-
Junior Member
- Вес репутации
- 59
Прошу помощи
при запуске IE в нижней части окна примерно 1/3 по высоте и 100% по ширине вылезает флешка порно с блогодаргостью за установку плагина (я ничего не ставил), для того чтобы отключить предлагают отправить СМС на определенный номер. Если есть возможность помогите избавиться. В ходе проверки утилитой Dr.Web ( в безопасном режиме)был удален какой то зараженный файл. Теперь при запуске IE страница грузится и пытается загрузить что то с стороннего сайта _ttp://thebigtoplite.cn/all/index.php... но виснет и окно IE закрывается.
Последний раз редактировалось storno2001; 29.11.2008 в 01:33.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{26528DB7-3F17-47C3-B742-8250C7DA5D55}');
QuarantineFile('C:\WINDOWS\system32\qyklib.dll','');
QuarantineFile('C:\WINDOWS\system32\msansspc.dll','');
QuarantineFile('C:\WINDOWS\system32\olethk32i.exe','');
QuarantineFile('c:\docume~1\ПАПА\locals~1\temp\winlogon.exe','');
TerminateProcessByName('c:\docume~1\ПАПА\locals~1\temp\winlogon.exe');
DeleteFile('c:\docume~1\ПАПА\locals~1\temp\winlogon.exe');
DeleteFile('C:\WINDOWS\system32\msansspc.dll');
DeleteFile('C:\WINDOWS\system32\qyklib.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Пришлите карантин по правилам и повторите логи...
-
-
Junior Member
- Вес репутации
- 59
карантин отправил, логи прикрепил. Посмотрите плиз. Что то еще есть. Теперь при открытии IE NOD32 перехватывает какойто троян
Последний раз редактировалось storno2001; 29.11.2008 в 01:33.
-
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('ati6nqxx');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati6nqxx.sys','');
QuarantineFile('c:\windows\system32\rs32net.exe','');
TerminateProcessByName('c:\windows\system32\rs32net.exe');
DeleteService('lanmanworkstationWebClient');
DeleteFile('C:\WINDOWS\system32\olethk32i.exe');
DeleteFile('c:\windows\system32\rs32net.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\ati6nqxx.sys');
DeleteFile('C:\WINDOWS\system32\msansspc.dll');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('ati6nqxx');
BC_DeleteSvc('lanmanworkstationWebClient');
BC_Activate;
RebootWindows(true);
end.
Пришлите карантин по правилам и повторите логи...
-
-
Junior Member
- Вес репутации
- 59
Карантин и логи прицепил. NOD32 все равно перехватывает заразу: пишет Wigon Троян
C:/Windows/system32/drivers/ati4adxx.sys
C:/Windows/system32/drivers/ati4adxx.sys
Последний раз редактировалось storno2001; 29.11.2008 в 01:33.
-
Зараза плодится на глазах
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('lanmanworkstationWebClient');
DeleteService('ati8gjxx');
DeleteService('ati7ybxx');
DeleteService('ati7psxx');
DeleteService('ati7orxx');
DeleteService('ati6nqxx');
DeleteService('ati4mpxx');
DeleteService('ati4fhxx');
DeleteService('ati4adxx');
DeleteService('ati3rtxx');
DeleteService('ati1gjxx');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati8gjxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati7ybxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati7psxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati7orxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati6nqxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati4mpxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati4fhxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati4adxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati3rtxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati1gjxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati0fhxx.sys','');
TerminateProcessByName('c:\windows\system32\rs32net.exe');
DeleteFile('c:\windows\system32\rs32net.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\ati0fhxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati1gjxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati3rtxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati4adxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati4fhxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati4mpxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati6nqxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati7orxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati7psxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati7ybxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati8gjxx.sys');
DeleteFile('C:\WINDOWS\system32\olethk32i.exe');
DeleteFile('msansspc.dll');
DeleteFile('C:\WINDOWS\System32\rs32net.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Пришлите карантин по правилам и повторите логи...
-
-
Junior Member
- Вес репутации
- 59
логи вложены. карантин закачивается. кажись зараза сгинула
Последний раз редактировалось storno2001; 29.11.2008 в 01:33.
-
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('ati2twxx');
DeleteService('ati1ilxx');
DeleteFile('C:\WINDOWS\System32\Drivers\ati1ilxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati2twxx.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
повторите логи
-
-
Junior Member
- Вес репутации
- 59
логи и карантин прицепил. мжет пофиксить чё нить :-(((
Последний раз редактировалось storno2001; 29.11.2008 в 01:33.
-
В логах чисто, SP3 установите...
-
-
Junior Member
- Вес репутации
- 59
Огромное спасибо Гриша и V_Bond.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 4
- Обработано файлов: 76
- В ходе лечения обнаружены вредоносные программы:
- c:\\docume~1\\папа\\locals~1\\temp\\winlogon.exe - Trojan-Dropper.Win32.Agent.zxw (DrWEB: BackDoor.Dax.37)
- c:\\windows\\system32\\msansspc.dll - Backdoor.Win32.Small.gsc (DrWEB: Trojan.Inject.4675)
- c:\\windows\\system32\\olethk32i.exe - Trojan.Win32.Agent.aouk (DrWEB: BackDoor.IRC.Nite.1
- c:\\windows\\system32\\qyklib.dll - Trojan-Ransom.Win32.Hexzone.gfr (DrWEB: Trojan.Virtumod.852)
-