:begin ClearQuarantine(); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\rundll32.exe',''); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end.
P.S. можно ещё пофиксить (C hijack this )корявую строчку от Boadcom Corporation:
(она уже похоже удалена - файла нет )
Код:O23 - Service: Btccachtd - Broadcom Corporation. - (no file)
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
AVZ пишет ошибка '.'expected в позиции 10:1
Попробуйте ещё раз.
Похоже я точку в конце не скопировал Sorry
процесс пошел
Карантин закачал
Файл сохранён как 070605_001937_virus_466473d95aefd.zip
Размер файла 27520
MD5 159d3e67dba9be0a3960b464b0013ccd
Код О23 уже другой
Похоже, что жизнь налаживается
Присланный файл чистый.
Службу-пустышку так и не пофиксили.
Можно это сделать так - открыть окно командной строки, набрать:
sc delete Btccachtd
и нажать Enter. В ответе системы должно быть слово success.
I am not young enough to know everything...
Всем огромадное спасибо
Жизнь совсем наладилась
PS Btccachtd удалил
Чтобы уменьшить шанс заражения советую на будущее :
1) работать за компьютером из под ограниченного пользователя.
2)Пользоваться для хождения по интернету другим браузером с отключёнными скриптами по умолчанию (Firefox и Opera это позволяют делать в отличии от IE 7 ,6....)
Сделайте следующее: http://virusinfo.info/showthread.php?t=3519
, чтобы в следующий раз вас не просили присылать те же самые файлы ( они должны стать зелёными в логе).
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
C:\WINDOWS\system32\xpdx.sys Будет по касперскому называться
- Trojan.Win32.Pakes.x
Последний раз редактировалось drongo; 05.06.2007 в 10:46.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Спасибо за совет !
Стал выполнять п.2 - получил кучу файлов в карантин
Отправить вам карантин или virusinfo_files
а это о чем? Объсните непутевымСообщение от drongo
Уважаемый(ая) Al_ex, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
