stk Опубликовано 24 декабря, 2008 Опубликовано 24 декабря, 2008 не знаю откуда появилась какая то непонятная реклама в браузере,вот скрин.проверял на вирусы нашел 4 удалено: троянская программа Trojan-PSW.Win32.Lmir.cav Файл: C:\WINDOWS\system32\Wow.exe//NSPack удалено: троянская программа Trojan-GameThief.Win32.OnLineGames.asfx Файл: C:\WINDOWS\system32\soni32drv.dll удалено: троянская программа Trojan-PSW.Win32.Lmir.cav Файл: C:\System Volume Information\_restore{F83EBEC1-F22C-4EFE-8AA9-DFBFE0E02B97}\RP52\A0062444.exe//NSPack удалено: троянская программа Trojan-GameThief.Win32.OnLineGames.asfx Файл: C:\System Volume Information\_restore{F83EBEC1-F22C-4EFE-8AA9-DFBFE0E02B97}\RP52\A0062445.dll Кто знает что это может быть ,поясните.и как с этим бороться ? Она на каждой странице. А когда в explorere в строке например набираю kaspersky.ru меня перекидывает на http://search.msn.com/results.aspx?srch=10...w.kaspersky.ru/
MedvedevUnited Опубликовано 24 декабря, 2008 Опубликовано 24 декабря, 2008 Здравствуйте! Добро пожаловать на форум! Выполните, пожалуйста, правила.
stk Опубликовано 24 декабря, 2008 Автор Опубликовано 24 декабря, 2008 (изменено) вот 3 файла virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.rar Изменено 24 декабря, 2008 пользователем stk
MIHEJ Опубликовано 24 декабря, 2008 Опубликовано 24 декабря, 2008 У тебя троян! У меня тоже была такая реклама.Ты с этого браузера в инет пока не выходи,могут провести сетевую атаку . У меня KIS только через два дня после появления рекламы обнаружил трояна и удалил,и то после того как провели сетевую атаку.
stk Опубликовано 24 декабря, 2008 Автор Опубликовано 24 декабря, 2008 У тебя троян! У меня тоже была такая реклама.Ты с этого браузера в инет пока не выходи,могут провести сетевую атаку . У меня KIS только через два дня после появления рекламы обнаружил трояна и удалил,и то после того как провели сетевую атаку. ок.а где он лежит этот троян?или ты уже не помнишь...?
akoK Опубликовано 24 декабря, 2008 Опубликовано 24 декабря, 2008 (изменено) AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\system32\hphmon05.exe',''); QuarantineFile('C:\Documents and Settings\All Users\Application Data\pdalib.dll',''); QuarantineFile('crypts.dll',''); QuarantineFile('C:\WINDOWS\system32\webcheck.dll',''); QuarantineFile('C:\WINDOWS\system32\stobject.dll',''); QuarantineFile('C:\WINDOWS\system32\ntbackup.exe',''); QuarantineFile('C:\WINDOWS\system32\msansspc.dll',''); QuarantineFile('C:\WINDOWS\system32\digeste.dll',''); QuarantineFile('c:\windows\temp\2e58.tmp',''); QuarantineFile('C:\WINDOWS\system32\crypts.dll',''); DeleteFile('C:\WINDOWS\system32\crypts.dll'); DeleteFile('c:\windows\temp\2e58.tmp'); DeleteFile('C:\WINDOWS\system32\digeste.dll'); DeleteFile('C:\WINDOWS\system32\msansspc.dll'); DeleteFile('C:\Documents and Settings\All Users\Application Data\pdalib.dll'); DelBHO('{8DAE90AD-4583-4977-9DD4-4360F7A45C74}'); DelBHO('{FBC934E6-6F95-4742-B6BC-F6E8D854C25D}'); BC_ImportALL; BC_Activate; ExecuteSysClean; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма Повторите логи, а в место HJT, cкачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска. Изменено 24 декабря, 2008 пользователем akoK
stk Опубликовано 24 декабря, 2008 Автор Опубликовано 24 декабря, 2008 Повторите логи, а в место HJT, cкачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска. info.rar log.rar
akoK Опубликовано 24 декабря, 2008 Опубликовано 24 декабря, 2008 (изменено) Логи AVZ забыли C:\Config.Msi - проверить на http://www.virustotal.com/ru/ Изменено 24 декабря, 2008 пользователем akoK
CbIP Опубликовано 25 декабря, 2008 Опубликовано 25 декабря, 2008 Это точно какой-то BHO. Самое интересное, что если послать СМС, реклама не уберётся. Поэтому будьте бдительны! Не поддавайтесь на уловки злоумышлинников!
stk Опубликовано 25 декабря, 2008 Автор Опубликовано 25 декабря, 2008 Логи AVZ забыли C:\Config.Msi - проверить на http://www.virustotal.com/ru/ вот новые логи...реклама убралась. virusinfo_syscheck.zip virusinfo_syscure.zip
Falcon Опубликовано 25 декабря, 2008 Опубликовано 25 декабря, 2008 Лог hijackthis куда-то убежал, добавьте.
ТроПа Опубликовано 25 декабря, 2008 Опубликовано 25 декабря, 2008 И ещё один нюанс. Заметил в логах, что включено восстановление системы, я бы порекомендоавл его отключить, что бы убить все точки восстановления. т.к. они скорее всего заражены, а потом снова включиь.
akoK Опубликовано 25 декабря, 2008 Опубликовано 25 декабря, 2008 AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('C:\WINDOWS\system32\crypts.dll'); BC_ImportDeletedList; BC_Activate; ExecuteSysClean; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Пофиксить в HijackThis следующие строчки O20 - Winlogon Notify: crypt - crypts.dll (file missing) Вот так будет чише. Восстановление системы: включено Отключите, потом включите.
stk Опубликовано 18 января, 2009 Автор Опубликовано 18 января, 2009 (изменено) снова столкнулся с этой же проблемой... логи будут минут через 15. было подозрение на backdoor.win32.GF.13x , скачал ловивконтакте для скачивания файлов с контакта, антивирус ничего не кричал. через пол дня,заходя в браузер, увидел снова эту рекламу. проверил компьютер нашел вирус 18.01.2009 23:04:26 Вылечено вирус HEUR:Trojan.Script.Iframer C:\Documents and Settings\Stas\Application Data\Auslogics\Rescue\One Button Checkup\090106150903921.rsc/090106150903921-000268.file virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log info.txt log.txt Изменено 18 января, 2009 пользователем stk
ТроПа Опубликовано 18 января, 2009 Опубликовано 18 января, 2009 1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; DelBHO('{C4791458-A3B2-4141-A6F5-05508DE9E9D0}'); QuarantineFile('C:\Documents and Settings\All Users\Application Data\agalib.dll',''); DelBHO('{1A6F66F8-04C0-414D-881B-91B2253C5960}'); QuarantineFile('C:\Documents and Settings\All Users\Application Data\mvvlib.dll',''); DeleteFile('C:\Documents and Settings\All Users\Application Data\mvvlib.dll'); DeleteFile('C:\Documents and Settings\All Users\Application Data\agalib.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Прислать карантин (файл quarantine.zip из папки AVZ) на адрес 54712<at>rambler.ru где <at> - это @. 2.Пофиксить в HijackThis следующие строчки (какие будут) R3 - URLSearchHook: (no name) - - (no file) O2 - BHO: mvvlibP - {1A6F66F8-04C0-414D-881B-91B2253C5960} - C:\Documents and Settings\All Users\Application Data\mvvlib.dll O2 - BHO: agalibP - {C4791458-A3B2-4141-A6F5-05508DE9E9D0} - C:\Documents and Settings\All Users\Application Data\agalib.dll O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file) O20 - Winlogon Notify: crypt - crypts.dll (file missing) Повторите логи снова.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти