Интернет у меня стрим, вот 3 дня уже как началась проблема - появляется процесс drf"набор цифр"[1].htm и инет падает >.<
Прогонял через несколько антивиров, и вот сейчас сделал как у вас расписано - файлы вложил, надеюсь на вашу помощ
Интернет у меня стрим, вот 3 дня уже как началась проблема - появляется процесс drf"набор цифр"[1].htm и инет падает >.<
Прогонял через несколько антивиров, и вот сейчас сделал как у вас расписано - файлы вложил, надеюсь на вашу помощ
Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:Система будет перезагружена. После перезагрузки, пришлите карантин AVZ, как написано в прил.3 правилКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('D:\PROGRA~1\DOWNLO~1\MDPPH.DLL',''); QuarantineFile('d:\program files\conexant\accessrunner adsl\cnxdsltb.exe',''); RebootWindows(true); end.
В добавок к предыдущему совету :
1. Пофиксить в HijackThis (http://virusinfo.info/showthread.php?t=4491 )
2.Код:R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ar.atwola.com/redir/B0/V4Q6eNRdqiTRYJY0iTUCd4dMZncjABJBuBLF_QBda_GnnbeiTyFBLQ$$/http://bonanzaclub.ru/ O2 - BHO: (no name) - {AE1AA4FA-C3A2-4c33-90CD-69DD021A35C8} - (no file) O20 - AppInit_DLLs:
Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
3. Почистите временные файлы ( вот один из возможных вариантов : http://support.microsoft.com/kb/260897Код:begin QuarantineFile('D:\Documents and Settings\-Main-\Local Settings\Temporary Internet Files\Content.IE5\N5ORO09Q\drf1173432132[1].htm.exe',''); QuarantineFile('D:\Documents and Settings\-Main-\Local Settings\Temporary Internet Files\Content.IE5\EXR04AMD\drf??????????[1].htm.exe',''); end.
4. Перегрузиться , скачать последнею версию AVZ 4.24 !!! и обновить её базы , затем сделать все новые логи при помощи уже новой версии 4.24 и прикрепить к данной теме
5.Пришлите
те файлы ( из пункта 3 ) которые попадут в карантин AVZ по правилам. Oдинаковые не надо присылать .
Последний раз редактировалось drongo; 11.03.2007 в 19:11.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Огромное списибо что проявили интерес к моей проблеме ребят, вот сделал все выше написанное -> файл прикрепил
Файлы по скрипту
begin
QuarantineFile('D:\Documents and Settings\-Main-\Local Settings\Temporary Internet Files\Content.IE5\N5ORO09Q\drf1173432132[1].htm.exe','');
QuarantineFile('D:\Documents and Settings\-Main-\Local Settings\Temporary Internet Files\Content.IE5\EXR04AMD\drf??????????[1].htm.exe','');
end.
в карантин не попали - выдавал ошибку какуюто
А какую ошибку выдавал ? аваст работал при выполнении скрипта ?
Почище стало, только вот ключ болтается от файла appmgmts.dll
Нужно попытаться сам файл найти, если нет,надо удалить ключик.
Фикс вы делали ? Изменения в логе нет, может когда прикрепляли, перепутали ? Если не перепутали повторить фикс и перегрузиться :
Код:R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ar.atwola.com/redir/B0/V4Q6eNRdqiTRYJY0iTUCd4dMZncjABJBuBLF_QBda_GnnbeiTyFBLQ$$/http://bonanzaclub.ru/ O2 - BHO: (no name) - {AE1AA4FA-C3A2-4c33-90CD-69DD021A35C8} - (no file) O20 - AppInit_DLLs:
где файлы, которые Numb просил прислать ?
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Ошибку выдавал что-то типо : попытка прямого чтения - ошибка
Фикс я делал щас выложу ещё раз его, и карантин
Последний раз редактировалось anton_dr; 12.03.2007 в 14:26.
Уберите, пожалуйста, virus.zip из вложений в теме и загрузите по ссылке "прислать запрошенные файлы" - она расположена в верхней части страницы.
Карантин слать сюда!!!
http://virusinfo.info/upload_virus.php?tid=8339
d:\program files\conexant\accessrunner adsl\cnxdsltb.exe - Trojan-Downloader.Win32.Agent.awf (по Касперскому)
Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:Система будет перезагружена. После перезагрузки, сделайте, пожалуйста, новые логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('D:\Program Files\Conexant\AccessRunner ADSL\CnxDslTb.exe'); ExecuteSysClean; RebootWindows(true); end.
И еще: похоже, что данный троян подменил вполне легитимный файл - монитор состояния ADSL-модема. Скорее всего, корректно работать модем будет и при его отсутствии, но, на всякий случай, хорошо бы иметь под рукой драйвера к вашему ADSL-модему.
Все выше сказаное сделал
1. Скачайте утилиту cureit!. Даже если закачивали ее раньше - закачайте еще раз. Перезагрузите машину в безопасном режиме (F8 в начале загрузки системы) и выполните проверку утилитой CureIt! в безопасном режиме.
2. Загрузитесь в обычном режиме. Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:Система будет перезагружена. После перезагрузки, загрузите содержимое карантина AVZ, если туда что-нибудь попадет, как написано в прил.3 правилКод:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('d:\windows\system32\spool\drivers\w32x86\3\e_fatiaep.exe',''); DeleteFile('D:\Documents and Settings\-Main-\Local Settings\Temporary Internet Files\Content.IE5\EXR04AMD\drf1173694981[1].htm.exe'); DeleteFile('D:\Documents and Settings\-Main-\Local Settings\Temporary Internet Files\Content.IE5\EXR04AMD\drf1173694981[1].htm'); DeleteFile('D:\Documents and Settings\-Main-\Local Settings\Temporary Internet Files\Content.IE5\N5ORO09Q\drf1173679935[1].htm.exe'); DeleteFile('D:\Documents and Settings\-Main-\Local Settings\Temporary Internet Files\Content.IE5\N5ORO09Q\drf1173679935[1].htm'); ExecuteSysClean; RebootWindows(true); end.
3. Выполните новый лог исследования системы (п. 10 правил)
Программа cureit! скачалась, но при распаковке пишет что архив поврежден.
проверки и скрипт сделал (drf файлы появляются и появляются)
обновил карантин
cureit с 3 раза нормально скачалась )
проверку сделал, только вот логи ег никак не найду куда сохраняет он
Лог Cureit! по умолчанию располагается по этому пути:Если возможно, поясните: вы лечение выполняли? Если да, после проверки и лечения CureIt!, остались ли признаки заражения?Код:%USERPROFILE%\DoctorWeb\CureIt.log
Всю ноч и день небыло обрывов, но вот только что опять был обрыв >.<
Сейчас ещё раз сделаю cureit и выложу логи AVZ
Всё время находит какието 7 KiST
каждый рас вроде лечит их но всеравно потом их находит
Это Алкоголь семь функций перехватывает. AVZ их восстанавливает временно, до перезагрузки. То есть, тут ситуация нормальная, так и должно быть.
Ничего явно вредоносного не вижу.
однако инет всеравно рвется...
Правда процессов drf****** уже нету но появляется ещё какойто другой - его название выложу как появится ещё раз
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 9
- В ходе лечения обнаружены вредоносные программы:
- d:\\documents and settings\\-main-\\local settings\\temporary internet files\\content.ie5\\exr04amd\\drf1173694981[1].htm - Trojan.Win32.Dialer.ri (DrWEB: Dialer.Tiny)
- d:\\documents and settings\\-main-\\local settings\\temporary internet files\\content.ie5\\exr04amd\\drf1173694981[1].htm.exe - Trojan.Win32.Dialer.ri (DrWEB: Dialer.Tiny)
- d:\\documents and settings\\-main-\\local settings\\temporary internet files\\content.ie5\\n5oro09q\\drf1173679935[1].htm - Trojan.Win32.Dialer.ri (DrWEB: Dialer.Tiny)
- d:\\documents and settings\\-main-\\local settings\\temporary internet files\\content.ie5\\n5oro09q\\drf1173679935[1].htm.exe - Trojan.Win32.Dialer.ri (DrWEB: Dialer.Tiny)
- d:\\documents and settings\\-main-\\local settings\\temporary internet files\\content.ie5\\n5oro09q\\drf1173717773[1].htm - Trojan.Win32.Dialer.ri (DrWEB: Dialer.Tiny)
- d:\\documents and settings\\-main-\\local settings\\temporary internet files\\content.ie5\\n5oro09q\\drf1173717773[1].htm.exe - Trojan.Win32.Dialer.ri (DrWEB: Dialer.Tiny)
- d:\\program files\\conexant\\accessrunner adsl\\cnxdsltb.exe - Trojan-Clicker.Win32.Agent.jh (DrWEB: Trojan.DownLoader.18943)
- d:\\windows\\system32\\spool\\drivers\\w32x86\\3\\ e_fatiaep.exe - Trojan-Clicker.Win32.Agent.jh (DrWEB: Trojan.DownLoader.18943)
Уважаемый(ая) Main, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.