Показано с 1 по 12 из 12.

"Critical system error, click here to fix" -- поп-ап из трея (заявка № 16587)

  1. #1
    Junior Member Репутация
    Регистрация
    17.01.2008
    Сообщений
    6
    Вес репутации
    40

    Thumbs up "Critical system error, click here to fix" -- поп-ап из трея

    День добрый!

    Помогите, пожалуйста. Словил сабж, теперь оно периодически выползает из трея и мешает жить . При клике -- отправляет на sanitardisca.com. Судя по фаерволу, иногда втихую стучится по разным айпишникам и пытается открыть то pureserver.info, то /ppc/config.phpchk на разных адресах. В процессах его не видно.

    Руками нашел два подозрительных неудаляемых файла:
    C:\WINDOWS\system32\drivers\vnafudcc.dat
    C:\Documents and Settings\User\Local Settings\Temp\pvhwydib.dat

    Собственно, поискав в яндексе их названия, я и вышел на этот сайт.

    В системе установлен Symantec Antivirus -- говорит, что все нормально. Проверялся CureIt и AdAware, тоже безуспешно.

    SpyBot сообщил, что нашел и вылечил две проблемы:
    NNC.MGRS
    Win32.AutoRun.aiv

    Но те два файла все равно на своих местах.

    В общем, после этого сделал все необходимые процедуры, результаты которых и прилагаю. Спасибо заранее.

    PS. И еще, если можно, в порядке ликбеза, подскажите пожалуйста. Как просмотреть список всех сервисов (система WinXP, SP2)? "Стандартные - Администрирование - Службы" выдает явно не весь список. Ну или я чего-то недопонимаю...
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1503
    выполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     StopService('mglpewgn');
     QuarantineFile('C:\WINDOWS\system32\Drivers\vnafudcc.dat','');
     QuarantineFile('C:\WINDOWS\system32\datim.dll','');
     DeleteFile('C:\WINDOWS\system32\datim.dll');
     DeleteFile('C:\WINDOWS\system32\Drivers\vnafudcc.dat');
     DelBHO('{1589FCAF-2B5B-4470-97BB-EFA57F4C3C1C}');
     BC_DeleteSvc('mglpewgn');
    BC_ImportDeletedList;
    ExecuteRepair(1);
    ExecuteRepair(6);
    ExecuteRepair(8);
    ExecuteRepair(9);
    ExecuteRepair(16);
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...
    повторите логи ....

  4. #3
    Junior Member Репутация
    Регистрация
    17.01.2008
    Сообщений
    6
    Вес репутации
    40
    Выполнил, прислал, вот новые логи.
    Вложения Вложения

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1503
    ничего зловредного в логах не вижу ... осталось удалить ваших антишпионов (бесполезны ... причем все) ...
    надеюсь проблем больше нет ...

  6. #5
    Junior Member Репутация
    Регистрация
    17.01.2008
    Сообщений
    6
    Вес репутации
    40
    Антишпионы -- это я вчера, начитавшись форума, все что упоминалось в FAQах понаставил .

    Тем не менее, к pureserver.info периодически стучится по-прежнему . Хотя те два файла удалились без проблем, да.

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1503
    кто куда стучится ... лог фаервола плиззз ....

  8. #7
    Junior Member Репутация
    Регистрация
    17.01.2008
    Сообщений
    6
    Вес репутации
    40
    Код:
    [19/Jan/2008 00:37:05] DROP "pureserver.info - 217.160.173.234" packet to Dial-In, proto:TCP, len:48, ip/port:{my_ip}:1078 -> 217.160.173.234:80, flags: SYN , seq:2137993561 ack:0, win:65535, tcplen:0
    [19/Jan/2008 00:37:07] DROP "pureserver.info - 217.160.173.234" packet to Dial-In, proto:TCP, len:48, ip/port:{my_ip}:1082 -> 217.160.173.234:80, flags: SYN , seq:1651007075 ack:0, win:65535, tcplen:0
    [19/Jan/2008 00:37:09] DROP "pureserver.info - 217.160.173.234" packet to Dial-In, proto:TCP, len:48, ip/port:{my_ip}:1083 -> 217.160.173.234:80, flags: SYN , seq:341289211 ack:0, win:65535, tcplen:0
    [19/Jan/2008 00:37:11] DROP "217.71.193.11" packet to Dial-In, proto:TCP, len:48, ip/port:{my_ip}:1084 -> 217.71.193.11:80, flags: SYN , seq:664655926 ack:0, win:65535, tcplen:0
    [19/Jan/2008 00:37:13] DROP "217.71.193.11" packet to Dial-In, proto:TCP, len:48, ip/port:{my_ip}:1085 -> 217.71.193.11:80, flags: SYN , seq:1926582893 ack:0, win:65535, tcplen:0
    [19/Jan/2008 00:37:15] DROP "217.71.193.11" packet to Dial-In, proto:TCP, len:48, ip/port:{my_ip}:1086 -> 217.71.193.11:80, flags: SYN , seq:2596300685 ack:0, win:65535, tcplen:0
    [19/Jan/2008 02:26:05] DROP "203.105.3.240" packet to Dial-In, proto:TCP, len:48, ip/port:{my_ip}:1191 -> 203.105.3.240:80, flags: SYN , seq:3967140814 ack:0, win:65535, tcplen:0
    [19/Jan/2008 02:26:07] DROP "203.105.3.240" packet to Dial-In, proto:TCP, len:48, ip/port:{my_ip}:1208 -> 203.105.3.240:80, flags: SYN , seq:1491373577 ack:0, win:65535, tcplen:0
    [19/Jan/2008 02:26:09] DROP "203.105.3.240" packet to Dial-In, proto:TCP, len:48, ip/port:{my_ip}:1209 -> 203.105.3.240:80, flags: SYN , seq:2928432072 ack:0, win:65535, tcplen:0
    Это то, что отфильтровалось (я заставил фаервол дропать некоторые самые частые адреса).

    Код:
    [19/Jan/2008:02:34:29 +0300] "POST http://213.144.15.27/? HTTP/1.0" 200 176
    [19/Jan/2008:02:34:30 +0300] "POST http://69.36.51.162/? HTTP/1.0" 200 176 
    [19/Jan/2008:02:34:30 +0300] "POST http://69.36.51.163/? HTTP/1.0" 200 176
    А это то, что под правила дропа не попало и все-таки прошло фаервол.
    Последний раз редактировалось Stormbird; 19.01.2008 в 02:37.

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    544
    inetnum: 217.160.160.0 - 217.160.175.255
    netname: SCHLUND-CUSTOMERS
    role: Schlund NCC
    address: 1&1 Internet AG
    address: Brauerstrasse 48
    address: D-76135 Karlsruhe
    address: Germany

    inetnum: 217.71.193.0 - 217.71.193.255
    netname: OWS-COLO
    role: Orange Web Services
    address: Orange Web Services, S.L.
    address: Partida del Boch, 151
    address: 03330 Crevillent (Alicante)
    address: Spain

    203.105.3.240
    Hong kong
    6/F, Somerset House
    TaiKoo Place
    Quarry Bay
    Hong Kong
    iAsiaWorks(H.K.)Ltd.

  10. #9
    Junior Member Репутация
    Регистрация
    17.01.2008
    Сообщений
    6
    Вес репутации
    40
    Orange Web Services -- это одна из приблуд фаервола, через нее он пытается определить характер посещаемых адресов. Так что тут да, ложная тревога.

  11. #10
    Junior Member Репутация
    Регистрация
    17.01.2008
    Сообщений
    6
    Вес репутации
    40
    В общем, к pureserver.info 217.160.173.234 ломится по-прежнему, что это такое, я так и не разобрался. 69.36.51.163 и 217.160.183.115 то же самое. Кроме того, в "Моем компьютере" откуда-то появились "Веб-папки" (вот уж чем никогда не пользуюсь), а в "Диспетчере задач" у всех процессов стала пустой колонка "Имя пользователя". Судя по всему, на неделе выберу время и вообще переставлю систему.

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1698
    Цитата Сообщение от Stormbird Посмотреть сообщение
    Кроме того, в "Моем компьютере" откуда-то появились "Веб-папки" (вот уж чем никогда не пользуюсь), а в "Диспетчере задач" у всех процессов стала пустой колонка "Имя пользователя".
    Это скрипты AVZ сбросили настройки на дефолтные.

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,313
    Вес репутации
    956

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\datim.dll - Rootkit.Win32.Podnuha.y (DrWEB: Trojan.DownLoader.45437)
      2. c:\\windows\\system32\\drivers\\vnafudcc.dat - Rootkit.Win32.Agent.aap (DrWEB: Trojan.NtRootKit.73


  • Уважаемый(ая) Stormbird, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. "Your system is infected" и "Click here to protect..."
      От Oblom в разделе Помогите!
      Ответов: 17
      Последнее сообщение: 22.08.2009, 15:53
    2. программа удаления "critical error"
      От Carbon в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.02.2009, 07:03
    3. IE Antivirus "Critical Error!" Window
      От Esper в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 06.07.2008, 03:31
    4. Warning! "Critical Error!"
      От nik0223 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 06.07.2008, 00:21
    5. "Critical System Error!" в трее
      От XSCounter в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 13.10.2006, 10:15

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00869 seconds with 17 queries