-
Junior Member
- Вес репутации
- 61
Загружается непонятная страница периодически
Добрый вечер!
переодически появляется страница, которая перенаправляет на sanitardiska.com (или что то вроде).
Если комп подключен к интеренету на панели задач постоянно выскакивают соообщения типа : "Ваш комп инфицирован, срочно обновите антивирус"
Что делать? Страница появляется постоянно.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
Junior Member
- Вес репутации
- 61
Сообщение от
pig
Протокол во вложении
Последний раз редактировалось asale; 02.03.2008 в 10:22.
-
Junior Member
- Вес репутации
- 61
Сообщение от
asale
Протокол во вложении
Как возможно вылечить данные программы?
-
Прочитайте внимательно и выполните в точности правила.
-
-
Junior Member
- Вес репутации
- 61
Сообщение от
Geser
Прочитайте внимательно и выполните в точности правила.
Вроде все корректно
Последний раз редактировалось asale; 02.03.2008 в 10:22.
-
Junior Member
- Вес репутации
- 61
Почему-то файл virusinfo_cure не прикреаляется
-
Отключите восстановление системы!!
Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('C:\WINDOWS\TEMP\winlogan.exe','');
QuarantineFile('C:\Program Files\WinAble\winable.exe','');
QuarantineFile('C:\WINDOWS\System32\_svchosta.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\Oaeo36.sys','');
QuarantineFile('C:\WINDOWS\System32\yrgpit.dll','');
QuarantineFile('C:\WINDOWS\system32\ramtmb.dll','');
QuarantineFile('C:\WINDOWS\System32\jkd845jg.dll','');
QuarantineFile('C:\WINDOWS\System32\drivers\rsrvmon.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\lssrv.exe','');
QuarantineFile('C:\WINDOWS\System32\d4ghggf4g.dll','');
QuarantineFile('C:\WINDOWS\System32\Apwcmdnt.dll','');
QuarantineFile('C:\Program Files\Router\Router.exe','');
QuarantineFile('C:\Program Files\Insider\Insider.exe','');
QuarantineFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\winsto.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll','');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll');
DeleteFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\winsto.exe');
DeleteFile('C:\WINDOWS\System32\d4ghggf4g.dll');
DeleteFile('C:\WINDOWS\System32\drivers\lssrv.exe');
DeleteFile('C:\WINDOWS\System32\drivers\rsrvmon.exe');
DeleteFile('C:\WINDOWS\System32\jkd845jg.dll');
DeleteFile('C:\WINDOWS\System32\drivers\Oaeo36.sys');
DeleteFile('C:\WINDOWS\System32\_svchosta.exe');
DeleteFile('C:\Program Files\WinAble\winable.exe');
DeleteFile('C:\WINDOWS\TEMP\winlogan.exe');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_ImportDeletedList;
BC_QrSvc('Microsoft Inet Service');
BC_DeleteSvc('Microsoft Inet Service');
ExecuteSysClean;
ExecuteRepair(13);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки пришлите карантин согласно приложению 3 правил.
Сделайте новые логи.
Добавлено через 36 секунд
Сообщение от
asale
Почему-то файл virusinfo_cure не прикреаляется
Его не надо прикреплять.
Последний раз редактировалось Bratez; 03.01.2008 в 13:13.
Причина: Добавлено
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 61
Сообщение от
Bratez
Отключите восстановление системы!!
Добавлено через 36 секунд
Его не надо прикреплять.
Новый лог во вложении
Последний раз редактировалось asale; 02.03.2008 в 10:22.
-
Junior Member
- Вес репутации
- 61
Сообщение от
asale
Новый лог во вложении
Забыл еще один
Последний раз редактировалось asale; 02.03.2008 в 10:22.
-
Что-то почти все на месте...
Пофиксите в HijackThis:
Код:
O2 - BHO: C:\WINDOWS\System32\jkd845jg.dll - {B5AC49A2-94F3-42BD-F434-2604812C897D} - C:\WINDOWS\System32\jkd845jg.dll (file missing)
O4 - HKLM\..\Run: [f94mggfhfghodftdf] C:\WINDOWS\TEMP\winlogan.exe
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [rsrvmon.exe] C:\WINDOWS\System32\drivers\rsrvmon.exe
O4 - HKCU\..\Run: [Windows Rescue System] C:\DOCUME~1\86C2~1\LOCALS~1\Temp\winsto.exe
O4 - HKCU\..\Run: [f94mggfhfghodftdf] C:\WINDOWS\TEMP\winlogan.exe
O4 - HKCU\..\Run: [Insider] C:\Program Files\Insider\Insider.exe
O4 - HKCU\..\Run: [WinAble] C:\Program Files\WinAble\winable.exe
O4 - HKCU\..\Run: [Router] C:\Program Files\Router\Router.exe
O4 - HKCU\..\Run: [Access Control App] C:\DOCUME~1\86C2~1\LOCALS~1\Temp\winsto.exe
O20 - Winlogon Notify: partnershipreg - C:\Documents and Settings\All Users\Документы\Settings\partnership.dll (file missing)
O21 - SSODL: DCOM Server 25319 - {2C1CD3D7-86AC-4068-93BC-A02304B25319} - C:\WINDOWS\System32\yrgpit.dll
O22 - SharedTaskScheduler: DCOM Server 25319 - {2C1CD3D7-86AC-4068-93BC-A02304B25319} - C:\WINDOWS\System32\yrgpit.dll
O22 - SharedTaskScheduler: sdf4dr4gfdgeetj - {B5AC49A2-94F3-42BD-F434-2604812C897D} - C:\WINDOWS\System32\jkd845jg.dll (file missing)
Не перезагружаясь после фикса выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\winsto.exe');
DeleteFile('C:\Program Files\Insider\Insider.exe');
DeleteFile('C:\Program Files\Router\Router.exe');
DeleteFile('C:\WINDOWS\System32\drivers\lssrv.exe');
DeleteFile('C:\WINDOWS\System32\drivers\rsrvmon.exe');
DeleteFile('C:\WINDOWS\System32\yrgpit.dll');
DeleteFile('C:\WINDOWS\System32\_svchosta.exe');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll');
DeleteFile('C:\Program Files\WinAble\winable.exe');
DeleteFile('C:\WINDOWS\System32\jkd845jg.dll');
DeleteFile('C:\WINDOWS\TEMP\winlogan.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки сделайте новые логи.
Добавлено через 5 минут
Для справки: вот что обнаружилось в вашем карантине -
Trojan-Downloader.Win32.Tiny.acv
Rootkit.Win32.Agent.qz
Backdoor.Win32.Agent.adr
Trojan-Clicker.Win32.Agent.ny
Trojan-Downloader.Win32.Exchanger.a
Trojan-Downloader.Win32.Agent.gdi
not-a-virus:AdWare.Win32.Insider.a
Trojan-Downloader.Win32.Suurch.bv
Скачайте эту программу, но пока не запускайте:
http://www.tacktech.com/pub/winsockfix/WinsockFix.zip
Последний раз редактировалось Bratez; 03.01.2008 в 14:10.
Причина: Добавлено
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 61
Сообщение от
Bratez
Новые логи во вложении.
А что делать с программой?
Последний раз редактировалось asale; 02.03.2008 в 10:22.
-
Пофиксите в HijackThis:
Код:
O20 - Winlogon Notify: partnershipreg - C:\Documents and Settings\All Users\Документы\Settings\partnership.dll (file missing)
O21 - SSODL: DCOM Server 25319 - {2C1CD3D7-86AC-4068-93BC-A02304B25319} - C:\WINDOWS\System32\yrgpit.dll
O22 - SharedTaskScheduler: DCOM Server 25319 - {2C1CD3D7-86AC-4068-93BC-A02304B25319} - C:\WINDOWS\System32\yrgpit.dll
O22 - SharedTaskScheduler: sdf4dr4gfdgeetj - {B5AC49A2-94F3-42BD-F434-2604812C897D} - (no file)
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(false, true);
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Oaeo36', 'Start');
BC_DeleteFile('C:\WINDOWS\System32\drivers\Oaeo36.sys');
BC_DeleteFile('C:\WINDOWS\System32\_svchosta.exe');
BC_DeleteFile('C:\WINDOWS\System32\yrgpit.dll');
BC_DeleteFile('C:\WINDOWS\System32\Apwcmdnt.dll');
BC_DeleteFile('C:\WINDOWS\System32\drivers\lssrv.exe');
BC_DeleteFile('C:\WINDOWS\System32\drivers\rsrvmon.exe');
BC_DeleteFile('C:\WINDOWS\TEMP\winlogan.exe');
BC_DeleteSvc('NdisWon');
BC_DeleteSvc('Oaeo36');
BC_DeleteSvc('Microsoft Inet Servicea');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Если после скрипта возникнут проблемы с интернетом, запустите скачанную программу и нажмите Fix. По окончании работы программы будет перезагрузка. Возможно после этого придется заново ввести настройки сетевых подключений, так что запишите их заранее.
Сделайте полный комплект логов.
I am not young enough to know everything...
-