-
Junior Member
- Вес репутации
- 63
Полоска в Internet Explorer, отключенный брандмауэр и Spider Guard, который всё пропустил
Здравствуйте!
Посещая сегодня один из сайтов с афишей кинотеатров, Spider Dr.Webа начал выдавать сообщения об инфицировании. Я везде кликал «Удалить», но, тем не менее, вирусы всё-таки проникли на компьютер.
Теперь имею окно с порнографией, которое вылазит на пол экрана сразу после загрузки страницы (см. вложение) и отключенный брандмауэр Windows.
Пытаясь зайти на этот форум, обнаружил что после ввода логина и пароля меня выбрасывает на страницу поисковой системы LiveSearch, на которой написано, что данной страницы не существует. Стал смотреть настройки Internet Explorer и увидел в меню «Управление надстройками» неизвестную мне надстройку «Realtime Media Provider» с файлом C:\Documents and Settings\All Users\Application Data\jgnlib.dll При попытке отключить, Spider выдал сообщение об инфицировании. Где этот Spider со сканером раньше был, когда я весь компьютер в безопасном режиме сканировал, выполняя Правила этого форума?
И вот ещё могу привести список файлов, о которых SpIDer Guard меня никак не известил, но в логе они отпечатались:
===
12-02-2009 00:12:30 [BG] (PID = 0900) C:\Documents and Settings\All Users\Application Data\jgnlib.dll - инфицирован Trojan.Blackmailer.946
12-02-2009 00:12:35 [BG] (PID = 0900) C:\Documents and Settings\All Users\Application Data\jgnlib.dll - ошибка удаления
12-02-2009 00:12:35 [BG] (PID = 0900) C:\Documents and Settings\All Users\Application Data\jgnlib.dll - доступ к файлу запрещен
===
12-02-2009 00:02:34 [CL] (PID = 1532) C:\WINDOWS\file.bat - инфицирован BAT.Killfw
12-02-2009 00:02:35 [CL] (PID = 1532) C:\WINDOWS\file.bat - перемещен как 'C:\Program Files\DrWeb\infected.!!!\file.bat.320A1743'
12-02-2009 00:02:37 [CL] (PID = 1532) C:\WINDOWS\file.bat - инфицирован BAT.Siggen.3
12-02-2009 00:02:37 [CL] (PID = 1532) C:\WINDOWS\file.bat - перемещен как 'C:\Program Files\DrWeb\infected.!!!\file.bat.500CEBDB'
===
11-02-2009 22:31:04 [CL] (PID = 1616) C:\WINDOWS\file.bat - инфицирован BAT.Killfw
11-02-2009 22:31:04 [CL] (PID = 1616) C:\WINDOWS\file.bat - ошибка перемещения
11-02-2009 22:31:04 [CL] (PID = 1616) C:\WINDOWS\file.bat - переименован
11-02-2009 22:31:07 [CL] (PID = 1616) C:\WINDOWS\file.bat - инфицирован BAT.Siggen.3
11-02-2009 22:31:07 [CL] (PID = 1616) C:\WINDOWS\file.bat - ошибка перемещения
11-02-2009 22:31:07 [CL] (PID = 1616) C:\WINDOWS\file.bat - переименован в 'file'
11-02-2009 23:02:54 [CL] (PID = 1976) C:\WINDOWS\file.bat - инфицирован BAT.Killfw
11-02-2009 23:02:54 [CL] (PID = 1976) C:\WINDOWS\file.bat - перемещен как 'C:\Program Files\DrWeb\infected.!!!\file.bat.32EAC016'
11-02-2009 23:02:56 [CL] (PID = 1976) C:\WINDOWS\file.bat - инфицирован BAT.Siggen.3
11-02-2009 23:02:56 [CL] (PID = 1976) C:\WINDOWS\file.bat - перемещен как 'C:\Program Files\DrWeb\infected.!!!\file.bat.3DB8DD44'
===
Могу ещё привести список того, что я сегодня убивал.
Заранее благодарю за помощь!
Последний раз редактировалось MihailKrasnodar; 17.01.2010 в 21:59.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Отключив интернет и антивирус, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\digeste.dll','');
QuarantineFile('C:\WINDOWS\services.exe','');
QuarantineFile('C:\WINDOWS\msauc.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\jgnlib.dll','');
DeleteFile('C:\Documents and Settings\All Users\Application Data\jgnlib.dll');
DeleteFile('C:\WINDOWS\msauc.exe');
DeleteFile('C:\WINDOWS\services.exe');
DeleteFile('C:\WINDOWS\system32\digeste.dll');
BC_ImportDeletedList;
ExecuteSysClean;
DelBHO('{469C7F34-476F-43A4-A8EC-39FFB42D4EB9}');
ExecuteRepair(13);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=39537).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 63
Карантин загрузил.
Логи прикладываю.
Последний раз редактировалось MihailKrasnodar; 17.01.2010 в 21:58.
-
Отключив интернет и антивирус, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('digeste.dll','');
DeleteFile('digeste.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=39537).
Сделайте новые логи
-
-
Junior Member
- Вес репутации
- 63
Карантин не заружается. Пишет: "Ошибка загрузки. Данный файл уже был загружен". Поэтому я его сюда засунул: moroz.nextmail.ru/virus.zip
Логи прикладываю.
Последний раз редактировалось MihailKrasnodar; 17.01.2010 в 21:58.
-
В логах чисто, установите SP3+all updates...
-
-
Junior Member
- Вес репутации
- 63
Брандмауэр по-прежнему не запускается (вкладка недоступна, переключатиель стоит на "отключено").
А можно ставть SP3 на пиратскую Windows?
-
Сообщение от
MihailKrasnodar
А можно ставть SP3 на пиратскую Windows?
Можно, только Windows попросит авторизацию, без авторизации дается работать 30 дней.
-
-
Брандмауэр по-прежнему не запускается
Гляньте здесь:
http://virusinfo.info/showthread.php?t=12078
I am not young enough to know everything...
-
-
Сообщение от
MihailKrasnodar
А CRACK от XP с интегрированным SP2 поможет?
Здесь в нарушение правил форума консультации по поводу креков не дают. На первый раз предупреждение за такие вопросы, надеюсь и в последний.
-
-
Junior Member
- Вес репутации
- 63
А через AVZ, не подскажите, как можно включить брандмауэр?
Раньше мне вроде бы писали скрипт для включения.
И ещё одна проблема наблюдается: не всегда работает переключение раскладок клавиатуры. Приходится перезагружаться, чтобы заработало.
Ещё раз благодарю всех, кто помогает мне в решении моих проблем с компьютером.
-
Сообщение от
MihailKrasnodar
А через AVZ, не подскажите, как можно включить брандмауэр?
Никак. Посмотрите тут: http://virusinfo.info/showpost.php?p=282947&postcount=2
И ещё одна проблема наблюдается: не всегда работает переключение раскладок клавиатуры. Приходится перезагружаться, чтобы заработало.
Не всегда работает... Хмм, у меня тоже выходные бывают... (шутка).
Попробуйте удалить все разкалдки, перегрузиться и установить их по новой.
-
-
Junior Member
- Вес репутации
- 63
У меня сама служба работает и в Панели управления есть значок, но пункт «Включить» не доступен. Поэтому советы, указанные в теме http://virusinfo.info/showthread.php?t=12078 мне, наверное, не помогут (первый точно не сработал).
http://virusinfo.info/showpost.php?p=282947&postcount=2 – по этой рекомендации могу сказать, что ключа WindowsFirewall в реестре не обнаружил и дальнейшие действия тоже ни к чему положительному не привели.
Вот нашёл -> когда у меня после заражения тоже однажды отключался брандмауэр, пользователь V_Bond посоветовал в теме http://virusinfo.info/showthread.php?t=28666 сделать скрипт
Код:
begin
ExecuteRepair(6);
ExecuteRepair(8);
RebootWindows(true);
end.
После выполнения этого скрипта тогда брандмауэр заработал. Может и сейчас можно попробовать?
Последний раз редактировалось MihailKrasnodar; 17.01.2010 в 21:58.
-
Попробуйте, хуже не станет.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 63
Выполнил скрипт и брандмауэр заработал!
Как видите, всё намного проще. :-)
Всем спасибо!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\msauc.exe - Packed.Win32.Krap.i
- c:\windows\services.exe - Email-Worm.Win32.Joleee.gs
- c:\windows\system32\digeste.dll - Packed.Win32.Krap.i
-