Junior Member
Вес репутации
62
Всплывают pop-up окна разных сайтов при работе с IE 7.0.5730.11
Вообщем борюсь с этой дрянью уже неделю. Времени никак не выберу. Вот нашел, сделал всё как написано в правилах.
Нашел файлик в папке windows\system32\pmnli.dll
Избавлялся от него, но он всё время заново появляется. Смотрел через unlockdll подгружается под всем чем можно (explorer.exe, rundll32.exe...)
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее... ):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('winosz32.dll','');
QuarantineFile('C:\WINDOWS\system32\ibmvxqel.dll','');
QuarantineFile('C:\WINDOWS\system32\vqtyoxod.dll','');
QuarantineFile('C:\WINDOWS\winstart.bat','');
QuarantineFile('C:\WINDOWS\system32\geeby.dll','');
QuarantineFile('C:\WINDOWS\system32\winosz32.dll','');
QuarantineFile('C:\WINDOWS\system32\rqrpqol.dll','');
QuarantineFile('C:\WINDOWS\system32\davaykyr.dll','');
QuarantineFile('C:\WINDOWS\system32\pmnli.dll','');
QuarantineFile('c:\windows\temp\win10.tmp.exe','');
QuarantineFile('c:\windows\mgrs.exe','');
DeleteFile('c:\windows\mgrs.exe');
DeleteFile('c:\windows\temp\win10.tmp.exe');
DeleteFile('C:\WINDOWS\system32\davaykyr.dll');
DeleteFile('C:\WINDOWS\system32\rqrpqol.dll');
DeleteFile('C:\WINDOWS\system32\winosz32.dll');
DeleteFile('winosz32.dll');
DeleteFile('C:\WINDOWS\winstart.bat');
DeleteFile('C:\WINDOWS\system32\geeby.dll');
DeleteFile('C:\WINDOWS\Installer\11f14c5a.msi');
DeleteFile('C:\Documents and Settings\Anna Roudenko\Application Data\Microsoft\Installer\{39619863-8A11-4B60-A166-E6747C986EBE}\ARPPRODUCTICON.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы)
пофиксить
Код:
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
Последний раз редактировалось Muzzle; 10.07.2007 в 05:20 .
Junior Member
Вес репутации
62
Все сделал как вы сказали и загрузил попавшие в карантин файлы.
Спасибо
Файл сохранён как 070714_225006_virus_46991ade7463b.zip
Размер файла 881372
MD5 120a18e61f3ee9137a1cad34a1c01282
Junior Member
Вес репутации
62
Вложения
Удалите Yahoo! Toolbar.
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\ieqokuvj.dll','');
QuarantineFile('C:\WINDOWS\system32\bucpysor.dll','');
QuarantineFile('C:\WINDOWS\SYSTEM32\valeriaplay.exe','');
QuarantineFile('C:\WINDOWS\tmpcpyis.bat','');
DeleteFile('C:\WINDOWS\system32\bucpysor.dll');
DeleteFile('C:\WINDOWS\system32\ieqokuvj.dll');
DeleteFile('C:\WINDOWS\system32\pmnli.dll');
DeleteFile('C:\WINDOWS\system32\geeby.dll');
DeleteFile('C:\WINDOWS\SYSTEM32\valeriaplay.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
"Пофиксите" в HijackThis
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.yahoo.com/search/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.yahoo.com/search?p=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
Пришлите файлы карантина по правилам раздела "Помогите". Повторите логи.
Junior Member
Вес репутации
62
У меня не было Yahoo toolbar, просто в search engine стоял яхуу как основной поисковик. Я его поменял, все выполнил как вы сказали и отправил файлы карантина
Junior Member
Вес репутации
62
Простите сразу не заметил про логи. Вот они.
Вложения
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\rqrpqol.dll','');
QuarantineFile('C:\WINDOWS\system32\xccjmmuu.dll','');
QuarantineFile('C:\WINDOWS\system32\vhpabgkn.dll','');
DeleteFile('C:\WINDOWS\system32\vhpabgkn.dll');
DeleteFile('C:\WINDOWS\system32\rqrpqol.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=10929
2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Код:
O2 - BHO: (no name) - {7C24493F-3D23-4258-9426-42C5FC3B8211} - C:\WINDOWS\system32\rqrpqol.dll (file missing)
O2 - BHO: (no name) - {DFF199BF-CDCD-4287-BCEC-A8A9935FF72F} - C:\WINDOWS\system32\geeby.dll (file missing)
O2 - BHO: (no name) - {F7D6FE88-7265-404D-9B52-FCEA8BA26578} - C:\WINDOWS\system32\pmnli.dll (file missing)
O20 - Winlogon Notify: geeby - C:\WINDOWS\
O20 - Winlogon Notify: pmnli - C:\WINDOWS\
O20 - Winlogon Notify: winosz32 - C:\WINDOWS\
O20 - Winlogon Notify: rqrpqol - rqrpqol.dll (file missing)
Последний раз редактировалось Muzzle; 16.07.2007 в 08:00 .
Junior Member
Вес репутации
62
Я выполнил скрипт,отослал файлы в карантине и пофиксил строки.
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
DeleteFile('C:\WINDOWS\system32\xccjmmuu.dll');
BC_DeleteFile('C:\WINDOWS\system32\xccjmmuu.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Какие-нибудь изменения есть?
Сделайте повторно логи.
C:\WINDOWS\system32\ieqokuvj.dll - совсем свежий(kaspersky) Trojan.Win32.BHO.bd
Junior Member
Вес репутации
62
Вроде все стало нормально работать.
Вот логи.
Вложения
В логах больше ничего подозрительного нет,если проблема исчезла,то лечение можно считать законченным.
пофиксите только мусор оставшийся после лечения
Код:
O2 - BHO: (no name) - {938A8A03-A938-4019-B764-03FF8D167D79} - C:\WINDOWS\system32\vhpabgkn.dll (file missing)
Советую работать за компьютером с правами ограниченного пользователя.
По возможности не пользоваться Internet Explorer,а использовать альтернативные браузеры,например Firefox,Opera(с отключёнными java скриптами)
Советую прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!
Удачи!
Junior Member
Вес репутации
62
огромное спасибо Muzzle и Maxim за оказанную помощь!
мне не трудно будет поучавствовать в сборе базы безопасных файлов.
Процветания вашему порталу!
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 4 Обработано файлов: 70 В ходе лечения обнаружены вредоносные программы:
c:\\windows\\mgrs.exe - Trojan-Downloader.Win32.Alphabet.h (DrWEB: Trojan.DownLoader.25873) c:\\windows\\system32\\ieqokuvj.dll - Trojan.Win32.BHO.bd (DrWEB: Trojan.Virtumod) c:\\windows\\system32\\pmnli.dll - not-a-virus:AdWare.Win32.Virtumonde.kr (DrWEB: Trojan.Virtumod) c:\\windows\\system32\\rqrpqol.dll - not-a-virus:AdWare.Win32.Virtumonde.jp (DrWEB: Trojan.Virtumod) c:\\windows\\system32\\vhpabgkn.dll - Trojan.Win32.BHO.bd (DrWEB: Trojan.Virtumod) c:\\windows\\system32\\winosz32.dll - Trojan.Win32.Dialer.qn (DrWEB: Trojan.Mezzia) c:\\windows\\system32\\xccjmmuu.dll - not-a-virus:AdWare.Win32.Virtumonde.ar (DrWEB: Trojan.Virtumod) c:\\windows\\temp\\win10.tmp.exe - Trojan-Downloader.Win32.Alphabet.h (DrWEB: Trojan.DownLoader.25873)