-
Junior Member
- Вес репутации
- 64
И снова errorsafe, глючит весь комп.
Народ, помогите, у вас на форуме уже было несколько тем про errorsafe, но нигде не было столь запущенной форму как у меня. Расскажу про все симптомы. Во-первых, при первом открытии IE происходит автоматическое открытие еще одной страницы браузера, которая переходит на errorsafe.com, ну и просит его скачать. Далее самое страшное это то, что без программ загрузка цп доходит практически до 60%. Процесс ccApp занимает около 40%, на сколько я понял это процесс Нортона антивируса, который у меня и стоит. Далее Outpost firewall занимает около 20%. И появился, какой то странный процесс BTSTAS~1.EXE, правда цп он не грузит. Ну вот, в общем-то, и все симптомы, как написано в правилах привожу вам логи антивирусных программ. Надеюсь на вашу помощь.
Последний раз редактировалось xrun; 14.03.2007 в 22:15.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
пофиксить (http://virusinfo.info/showthread.php?t=4491)
Код:
O16 - DPF: {B64F4A7C-97C9-11DA-8BDE-F66BAD1E3F3A} - http://locator1.cdn.imagesrvr.com/sites/errorsafe.com/www/download/2006/cabs/ErrorSafeFreeInstall_ru.cab
avz - выполнить скрипт
Код:
begin
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\SearchTool\nsd225.dll','');
QuarantineFile('C:\WINDOWS\system32\nsn233.dll','');
QuarantineFile('C:\WINDOWS\System32\e1.dll','');
QuarantineFile('C:\WINDOWS\System32\mididpnh.dll','');
DeleteFile('C:\WINDOWS\System32\mididpnh.dll');
DeleteFile('C:\WINDOWS\System32\e1.dll');
ExecuteSysClean;
RebootWindows(true);
end.
содержимое карантина прислать в соответствии с приложением 2 (с пятого пункта)
-
-
Junior Member
- Вес репутации
- 64
Закачал. Но уже сейчас все успокоилось загрузка цп на нуле и вроде на сайт errorsafe больше не заходит, и начало работать обновление антивируса, которое раньше не работало. Единственное процесс BTSTAS~1.EXE остался. А так все отлично ОГРОМНОЕ спасибо!!!
-
Еще это выполнить.
Код:
begin
ClearQuarantine;
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\fpwppgpm.exe','');
DeleteFile('C:\Documents and Settings\xrun\Local Settings\Temp\15-0ed61557093ac9d8ff76715becbea70b.exe');
DeleteFile('C:\Documents and Settings\xrun\Local Settings\Temporary Internet Files\Content.IE5\3YHGPBNR\15-0ed61557093ac9d8ff76715becbea70b[1].exe');
DeleteFile('C:\WINDOWS\system32\fpwppgpm.exe');
DeleteFile('C:\WINDOWS\system32\WinNB58.dll');
DeleteFile('C:\WINDOWS\system32\SearchTool\nsd225.dll');
DeleteFile('C:\WINDOWS\system32\nsn233.dll');
CreateInfectedArchive(GetAVZDirectory+'virus.zip');
ExecuteSysClean;
RebootWindows(true);
end.
Последний раз редактировалось Shu_b; 03.01.2007 в 23:16.
-
-
Перед выполнением выше написанного скрипта:
Отключите службу восстановления системы. Она хранит копии червя, включитЕ ее когда лечение закончится.
После выполнения -
Сделайте логи по пунктам Правил начиная с 10-го.
Последний раз редактировалось Shu_b; 03.01.2007 в 23:17.
Причина: собран единый скрипт
-
-
Junior Member
- Вес репутации
- 64
Еще раз огромное спасибо, прилогаю нужные логи.
Последний раз редактировалось xrun; 14.03.2007 в 22:15.
-
Осталось пофиксить эти стороки:
Код:
O2 - BHO: HTML Exploits Prevent - {245463AB-6F21-456A-9EB4-FAB802DB8062} - C:\WINDOWS\system32\nsn233.dll (file missing)
O2 - BHO: ohb - {5ED7D3DE-6DBE-4516-8712-01B1B64B7057} - C:\WINDOWS\system32\SearchTool\nsd225.dll (file missing)
O20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll mididpnh.dll e1.dll
virus.zip в папке AVZ появился? Если да, пришлите.
Единственное процесс BTSTAS~1.EXE остался.
Пользуетесь устройствами Bluetooth?
Службу восстановления системы можно включить.
-
-
C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll Удалится ведь хук Аутпостовский
-
-
Сообщение от
Geser
C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll Удалится ведь хук Аутпостовский
Он восстановится при следующем запуске.
Я такое уже пробовал.
-
-
Junior Member
- Вес репутации
- 64
Все пофиксил. Да блютус стоит, это его процесс? Если да то все нормально меня просто знак ~ смущал. virus.zip посылал как написано в правилах.