Показано с 1 по 13 из 13.

Не работают обновления, и постоянно перенаправляет на другие сайты. (заявка № 42200)

  1. #1
    Junior Member Репутация
    Регистрация
    15.03.2009
    Сообщений
    8
    Вес репутации
    32

    Exclamation Не работают обновления, и постоянно перенаправляет на другие сайты.

    Симптомы следующие:
    1. Nod32, Outpost Firewall Pro, Windows Defender и Центр Обновления Windows перестали скачивать обновления.
    2. Постоянно вижу подмену рекламы - вместо стандартных баннеров отображается реклама таблеток Vimax. Так же, иногда при случайном клике на сайте (не обязательно на ссылку) открывается попап (игнорируя попап-блокер в Опере) с рекламой.
    3. Через фаерволл постоянно вижу в процессе svchost.exe трафик с ukrtelegroup.com.ua, и zlkon.lv - с процесса "Системный" (то есть имя процесса фаерволом не определяется). Любая попытка заблокировать этот трафик отключает интернет.
    4. Только что заметил, после регистрации на сайте - картинки с kaspersky.ru не грузятся. Подозреваю что это тоже из-за действий вируса.

    Что пытался делать:
    - Обнаружил, что эта зараза подменила мне DNS-сервера. сбросил через ipconfig /release, ipconfig /renew.
    - нашел файл C:/autorun.inf, прочитал что он пытается открыть - удалил оба файла. Последний опознался антивирусом как Kryptik.GH.
    - через HijackThis нашел 4 зловредные записи, которые упоминают айпишник этой UkrTeleGroup - 85.255.112.***, пофиксил.

    Вообще, по ощущениям, это то ли W32.Tidns (судя по описанию), то ли какой-то DNS Changer, но как с ним бороться - уже и не знаю, поэтому прошу помощи.

    ЗЫ: Не могу загрузить один из файлов - слишком большой размер.
    Вложения Вложения
    Последний раз редактировалось Dellirium; 21.03.2009 в 18:53.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Закройте все программы.
    Запустите AVZ.
    Выполните скрипт через меню Файл:
    Код:
    begin
    SetAVZGuardStatus(True);
    SearchRootkit(true, true);
     QuarantineFile('C:\Windows\system32\drivers\gaopdxlkdwtfdg.sys','');
     QuarantineFile('\systemroot\system32\drivers\gaopdxlkdwtfdg.sys','');
     DeleteFile('C:\Windows\system32\drivers\gaopdxlkdwtfdg.sys');
     DeleteFile('\systemroot\system32\drivers\gaopdxlkdwtfdg.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин AVZ (см. приложение 3 Правил) используя ссылку Прислать запрошенный карантин верху этой темы.
    Обновите базы AVZ.
    Сделайте новые логи AVZ и приложите к этой теме.
    Установите Adobe Acrobat Reader 9.1 или удалите старый.

  4. #3
    Junior Member Репутация
    Регистрация
    15.03.2009
    Сообщений
    8
    Вес репутации
    32
    Карантин отправил.
    Базы обновил (вроде бы и так были последние)
    Поскольку карантин забрал 2 файла из Windows Installer'a, он перестал работать, поэтому хоть проблема и исчезла (уже большое вам спасибо за это), но невозможно ни удалить/установить что-то (это касается Adobe Reader'a) ни скачать обновления для Винды/Дефендера, вернее качаются-то они качаются, но не устанавливаются.
    Я временно достал их оттуда, но пр ипроверке они, разумеется, попали туда снова.
    UPD: Заметил, что Нод32 поломался. Просто не открывается по нажатию иконки (иконка - красная)
    Вложения Вложения
    Последний раз редактировалось Dellirium; 22.03.2009 в 16:42.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Цитата Сообщение от Dellirium Посмотреть сообщение
    Поскольку карантин забрал 2 файла из Windows Installer'a, он перестал работать
    ...
    Я временно достал их оттуда, но пр ипроверке они, разумеется, попали туда снова.
    Карантин AVZ ничего не забирает, файлы туда честно копируются, оригиналы остаются на месте. Удаляются только явно зловредные файлы. О каких файлах речь?

  6. #5
    Junior Member Репутация
    Регистрация
    15.03.2009
    Сообщений
    8
    Вес репутации
    32
    Цитата Сообщение от pig Посмотреть сообщение
    Карантин AVZ ничего не забирает, файлы туда честно копируются, оригиналы остаются на месте. Удаляются только явно зловредные файлы. О каких файлах речь?
    а, извиняюсь, я удалил их при проверке раньше
    я так понимаю, их можно смело восстанавливать обратно?

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Кого "их"? Не видя файлов, сказать ничего нельзя. Если CureIt с AVPTool на них не ругаются - значит, с очень большой вероятностью чистые, восстанавливайте.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Вредоносный файл один:
    C:\Windows\system32\drivers\gaopdxlkdwtfdg.sys = Trojan.Win32.Tdss.unt (BackDoor.Tdss.73)
    Похоже, его трупик лежит ещё лежит на диске.
    Скачайте IceSword.
    Запустите, слева внизу кнопка File.
    Найдите файл
    C:\Windows\system32\drivers\gaopdxlkdwtfdg.sys
    щелкните на нем правой кнопкой и выберите force delete.

  9. #8
    Junior Member Репутация
    Регистрация
    15.03.2009
    Сообщений
    8
    Вес репутации
    32
    Цитата Сообщение от pig Посмотреть сообщение
    Кого "их"? Не видя файлов, сказать ничего нельзя. Если CureIt с AVPTool на них не ругаются - значит, с очень большой вероятностью чистые, восстанавливайте.
    восстановил, не помогло.
    Цитата Сообщение от AndreyKa Посмотреть сообщение
    Вредоносный файл один:
    C:\Windows\system32\drivers\gaopdxlkdwtfdg.sys = Trojan.Win32.Tdss.unt (BackDoor.Tdss.73)
    Похоже, его трупик лежит ещё лежит на диске.
    Скачайте IceSword.
    Через рапидшару не качается (у меня один ай-пи на мнооого абонентов), поэтому скачал отсюда (ссылку нашел в википедии, вроде как не олжно быть заражено )
    Однако, программа не открывается, даже если открывать правой кнопкой от имени администратора. Пишет "Initialize Failed". Проверил на другом компьютере (правда там ХР) - запускается.

    Попутно переустановил нод32 на более новый. все равно не открывается.

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от Dellirium Посмотреть сообщение
    Однако, программа не открывается...,Пишет "Initialize Failed".
    1. Пуск/Выполнить... набрать msconfig, нажать клавишу ВВОД.
    2. В карточке Автозапуск - Все отключить
    3. В карточке Службы - Службы Windows не показывать, остальные отключить.
    4. Перегрузить систему и попробовать запустить IceSword

  11. #10
    Junior Member Репутация
    Регистрация
    15.03.2009
    Сообщений
    8
    Вес репутации
    32
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    1. Пуск/Выполнить... набрать msconfig, нажать клавишу ВВОД.
    2. В карточке Автозапуск - Все отключить
    3. В карточке Службы - Службы Windows не показывать, остальные отключить.
    4. Перегрузить систему и попробовать запустить IceSword
    Сейчас попробую, но в безопасном режиме (а это почти и есть безопасный режим) тоже самое было

    Добавлено через 48 минут

    Нет, тоже самое: Initialize Failed.
    Последний раз редактировалось Dellirium; 23.03.2009 в 16:01. Причина: Добавлено

  12. #11
    Junior Member Репутация
    Регистрация
    15.03.2009
    Сообщений
    8
    Вес репутации
    32
    ап?

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от Dellirium Посмотреть сообщение
    ап?
    Удалите файл как хотите - загрузка через LiveCD, через диск дистрибутива в консоли восстановления или перемонтируйте хард в другой ПК.

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 3
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\drivers\gaopdxlkdwtfdg.sys - Trojan.Win32.Tdss.unt ( DrWEB: BackDoor.Tdss.73 )


  • Уважаемый(ая) Dellirium, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. перенаправляет на другие страницы
      От andivamut в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 03.12.2011, 05:04
    2. IE перенаправляет на неизвестные сайты.
      От Saidrex в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 25.12.2010, 06:13
    3. Ответов: 11
      Последнее сообщение: 10.09.2010, 07:36
    4. Ответов: 31
      Последнее сообщение: 22.02.2009, 07:01
    5. постоянно конектится на prevedltd.net и другие сайты
      От Владимирович в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 20.12.2006, 14:50

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01188 seconds with 17 queries