Тупит браузер

**Marika** · 23.11.2007, 15:45

Добрый вечер!
Вообщем проблема такая:
очень сильно тупит браузер - при переходе по ссылке выкидывает меня на какой-то левый сайт, что-то вроде search-daily.com, иногда на sanitardiska.com (или что то вроде).
Далее.. Если комп подключен к интеренету на панели задач постоянно выскакивают соообщения типа : "Ваш комп инфицирован, срочно обновите антивирус" или еще прикольнее "На вашем компе обнаружено порно, срочно удалит!". У меня стоит др.веб, но вся проблема в том что лицензия закончилась 2 месяца назад и обновляю я его не автоматически а скачиваю с сайта апдейты, но что-то мне подсказывает что это не выход

. Вообщем Веб ничего не находит.
Вот такая петрушка.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**PavelA** · 23.11.2007, 15:56

Cкачать winsockxpfix. Пока не запускать.

Выполнить скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\nutafun4.dll','');
 QuarantineFile('C:\WINDOWS\system32\cmpbk3.dll','');
BC_ImportAll;

BC_Activate;
RebootWindows(true);
end.

Загрузить карантин через ссылку вверху темы.

**Marika** · 23.11.2007, 21:51

Все сделала. Карантин отправила весь. Или надо было только некоторые файлы?
Вот еще что: после запуска скрипта, этот, блин доктор Вэб сразу же увидел в карантине троян! Это как понимать? при сканировании он его не видит, а так... Вообщем непонятно

**Bratez** · 24.11.2007, 03:24

C:\WINDOWS\system32\cmpbk3.dll - Trojan.Win32.BHO.yr
C:\WINDOWS\system32\nutafun4.dll - отсутствует

1. Запишите настройки сетевых подключений.
2. Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\system32\cmpbk3.dll');
 DelSPIByFileName('nutafun4.dll',true);
 SysCleanAddFile('C:\WINDOWS\system32\nutafun4.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
3. Если сильно затупит при загрузке, не пугайтесь, подождите минут 10.
4. Запустите WinsockxpFix и нажмите там кнопку Fix.
5. Обновите базы AVZ.
6. Сделайте новые логи.

**PavelA** · 24.11.2007, 13:43

Сообщение от Marika

Все сделала. Карантин отправила весь. Или надо было только некоторые файлы?
Вот еще что: после запуска скрипта, этот, блин доктор Вэб сразу же увидел в карантине троян! Это как понимать? при сканировании он его не видит, а так... Вообщем непонятно

Троян, он же руткит маскируется. Его может видеть Доктор посл. версии 4.44, предыдущий мог и не замечать.

**Marika** · 24.11.2007, 14:15

тепирь вроде все нормально. На всякий выкладываю новые логи

**Bratez** · 24.11.2007, 14:31

Все чисто. Осталось пофиксить в HijackThis:

Код:

O2 - BHO: (no name) - {D80ED985-5FB7-4ADD-8BAC-6274BD8AB88E} - C:\WINDOWS\system32\cmpbk3.dll (file missing)
O3 - Toolbar: Zend Studio - {95188727-288F-4581-A48D-EAB3BD027314} - (no file)

Посмотрите, что вам нужно из этого:

Код:

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику

Лишнее отключим.

**Marika** · 24.11.2007, 14:47

Посмотрите, что вам нужно из этого:

Код:

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику

Лишнее отключим.[/quote]

Я даже не знаю! Вообщем ничем таким явно я не пользуюсь, но может это для локалки нужно (комп подключен к локальной сети).
Может вот это:mnmsrvc RDSessMgr ?
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
Вот автозапуск можно оставить.
И
>> Безопасность: к ПК разрешен доступ анонимного пользователя
это типа, что пароля на входе в винду нет? Если так, то это тоже нормально
Вообщем, если я задаю глупые вопросы, то отключайте все кроме автозапуска

**Bratez** · 24.11.2007, 14:51

Вот скрипт:

Код:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.

Оставил автозапуск CD и доступ анонимного пользователя.

**CyberHelper** · 22.02.2009, 02:56

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 5
В ходе лечения обнаружены вредоносные программы:
1. c:\\windows\\system32\\cmpbk3.dll - Rootkit.Win32.Podnuha.y (DrWEB: Trojan.Iespy)

Тупит браузер (заявка № 14526)

Опции темы

Тупит браузер

Итог лечения

Похожие темы

тупит браузер

тупит интернет

Очень тупит компьютер

тупит

все тупит

Ваши права в разделе