Показано с 1 по 16 из 16.

при загрузке explorer сразу лезет в сеть. (заявка № 8501)

  1. #1
    Junior Member Репутация
    Регистрация
    19.03.2007
    Адрес
    Russia
    Сообщений
    13
    Вес репутации
    39

    Thumbs up при загрузке explorer сразу лезет в сеть.

    Здравствуйте. У меня такая проблема - при загрузке Винды - explorer сразу пытается вылезти в сеть... NOd 32 сразу перехватывает подключение, и указывает на следющее.
    hXXp://82.98.235.61/nauj/really.dll?...2739EF0F575570 Win32/BHO.G - троян - изолирован - Связь завершена
    hXXp://82.98.235.61/ms_s_2.dll?uid=0...2739EF0F575570 Win32/Spy.VBStat.J - троян изолирован - Связь завершена
    C:\DOCUME~1\Nick\LOCALS~1\Temp\iujatidy.dll Win32/Adware.Virtumonde.HB - приложение - изолирован - удален. Событие в новом файле, созданном приложением C:\WINDOWS\Explorer.EXE. Файл был перемещен в карантин. Вы можете закрыть это окно.
    C:\DOCUME~1\Nick\LOCALS~1\Temp\xemjpska.exe - Win32/Adware.Toolbar.SearchColours приложение изолирован - удален. Событие в новом файле, созданном приложением C:\WINDOWS\Explorer.EXE. Файл был перемещен в карантин. Вы можете закрыть это окно.

    Подскажите, что можно сделать. Спсибо
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    Перед выполнением скрипта нужно отключиться от интернета и отключить модуль резидентной защиты NOD, чтобы он не мешал.
    AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\user32.exe','');
     QuarantineFile('C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE','');
     QuarantineFile('C:\WINDOWS\system32\wunauclt.exe','');
     QuarantineFile('C:\WINDOWS\dr.exe','');
     QuarantineFile('C:\WINDOWS\system32\appmgmts.dll','');
     QuarantineFile('C:\WINDOWS\system32\xxywwwx.dll','');
     QuarantineFile('C:\WINDOWS\system32\jkhhf.dll','');
     CreateQurantineArchive(GetAVZDirectory+'virusinfo_8501_quarantine.zip');
    RebootWindows(true);
    end.

    После перезагрузки NOD нужно включить!

    Загрузите файл virusinfo_8501_quarantine.zip из каталога AVZ через форму http://virusinfo.info/upload_virus.php, указав ссылку на тему http://virusinfo.info/showthread.php?t=8501
    Последний раз редактировалось drongo; 19.03.2007 в 13:04.

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    C:\WINDOWS\system32\wunauclt.exe - P2P-Worm.Win32.Padonak.a (По Kaspersky)

    C:\WINDOWS\system32\xxywwwx.dll- Trojan.Virtumod (Dr.Web)

    http://www.virustotal.com/vt/en/resu...7e080f89330741

    C:\WINDOWS\system32\jkhhf.dll -Trojan.Virtumod (Dr.Web)

    http://www.virustotal.com/vt/en/resu...02f37a1f61cf5e

    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\jkhhf.dll');
     DeleteFile('C:\WINDOWS\system32\xxywwwx.dll');
     DeleteFile('C:\WINDOWS\system32\wunauclt.exe');
     BC_ImportDeletedList;
     ExecuteSysClean; 
     BC_LogFile(GetAVZDirectory + 'boot_clr.log');
     BC_Activate;
     RebootWindows(true);
    end.
    Повторите логи, а также добавьте файл 'bclr.log' из папки AVZ.
    Последний раз редактировалось drongo; 19.03.2007 в 14:50.

  5. #4
    Junior Member Репутация
    Регистрация
    19.03.2007
    Адрес
    Russia
    Сообщений
    13
    Вес репутации
    39

    после выполнения скрипта...

    после выполнения скрипта - всё по-прежнему лезет в и-нет при загрузке
    Вложения Вложения

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\jkhhf.dll');
     DeleteFile('C:\WINDOWS\system32\xxywwwx.dll');
     BC_ImportDeletedList;
     ExecuteSysClean; 
     BC_LogFile(GetAVZDirectory + 'boot_clr.log');
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки файл 'bclr.log' из папки AVZ прикрепите к следующему сообщению.

  7. #6
    Junior Member Репутация
    Регистрация
    19.03.2007
    Адрес
    Russia
    Сообщений
    13
    Вес репутации
    39

    после выполнения последнего скрипта, пока в сетку не побежал.

    после выполнения последнего скрипта, пока в сетку не побежал.

  8. #7
    Junior Member Репутация
    Регистрация
    19.03.2007
    Адрес
    Russia
    Сообщений
    13
    Вес репутации
    39

    после выполнения последнего скрипта, пока в сетку не побежал.

    после выполнения последнего скрипта, пока в сетку не побежал.
    Вложения Вложения

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Уверен что больше не побежит. Мы его прибили основательно Повторите ещё раз логи на всякий случай. А каким антивирусом Вы пользуетесь? Ещё хорошо файрвол бы поставить

  10. #9
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Не так все гладко

    в ControlPanel в Планировщике заданий посмотреть задания.
    Интересует на какое время назначен их запуск. Скорее всего, их можно
    удалить.

    в AVZ поискать user32.exe и dr.exe. Если найдутся, то добавить в карантин и прислать согласно Правил.
    Плюс wunauclt.exe
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  11. #10
    Junior Member Репутация
    Регистрация
    19.03.2007
    Адрес
    Russia
    Сообщений
    13
    Вес репутации
    39
    использую Nod32, Ad-Aware SE Personal и RemoveIT Pro XT2 - SE... спасибо за помощь и советы, но с фаерволом (это вроде был ОУТПОСТ) у меня сразу отношения не наладились ;-(. Но теперь учту.
    Откуда взял не понятно, если в случае с klez4 сам виноват, то тут...иг знает.
    еще раз спс.

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    PavelA, Вы такой же не внимательный как и я.
    в AVZ поискать user32.exe и dr.exe. Если найдутся, то добавить в карантин и прислать согласно Правил.
    Уже сделанно - это чистые файлы. wunauclt.exe - мы уже прибили

    Николай, повторите ещё раз логи и удалите задания в планировщике.

  13. #12
    Junior Member Репутация
    Регистрация
    19.03.2007
    Адрес
    Russia
    Сообщений
    13
    Вес репутации
    39

    очередная стадия борьбы :-E

    explorer теперь в сеть не проситься.
    повторил всё логи. К сожалению , задания удалил и на какое они были запланированы не посмотрел.
    еще залез в "менеджер автозапуска" в avz - там в WINLOGON по-прежнему висит, или может просто остался "горячо" знакомый xxywwwx.dll, но в system32 (где он покоился ранее) его нет.
    можно его из "менеджер автозапуска" пофиксить?
    Вложения Вложения

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Пофиксите в hijackthis
    Код:
    O2 - BHO: (no name) - {C18872E2-D171-4527-A60D-029224B10FFB} - C:\WINDOWS\system32\xxywwwx.dll (file missing)
    O2 - BHO: (no name) - {DAAA8F1C-5E5B-4FB8-9D30-7C5130B8803E} - C:\WINDOWS\system32\jkhhf.dll (file missing)
    O20 - Winlogon Notify: jkhhf - C:\WINDOWS\
    O20 - Winlogon Notify: jkhhf- - C:\WINDOWS\
    O20 - Winlogon Notify: xxywwwx - xxywwwx.dll (file missing)
    O20 - Winlogon Notify: xxywwwx- - xxywwwx.dll (file missing)
    Автозагрузку лучше не трогайте. Там можно пофиксить только xxywwwx.dll, если останется после hijackthis.

  15. #14
    Junior Member Репутация
    Регистрация
    19.03.2007
    Адрес
    Russia
    Сообщений
    13
    Вес репутации
    39
    в hijackthis пофиксил, в avz следов тоже нету. Спасибо. Извините, что оторвал

  16. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Вы можете нас отблагодарить так Мы будем Вам очень благодарны!

  17. #16
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 8
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\jkhhf.dll - not-a-virus:AdWare.Win32.Virtumonde.fl (DrWEB: Trojan.Virtumod)
      2. c:\\windows\\system32\\wunauclt.exe - P2P-Worm.Win32.Padonak.a (DrWEB: Trojan.AVKill.24
      3. c:\\windows\\system32\\xxywwwx.dll - not-a-virus:AdWare.Win32.Virtumonde.hr (DrWEB: Trojan.Virtumod)


  • Уважаемый(ая) Николай, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 8
      Последнее сообщение: 02.11.2010, 22:05
    2. Ответов: 2
      Последнее сообщение: 18.04.2009, 09:08
    3. Ответов: 10
      Последнее сообщение: 22.02.2009, 03:17
    4. Winlogon лезет в сеть
      От AleXPander в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 26.06.2008, 04:55
    5. Winlogon лезет в сеть
      От gxoct в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 18.06.2008, 17:39

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01403 seconds with 17 queries