Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 23.

И снова эта дрянь... (заявка № 9273)

  1. #1
    Junior Member Репутация
    Регистрация
    25.12.2006
    Сообщений
    24
    Вес репутации
    41

    Thumbs up И снова эта дрянь...

    Здравствуйте, Охотники за вирусами.
    Ко мне снова прицепилась эта дрянь - стартовая страничка http://www.google.com/
    Помогите избавиться, плз
    Последний раз редактировалось drongo; 25.04.2007 в 07:35.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    Скачайте AVZ 4.25, обновите её базы,а старые логи от авз удалите и прикрепите новые.

  4. #3
    Junior Member Репутация
    Регистрация
    25.12.2006
    Сообщений
    24
    Вес репутации
    41
    сделано
    Вложения Вложения

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('c:\docume~1\admini~1\applic~1\loadlo~1\team one coal.exe','');
     QuarantineFile('C:\WINDOWS\system32\iuetcplc.dll','');
     QuarantineFile('C:\WINDOWS\system32\tEpi32.dll','');
     QuarantineFile('C:\WINDOWS\system32\ipv6mons.dll','');
     QuarantineFile('C:\Documents and Settings\Administrator\Local Settings\Temp\bxiu.exe',''); 
     QuarantineFile('C:\Documents and Settings\Administrator\Local Settings\Temp\cxomb.exe','');
     QuarantineFile('C:\Documents and Settings\Administrator\Local Settings\Temp\jkblyi.exe','');
     QuarantineFile('C:\Documents and Settings\Administrator\Local Settings\Temp\lsyw.exe',''); 
     QuarantineFile('C:\Documents and Settings\Administrator\Local Settings\Temp\pwi.exe','');
     QuarantineFile('C:\Documents and Settings\Administrator\Local Settings\Temp\ycojq.exe',''); 
     QuarantineFile('C:\Documents and Settings\Administrator\Local Settings\Temp\zklj.exe',''); 
     QuarantineFile('C:\RECYCLER\S-1-5-21-839522115-630328440-725345543-500\Dc10.exe','');
     DeleteFile('C:\WINDOWS\system32\ipv6mons.dll');
     BC_ImportALL;
     ExecuteSysClean;
     BC_LogFile(GetAVZDirectory + 'boot_clr.log');
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки "пофиксите" в HijackThis
    Код:
    O2 - BHO: (no name) - {73364D99-1240-4dff-B12A-67E448373148} - C:\WINDOWS\system32\ipv6mons.dll (file missing)
    Пришлите файлы карантина по правилам раздела "Помогите".
    Повторите логи, а также добавьте файл boot_clr.log из папки AVZ.
    Последний раз редактировалось Макcим; 25.04.2007 в 07:54. Причина: Добавил

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    Стартовая страница у вас же стоит www.yahoo.com, как же вы говорите, что гугол ?

  7. #6
    Junior Member Репутация
    Регистрация
    25.12.2006
    Сообщений
    24
    Вес репутации
    41
    сделал
    Вложения Вложения

  8. #7
    Junior Member Репутация
    Регистрация
    25.12.2006
    Сообщений
    24
    Вес репутации
    41
    Цитата Сообщение от drongo Посмотреть сообщение
    Стартовая страница у вас же стоит www.yahoo.com, как же вы говорите, что гугол ?
    все верно - так прописано. Но она не стартует.
    ...вот снова поставил стартовать с пустой стр. и все вроде нормально...
    ...но посмотрите все равно.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Очистите корзину и папку
    C:\Documents and Settings\Administrator\Local Settings\Temp
    - там подозрения подтвердились.
    (Local Settings - скрытая).

    Задание в Планировщике, полагаю, не вы ставили? - удалите.
    Да и службу планировщика можно отключить, если использовать
    не собираетесь.

    Попробуйте найти вручную эти файлы:
    C:\WINDOWS\system32\iuetcplc.dll
    C:\WINDOWS\system32\tEpi32.dll
    Если найдутся, пришлите по правилам.
    Последний раз редактировалось Bratez; 25.04.2007 в 13:35.

  10. #9
    Junior Member Репутация
    Регистрация
    25.12.2006
    Сообщений
    24
    Вес репутации
    41
    Цитата Сообщение от Bratez Посмотреть сообщение
    Очистите корзину и папку
    C:\Documents and Settings\Administrator\Local Settings\Temp
    - там подозрения подтвердились.
    (Local Settings - скрытая).
    Корзину почистил, а папку какую? Temp?...она 1 гб...или я не так понял...

    Цитата Сообщение от Bratez Посмотреть сообщение
    Задание в Планировщике, полагаю, не вы ставили? - удалите.
    Да и службу планировщика можно отключить, если использовать
    не собираетесь.
    Я им не разу не пользовался... а как его отключить?

    Цитата Сообщение от Bratez Посмотреть сообщение
    Попробуйте найти вручную эти файлы:
    C:\WINDOWS\system32\iuetcplc.dll
    C:\WINDOWS\system32\tEpi32.dll
    Если найдутся, пришлите по правилам.
    я не нашел

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Корзину почистил, а папку какую? Temp?...она 1 гб...или я не так понял...
    Тем более чистите папку Temp и потом ещё раз корзину
    Я им не разу не пользовался... а как его отключить?
    Панель управления - Администрирование - Службы - Планировщик заданий - Типа запуска- Отключено.

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Выполните скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\tEpi32.dll');
     DeleteFile('C:\WINDOWS\system32\iuetcplc.dll');
     DeleteFile('c:\docume~1\admini~1\applic~1\loadlo~1\team one coal.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Файлов этих очевидно уже нет, просто для зачистки следов.
    После перезагрузки повторите логи п.10 и 12 правил.
    А проблема все еще себя проявляет?

  13. #12
    Junior Member Репутация
    Регистрация
    25.12.2006
    Сообщений
    24
    Вес репутации
    41
    Цитата Сообщение от Bratez Посмотреть сообщение
    А проблема все еще себя проявляет?
    google уже не беспокоит
    а насчет другого я не знаю...но когда столько хлама удалил из Temp, на душе стало приятнее
    Спасибо большое

  14. #13
    Junior Member Репутация
    Регистрация
    25.12.2006
    Сообщений
    24
    Вес репутации
    41
    заметил, что в панели задач внизу слева сбиваются значки, и их надо перестраивать
    Вложения Вложения

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    1. Задание из Планировщика так и не убрали, посморите сюда:
    Панель управления - Назначенные задания (Task Scheduler)

    2. Остались кое-какие следы и добавилось что-то новенькое.
    Выполните скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelCLSID('BA875410-FFBA-443D-8CE4-FEFD2AD7C809');
     DelCLSID('9EA402E0-F662-4DD7-B71C-0C372E9305C3');
     ClearQuarantine;
     QuarantineFile('C:\WINDOWS\system32\prsrv64.dll','');
     QuarantineFile('C:\WINDOWS\system32\msvcrt64.dll','');
    BC_ImportQuarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки пришлите карантин по правилам.

  16. #15
    Junior Member Репутация
    Регистрация
    25.12.2006
    Сообщений
    24
    Вес репутации
    41
    Цитата Сообщение от Bratez Посмотреть сообщение
    1. Задание из Планировщика так и не убрали, посморите сюда:
    Панель управления - Назначенные задания (Task Scheduler)
    Но я не вижу никаких назначенных заданий, у меня пустая папка...я отключил Task Scheduler.

    Цитата Сообщение от Bratez Посмотреть сообщение
    2. Остались кое-какие следы и добавилось что-то новенькое.
    Выполните скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelCLSID('BA875410-FFBA-443D-8CE4-FEFD2AD7C809');
     DelCLSID('9EA402E0-F662-4DD7-B71C-0C372E9305C3');
     ClearQuarantine;
     QuarantineFile('C:\WINDOWS\system32\prsrv64.dll','');
     QuarantineFile('C:\WINDOWS\system32\msvcrt64.dll','');
    BC_ImportQuarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки пришлите карантин по правилам.
    делаю

  17. #16
    Junior Member Репутация
    Регистрация
    25.12.2006
    Сообщений
    24
    Вес репутации
    41
    Цитата Сообщение от Bratez Посмотреть сообщение
    Выполните скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelCLSID('BA875410-FFBA-443D-8CE4-FEFD2AD7C809');
     DelCLSID('9EA402E0-F662-4DD7-B71C-0C372E9305C3');
     ClearQuarantine;
     QuarantineFile('C:\WINDOWS\system32\prsrv64.dll','');
     QuarantineFile('C:\WINDOWS\system32\msvcrt64.dll','');
    BC_ImportQuarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки пришлите карантин по правилам.
    сделал

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    C:\WINDOWS\system32\msvcrt64.dll - Trojan-Proxy.Win32.Agent.lb
    C:\WINDOWS\system32\prsrv64.dll - на Virustotal однозначно никто не определяет, только 4 эвристика срабатывают. Отправил в вирлаб.
    Пока сделаем так:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\msvcrt64.dll');
     BC_DeleteFile('C:\WINDOWS\system32\msvcrt64.dll');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Выполните и повторите два последних лога.

  19. #18
    Junior Member Репутация
    Регистрация
    25.12.2006
    Сообщений
    24
    Вес репутации
    41
    Карантин послал. Логи прикрепил
    Вложения Вложения

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    C:\WINDOWS\system32\prsrv64.dll загадочным образом испарился из логов...
    А ответ из вирлаба запаздывает. Логи чистые, осталось только пофиксить:
    Код:
    O21 - SSODL: msvcrt64.dll - {5DF60467-230E-464A-A654-8A9416A581BA} - msvcrt64.dll (file missing)
    P.S. А задание в Scheduler'e так и болтается.
    Разве его не видно через апплет панели управления?

  21. #20
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    @Leo Скрипт от Bratez выполнили? А карантин присылать не просили.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  • Уважаемый(ая) Leo, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Что за дрянь smaxxi.biz?
      От Денис Владимирович в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 26.11.2011, 00:30
    2. Васякая дрянь...
      От vgm в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 30.05.2011, 14:40
    3. StorageProtector и прочая дрянь
      От baetal в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 03:11
    4. Дрянь
      От C_L_S в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.02.2009, 02:42
    5. Что это за дрянь?
      От untercug в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 05.02.2008, 23:21

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01443 seconds with 17 queries