Всплывают pop-up окна разных сайтов при работе с IE 7.0.5730.11
Вообщем борюсь с этой дрянью уже неделю. Времени никак не выберу. Вот нашел, сделал всё как написано в правилах.
Нашел файлик в папке windows\system32\pmnli.dll
Избавлялся от него, но он всё время заново появляется. Смотрел через unlockdll подгружается под всем чем можно (explorer.exe, rundll32.exe...)
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('winosz32.dll',''); QuarantineFile('C:\WINDOWS\system32\ibmvxqel.dll',''); QuarantineFile('C:\WINDOWS\system32\vqtyoxod.dll',''); QuarantineFile('C:\WINDOWS\winstart.bat',''); QuarantineFile('C:\WINDOWS\system32\geeby.dll',''); QuarantineFile('C:\WINDOWS\system32\winosz32.dll',''); QuarantineFile('C:\WINDOWS\system32\rqrpqol.dll',''); QuarantineFile('C:\WINDOWS\system32\davaykyr.dll',''); QuarantineFile('C:\WINDOWS\system32\pmnli.dll',''); QuarantineFile('c:\windows\temp\win10.tmp.exe',''); QuarantineFile('c:\windows\mgrs.exe',''); DeleteFile('c:\windows\mgrs.exe'); DeleteFile('c:\windows\temp\win10.tmp.exe'); DeleteFile('C:\WINDOWS\system32\davaykyr.dll'); DeleteFile('C:\WINDOWS\system32\rqrpqol.dll'); DeleteFile('C:\WINDOWS\system32\winosz32.dll'); DeleteFile('winosz32.dll'); DeleteFile('C:\WINDOWS\winstart.bat'); DeleteFile('C:\WINDOWS\system32\geeby.dll'); DeleteFile('C:\WINDOWS\Installer\11f14c5a.msi'); DeleteFile('C:\Documents and Settings\Anna Roudenko\Application Data\Microsoft\Installer\{39619863-8A11-4B60-A166-E6747C986EBE}\ARPPRODUCTICON.exe'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы)
пофиксить
Код:O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
Последний раз редактировалось Muzzle; 10.07.2007 в 05:20.
Все сделал как вы сказали и загрузил попавшие в карантин файлы.
Спасибо
Файл сохранён как 070714_225006_virus_46991ade7463b.zip
Размер файла 881372
MD5 120a18e61f3ee9137a1cad34a1c01282
Повторите логи.
Вот новые логи
Удалите Yahoo! Toolbar.
Выполните скрипт в AVZ
"Пофиксите" в HijackThisКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\WINDOWS\system32\ieqokuvj.dll',''); QuarantineFile('C:\WINDOWS\system32\bucpysor.dll',''); QuarantineFile('C:\WINDOWS\SYSTEM32\valeriaplay.exe',''); QuarantineFile('C:\WINDOWS\tmpcpyis.bat',''); DeleteFile('C:\WINDOWS\system32\bucpysor.dll'); DeleteFile('C:\WINDOWS\system32\ieqokuvj.dll'); DeleteFile('C:\WINDOWS\system32\pmnli.dll'); DeleteFile('C:\WINDOWS\system32\geeby.dll'); DeleteFile('C:\WINDOWS\SYSTEM32\valeriaplay.exe'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.Пришлите файлы карантина по правилам раздела "Помогите". Повторите логи.Код:R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.yahoo.com/search/ie.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.yahoo.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.yahoo.com/search?p=%s R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
У меня не было Yahoo toolbar, просто в search engine стоял яхуу как основной поисковик. Я его поменял, все выполнил как вы сказали и отправил файлы карантина
Где логи?
Простите сразу не заметил про логи. Вот они.
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\WINDOWS\system32\rqrpqol.dll',''); QuarantineFile('C:\WINDOWS\system32\xccjmmuu.dll',''); QuarantineFile('C:\WINDOWS\system32\vhpabgkn.dll',''); DeleteFile('C:\WINDOWS\system32\vhpabgkn.dll'); DeleteFile('C:\WINDOWS\system32\rqrpqol.dll'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=10929
2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Код:O2 - BHO: (no name) - {7C24493F-3D23-4258-9426-42C5FC3B8211} - C:\WINDOWS\system32\rqrpqol.dll (file missing) O2 - BHO: (no name) - {DFF199BF-CDCD-4287-BCEC-A8A9935FF72F} - C:\WINDOWS\system32\geeby.dll (file missing) O2 - BHO: (no name) - {F7D6FE88-7265-404D-9B52-FCEA8BA26578} - C:\WINDOWS\system32\pmnli.dll (file missing) O20 - Winlogon Notify: geeby - C:\WINDOWS\ O20 - Winlogon Notify: pmnli - C:\WINDOWS\ O20 - Winlogon Notify: winosz32 - C:\WINDOWS\ O20 - Winlogon Notify: rqrpqol - rqrpqol.dll (file missing)
Последний раз редактировалось Muzzle; 16.07.2007 в 08:00.
Я выполнил скрипт,отослал файлы в карантине и пофиксил строки.
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; DeleteFile('C:\WINDOWS\system32\xccjmmuu.dll'); BC_DeleteFile('C:\WINDOWS\system32\xccjmmuu.dll'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Какие-нибудь изменения есть?
Сделайте повторно логи.
C:\WINDOWS\system32\ieqokuvj.dll - совсем свежий(kaspersky) Trojan.Win32.BHO.bd
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Вроде все стало нормально работать.
Вот логи.
В логах больше ничего подозрительного нет,если проблема исчезла,то лечение можно считать законченным.
пофиксите только мусор оставшийся после лечения
Советую работать за компьютером с правами ограниченного пользователя.Код:O2 - BHO: (no name) - {938A8A03-A938-4019-B764-03FF8D167D79} - C:\WINDOWS\system32\vhpabgkn.dll (file missing)
По возможности не пользоваться Internet Explorer,а использовать альтернативные браузеры,например Firefox,Opera(с отключёнными java скриптами)
Советую прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!
Удачи!
огромное спасибо Muzzle и Maxim за оказанную помощь!
мне не трудно будет поучавствовать в сборе базы безопасных файлов.
Процветания вашему порталу!
Статистика проведенного лечения:
- Получено карантинов: 4
- Обработано файлов: 70
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\mgrs.exe - Trojan-Downloader.Win32.Alphabet.h (DrWEB: Trojan.DownLoader.25873)
- c:\\windows\\system32\\ieqokuvj.dll - Trojan.Win32.BHO.bd (DrWEB: Trojan.Virtumod)
- c:\\windows\\system32\\pmnli.dll - not-a-virus:AdWare.Win32.Virtumonde.kr (DrWEB: Trojan.Virtumod)
- c:\\windows\\system32\\rqrpqol.dll - not-a-virus:AdWare.Win32.Virtumonde.jp (DrWEB: Trojan.Virtumod)
- c:\\windows\\system32\\vhpabgkn.dll - Trojan.Win32.BHO.bd (DrWEB: Trojan.Virtumod)
- c:\\windows\\system32\\winosz32.dll - Trojan.Win32.Dialer.qn (DrWEB: Trojan.Mezzia)
- c:\\windows\\system32\\xccjmmuu.dll - not-a-virus:AdWare.Win32.Virtumonde.ar (DrWEB: Trojan.Virtumod)
- c:\\windows\\temp\\win10.tmp.exe - Trojan-Downloader.Win32.Alphabet.h (DrWEB: Trojan.DownLoader.25873)
Уважаемый(ая) k0tz, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
