со страниц выдачи поисковиков, да и просто из адресной строки без лишних вопросов перенаправляет на другие сайты (причем не всегда почему то)
еще стала частенько тормозить загрузка страниц.
avast home ниче не видит.
со страниц выдачи поисковиков, да и просто из адресной строки без лишних вопросов перенаправляет на другие сайты (причем не всегда почему то)
еще стала частенько тормозить загрузка страниц.
avast home ниче не видит.
Закройте все программы.
Запустите AVZ.
Выполните скрипт через меню Файл:
Компьютер перезагрузится.Код:begin QuarantineFile('C:\WINDOWS\system32\kdrpy.exe',''); BC_QrFile('C:\WINDOWS\system32\kdrpy.exe'); BC_DeleteFile('C:\WINDOWS\system32\kdrpy.exe'); BC_Activate; RebootWindows(true); end.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил) по ссылке http://virusinfo.info/upload_virus.php?tid=18638
Обновите базы AVZ.
Выполните пункты Правил 8-9. Новый лог virusinfo_syscure.zip приложите к своей теме.
скрипт выполнил.
карантин отправил.
базы обновил.
пункты 8-9 выполнил.
лог прилагаю.
вот лог
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('kdrpy.exe'); BC_ImportDeletedList; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Добавлено через 1 минуту
Повторите лог virusinfo_syscure.zip и HJT
Последний раз редактировалось akoK; 26.02.2008 в 00:20. Причина: Добавлено
Microsoft Most Valuable Professional in Consumer Security
во время выполнения скрипта AVZ аваст обнаружил троян.
логи прилагаю.
антивирус нужно выключать на время выполнения скрипта (читаем правила) ..
выругался он на драйвер от авз ... так что в логах чисто ....
так что?
все вылечилось?
а что было то?
логи повторять не надо?
было kdrpy.exe_ - Trojan.Win32.DNSChanger.apn
теперь чисто ...
Спасибо!
Здесь нет "левых" адресов?Код:O17 - HKLM\System\CCS\Services\Tcpip\..\{1EBECFFA-1A2A-4DB8-8C8E-C004518F6219}: NameServer = 85.255.114.35,85.255.112.79 O17 - HKLM\System\CCS\Services\Tcpip\..\{4C1A7209-D56E-4D65-94A7-5E24064EE290}: NameServer = 85.255.114.35,85.255.112.79 O17 - HKLM\System\CCS\Services\Tcpip\..\{82185D37-1F8E-4B58-BFEB-393B0B156F8F}: NameServer = 85.255.114.35,85.255.112.79 O17 - HKLM\System\CCS\Services\Tcpip\..\{935F18FF-1C0D-43D2-9D42-B09015A838B6}: NameServer = 85.255.114.35,85.255.112.79 O17 - HKLM\System\CCS\Services\Tcpip\..\{C6A38068-104B-4A35-8A2B-CE79E2888AEB}: NameServer = 217.76.36.129 O17 - HKLM\System\CCS\Services\Tcpip\..\{D3039FB7-E66C-4DA2-8126-AC26513611C3}: NameServer = 85.255.114.35,85.255.112.79 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.35 85.255.112.79 O17 - HKLM\System\CS1\Services\Tcpip\..\{1EBECFFA-1A2A-4DB8-8C8E-C004518F6219}: NameServer = 85.255.114.35,85.255.112.79 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.35 85.255.112.79
85.255.114.35 и 85.255.112.79 производят впечатление именно левых. Принадлежат домену dedi.inhoster.com (сама сеть украинская - УкрТелеГруп, Одесса), но DNS там другие.
217.76.36.129 - аналогично. Безымянный хост из сети московского ВНИИТЕМР, DNS там другой.
ВНИИТЕМР это провайдер инета на работе.
УкрТелеГруп - левый.
что то нужно еще сделать?
Пофиксьте в HiJackThis
Если понадобится - потом восстановите оригинальные настройки доступа в ИнтернетКод:O17 - HKLM\System\CCS\Services\Tcpip\..\{1EBECFFA-1A2A-4DB8-8C8E-C004518F6219}: NameServer = 85.255.114.35,85.255.112.79 O17 - HKLM\System\CCS\Services\Tcpip\..\{4C1A7209-D56E-4D65-94A7-5E24064EE290}: NameServer = 85.255.114.35,85.255.112.79 O17 - HKLM\System\CCS\Services\Tcpip\..\{82185D37-1F8E-4B58-BFEB-393B0B156F8F}: NameServer = 85.255.114.35,85.255.112.79 O17 - HKLM\System\CCS\Services\Tcpip\..\{935F18FF-1C0D-43D2-9D42-B09015A838B6}: NameServer = 85.255.114.35,85.255.112.79 O17 - HKLM\System\CCS\Services\Tcpip\..\{D3039FB7-E66C-4DA2-8126-AC26513611C3}: NameServer = 85.255.114.35,85.255.112.79 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.35 85.255.112.79 O17 - HKLM\System\CS1\Services\Tcpip\..\{1EBECFFA-1A2A-4DB8-8C8E-C004518F6219}: NameServer = 85.255.114.35,85.255.112.79 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.35 85.255.112.79
вот теперь похоже что все.
пока не пофиксил в HJK меня редиректило все равно.
Спасибо еще раз!
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!
Удачи!
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 4
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\kdrpy.exe - Trojan.Win32.DNSChanger.apn (DrWEB: BackDoor.Mbot)
Уважаемый(ая) коржик, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.