Здравствуйте, Охотники за вирусами.
Ко мне снова прицепилась эта дрянь - стартовая страничка http://www.google.com/
Помогите избавиться, плз
Здравствуйте, Охотники за вирусами.
Ко мне снова прицепилась эта дрянь - стартовая страничка http://www.google.com/
Помогите избавиться, плз
Последний раз редактировалось drongo; 25.04.2007 в 08:35.
Скачайте AVZ 4.25, обновите её базы,а старые логи от авз удалите и прикрепите новые.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
сделано
Выполните скрипт в AVZ
После перезагрузки "пофиксите" в HijackThisКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('c:\docume~1\admini~1\applic~1\loadlo~1\team one coal.exe',''); QuarantineFile('C:\WINDOWS\system32\iuetcplc.dll',''); QuarantineFile('C:\WINDOWS\system32\tEpi32.dll',''); QuarantineFile('C:\WINDOWS\system32\ipv6mons.dll',''); QuarantineFile('C:\Documents and Settings\Administrator\Local Settings\Temp\bxiu.exe',''); QuarantineFile('C:\Documents and Settings\Administrator\Local Settings\Temp\cxomb.exe',''); QuarantineFile('C:\Documents and Settings\Administrator\Local Settings\Temp\jkblyi.exe',''); QuarantineFile('C:\Documents and Settings\Administrator\Local Settings\Temp\lsyw.exe',''); QuarantineFile('C:\Documents and Settings\Administrator\Local Settings\Temp\pwi.exe',''); QuarantineFile('C:\Documents and Settings\Administrator\Local Settings\Temp\ycojq.exe',''); QuarantineFile('C:\Documents and Settings\Administrator\Local Settings\Temp\zklj.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-839522115-630328440-725345543-500\Dc10.exe',''); DeleteFile('C:\WINDOWS\system32\ipv6mons.dll'); BC_ImportALL; ExecuteSysClean; BC_LogFile(GetAVZDirectory + 'boot_clr.log'); BC_Activate; RebootWindows(true); end.Пришлите файлы карантина по правилам раздела "Помогите".Код:O2 - BHO: (no name) - {73364D99-1240-4dff-B12A-67E448373148} - C:\WINDOWS\system32\ipv6mons.dll (file missing)
Повторите логи, а также добавьте файл boot_clr.log из папки AVZ.
Последний раз редактировалось Макcим; 25.04.2007 в 08:54. Причина: Добавил
Стартовая страница у вас же стоит www.yahoo.com, как же вы говорите, что гугол ?
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
сделал
Очистите корзину и папку
C:\Documents and Settings\Administrator\Local Settings\Temp
- там подозрения подтвердились.
(Local Settings - скрытая).
Задание в Планировщике, полагаю, не вы ставили? - удалите.
Да и службу планировщика можно отключить, если использовать
не собираетесь.
Попробуйте найти вручную эти файлы:
C:\WINDOWS\system32\iuetcplc.dll
C:\WINDOWS\system32\tEpi32.dll
Если найдутся, пришлите по правилам.
Последний раз редактировалось Bratez; 25.04.2007 в 14:35.
Тем более чистите папку Temp и потом ещё раз корзинуКорзину почистил, а папку какую? Temp?...она 1 гб...или я не так понял...
Панель управления - Администрирование - Службы - Планировщик заданий - Типа запуска- Отключено.Я им не разу не пользовался... а как его отключить?
Выполните скрипт:
Файлов этих очевидно уже нет, просто для зачистки следов.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\tEpi32.dll'); DeleteFile('C:\WINDOWS\system32\iuetcplc.dll'); DeleteFile('c:\docume~1\admini~1\applic~1\loadlo~1\team one coal.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После перезагрузки повторите логи п.10 и 12 правил.
А проблема все еще себя проявляет?
заметил, что в панели задач внизу слева сбиваются значки, и их надо перестраивать
1. Задание из Планировщика так и не убрали, посморите сюда:
Панель управления - Назначенные задания (Task Scheduler)
2. Остались кое-какие следы и добавилось что-то новенькое.
Выполните скрипт:
После перезагрузки пришлите карантин по правилам.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelCLSID('BA875410-FFBA-443D-8CE4-FEFD2AD7C809'); DelCLSID('9EA402E0-F662-4DD7-B71C-0C372E9305C3'); ClearQuarantine; QuarantineFile('C:\WINDOWS\system32\prsrv64.dll',''); QuarantineFile('C:\WINDOWS\system32\msvcrt64.dll',''); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end.
C:\WINDOWS\system32\msvcrt64.dll - Trojan-Proxy.Win32.Agent.lb
C:\WINDOWS\system32\prsrv64.dll - на Virustotal однозначно никто не определяет, только 4 эвристика срабатывают. Отправил в вирлаб.
Пока сделаем так:
Выполните и повторите два последних лога.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\msvcrt64.dll'); BC_DeleteFile('C:\WINDOWS\system32\msvcrt64.dll'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Карантин послал. Логи прикрепил
C:\WINDOWS\system32\prsrv64.dll загадочным образом испарился из логов...
А ответ из вирлаба запаздывает. Логи чистые, осталось только пофиксить:
P.S. А задание в Scheduler'e так и болтается.Код:O21 - SSODL: msvcrt64.dll - {5DF60467-230E-464A-A654-8A9416A581BA} - msvcrt64.dll (file missing)
Разве его не видно через апплет панели управления?
@Leo Скрипт от Bratez выполнили? А карантин присылать не просили.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Уважаемый(ая) Leo, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.