При моей попытке зайти на сайт http://asta-killer.com/ мне было предложено установить некие "add-on". Машинально дал согласие. В результате:
В панеле задач появились неудаляемая пустая панелька инструментов и дополнительные панели "Quick Lanch", дублирующие панель быстрого запуска.
Самопроизвольно через неопределенные промежуткие времени открываются новые окна браузера с 2-мя или 3-мя различными страничками.
DrWeber, AdAware, SpyBot и AVZ4 решить полностью проблему не смогли. Что-то они находили и лечили, что-то я удалил вручную, но основное - самопроизвольно открывающиеся окна - осталось.
Полгода назад в одном отделе случилась практически аналогичная ситуация. Тоже загрузка "add-on" с одного из сайтов и в результате дополнительные незакрываемые панели инструментов в панеле задач и в браузере, которые с трудом удалил вручную, открывающиеся окна браузера с рекламой анти-рекламного ПО (правда, другого), непонятно как запущенная программа в трее, периодически сообщающая, что компьютер заражен и нужно срочно приобрести это ПО. Тогда пришлось переустанавливать систему. Сейчас этого делать не хочется, потому как все это произшло на BDC.
Прошу помочь выявить, где прячется эта зараза ..., чтобы ее удалить с наименьшим ущербом.
ОС: Win2K Server + SP4.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Остальные не добавляются ни в режиме автодобавления, ни в режиме добавления по списку. Пробывал и в консольном режиме и в терминальном, по своей учетке и через учетку коллеги - результат одинаков. Никакие особые атрибуты этим файлам не назначены. Читаются нормально.
Можно ли выслать указанные файлы "as is" (разумеется, заархивировав) или набрать карантин вручную?
Остальные не добавляются ни в режиме автодобавления, ни в режиме добавления по списку. Пробывал и в консольном режиме и в терминальном, по своей учетке и через учетку коллеги - результат одинаков. Никакие особые атрибуты этим файлам не назначены. Читаются нормально.
Можно ли выслать указанные файлы "as is" (разумеется, заархивировав) или набрать карантин вручную?
Тогда нужно сделать так:
1. Прислать то что добавилось
2. Обновить базы AVZ и пролечить ПК. Обновленная база позволит поубивать большую часть заразы, которая заползает с указанного в начале обсуждения сайта. При этом
2.1 перед лечением AVZ нужно включить AVZ Guard
2.2 Зайти в менеджер автозапуска, там в разделе Winlogon отключить элемент winnum32.dll
2.3 перезагрузиться, не выключая AVZ Guard
3. После перезагрузки на шаге 2 нужно повторно сделать логи - посмотрим, что выживет и продолжим ...
Тогда нужно сделать так:
1. Прислать то что добавилось
2. Обновить базы AVZ и пролечить ПК. Обновленная база позволит поубивать большую часть заразы, которая заползает с указанного в начале обсуждения сайта. При этом
2.1 перед лечением AVZ нужно включить AVZ Guard
...
1. Что смог, то выслал.
2. Обновил ...
2.1. При попытке включения AVZ Guard выдает сообщение "Ошибка активации AVZ Guard !". При попытке повторного запуска в протокол записывается "Ошибка AVZ Guard: C0000160". После чего перестают запускатся программы (даже диспетчер задач). Уже запущенные программы продолжают работать нормально.
DrWeber, AdAware, SpyBot и AVZ4 решить полностью проблему не смогли. Что-то они находили и лечили, что-то я удалил вручную, но основное - самопроизвольно открывающиеся окна - осталось.
Эти вирусы и трояны я уже отключал в менеджере автозагрузки (расширение эксплорера dxuiext.dll удалил из реестра, ибо не нашел как его отключить по другому).
Бесполезно ...
Все равно окна продолжают загружаться!!!
Антивирусный монитор должен быть запущен. Иначе можно лечить до посинения. ДрВеб убивает Look2Me если монитор работает и переведён в режим проверки файлов при доступе.
Вы писали что у Вас ДрВеб. Вот он и имеется в виду.
У меня получилось избавиться от этого L2M без установленного монитора. ПальцАми давил гада. Он сопротивлялся, но потом устал.
Вобщем, сначала в реестре удалил {CLSID} со ссылками на зараженные файлы. Потом сканером DrWeber проверил директорию WINNT\System32 и все зараженные удалил из нее. В заключение в реестре почистил ссылки на отсутствующие {CLSID} в ключе расширений эксплорера.
Все удалилось ... Этого вируса больше в системе нет ... Но окна все равно открываются!!!
2 MOCT: Выслать MMTray.exe не могу. Это только следы в реестре в ключе автозапуска. Видимо, его удалила какая-то антивирусная программа раньше ...
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: