Заранее прошу прощения - тема уже поднималась. Все то же самое. Неубиваемый значок в трее ссылка на virusburst. Напишите пожалуйста подробно что делать. Файлы прикладываю. Спасибо.
Заранее прошу прощения - тема уже поднималась. Все то же самое. Неубиваемый значок в трее ссылка на virusburst. Напишите пожалуйста подробно что делать. Файлы прикладываю. Спасибо.
пофиксите с помощью HijackThis следующие строки:Сообщение от Boro
O1 - Hosts: 213.219.251.78 www.google.co.uk
O1 - Hosts: 213.219.251.78 google.co.uk
O1 - Hosts: 213.219.251.78 www.google.ca
O1 - Hosts: 213.219.251.78 google.ca
O1 - Hosts: 213.219.251.78 www.google.es
O1 - Hosts: 213.219.251.78 google.es
O1 - Hosts: 213.219.251.78 www.google.de
O1 - Hosts: 213.219.251.78 google.de
O1 - Hosts: 213.219.251.78 www.google.fr
O1 - Hosts: 213.219.251.78 google.fr
O1 - Hosts: 213.219.251.81 astalavista.com
O1 - Hosts: 213.219.251.81 www.astalavista.com
O1 - Hosts: 213.219.251.81 astalavista.box.sk
O1 - Hosts: 213.219.251.81 cracks.am
O1 - Hosts: 213.219.251.81 www.cracks.am
O1 - Hosts: 213.219.251.81 www.astalavista.box.sk
O1 - Hosts: 213.219.251.81 cracks.com
O1 - Hosts: 213.219.251.81 www.cracks.com
O1 - Hosts: 213.219.251.80 go.com
O1 - Hosts: 213.219.251.80 www.go.com
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O3 - Toolbar: (no name) - {EA0D26BD-9029-431A-86E0-83152D67828A} - (no file)
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s
O9 - Extra button: (no name) - DctMapping - (no file)
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O21 - SSODL: hemadynamometer - {6076d2b1-634c-4685-843b-f826045ea5dc} - C:\WINDOWS\system32\syycum.dll
пришлите файлы на проверку по правилам форума:
C:\WINDOWS\system32\syycum.dll
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\system32\PA207Usd.dll
C:\WINDOWS\wc98pp.dll
C:\Documents and Settings\Administrator\Local Settings\Temp\ia70jao0.exe
такие программы, как Serv-U и Barak013 сами ставили?
Все сделал как вы сказали, файлы отправил. Программы да ставил сам. Барак 013 это просто мое соединение с интернетом. Спасибо. Жду ответа.пофиксите с помощью HijackThis следующие строки:
O1 - Hosts: 213.219.251.78 www.google.co.uk
O1 - Hosts: 213.219.251.78 google.co.uk
O1 - Hosts: 213.219.251.78 www.google.ca
O1 - Hosts: 213.219.251.78 google.ca
O1 - Hosts: 213.219.251.78 www.google.es
O1 - Hosts: 213.219.251.78 google.es
O1 - Hosts: 213.219.251.78 www.google.de
O1 - Hosts: 213.219.251.78 google.de
O1 - Hosts: 213.219.251.78 www.google.fr
O1 - Hosts: 213.219.251.78 google.fr
O1 - Hosts: 213.219.251.81 astalavista.com
O1 - Hosts: 213.219.251.81 www.astalavista.com
O1 - Hosts: 213.219.251.81 astalavista.box.sk
O1 - Hosts: 213.219.251.81 cracks.am
O1 - Hosts: 213.219.251.81 www.cracks.am
O1 - Hosts: 213.219.251.81 www.astalavista.box.sk
O1 - Hosts: 213.219.251.81 cracks.com
O1 - Hosts: 213.219.251.81 www.cracks.com
O1 - Hosts: 213.219.251.80 go.com
O1 - Hosts: 213.219.251.80 www.go.com
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O3 - Toolbar: (no name) - {EA0D26BD-9029-431A-86E0-83152D67828A} - (no file)
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s
O9 - Extra button: (no name) - DctMapping - (no file)
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O21 - SSODL: hemadynamometer - {6076d2b1-634c-4685-843b-f826045ea5dc} - C:\WINDOWS\system32\syycum.dll
пришлите файлы на проверку по правилам форума:
C:\WINDOWS\system32\syycum.dll
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\system32\PA207Usd.dll
C:\WINDOWS\wc98pp.dll
C:\Documents and Settings\Administrator\Local Settings\Temp\ia70jao0.exe
такие программы, как Serv-U и Barak013 сами ставили?
C:\WINDOWS\system32\syycum.dll - Trojan.Fakealert(drweb), Hoax.Win32.Renos.eu(kav)
Прошу прощения -не понял. Удалить этот файл?
Да, и пофиксите с помощью HijackThis эту стрчку:
O21 - SSODL: hemadynamometer - {6076d2b1-634c-4685-843b-f826045ea5dc} - C:\WINDOWS\system32\syycum.dll
После перезагрузки сделайте лог HijackThis для контроля.
Все сделал. Значок из трея пропал. Большое спасибо всем!!!
AndreyKa лог HijackThis прислать?
да, желательноСообщение от Boro
Ок присылаю
-осталась не пофиксеной в HijackThis строка
Код:O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s
С уважением,
Alex Plutoff
А. ПЛАТОВ
Пофиксил. Огромное спасибо всем!
Присылаю лог просто для проверки
Строка возродилась . Похоже, что и сам NewDotNet жив - единственная rundll32.exe в автозапуске от него, и она есть в процессах. Проверьте, нет ли в Program Files папки NewDotNet или что-то типа этого (с коротким именем NEWDOT~1).
Да есть такая, неубиваемая.
Тогда AVZ - AVZ Guard - и поставить на отложенное удаление все EXE и DLL из этой папки.
Если после перезагрузки пропадёт сеть, с помощью AVZ восстановите настройки LSP (в разделе "Восстановление системы").
Можно немного подробнее? Нашел только файл-отложенное удаление файла, но это не помогло.
Да, именно: Файл - Отложенное удаление файла
Можно попробовать несколько по-другому:
- запустить AVZ
- включить AVZ Guard
- через диспетчер процессов AVZ убить rundll32.exe
- удалить содержимое папки NewDotNet
- что не удалится - поставить в отложенное удаление
- перезагрузиться, не выключая AVZ Guard
Попробовал. Ничего не получилось по прежнему строка в HijackThis, rundll32.exe в AVZ, в папке NewDotNet единственный файл newdotnet7_22.dll
неубиенный никакими способами. Что делать?
А в безопасном режиме этот файл тоже не выносится? Да, восстановление системы в Windows отключали?
Попробуйте Avenger
Скрипт для удаления злодея:
Код:Files to delete: C:\Program Files\NewDotNet\newdotnet7_22.dll
Avenger помог, злодей убился и строка пропала. Спасибо большое. Высылаю лог для окончательной проверки. А интересно - что это за процесс и чем он конкретно вредил компу?
Уважаемый(ая) Boro, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.