Надоела реклама сайта Files-secure.com!

[4aster]

При открытии папки или диска часто выскакивает окно Sistem Error! с сообщением: "ПК заражен неизвестным трояном. Нажмите ОК для загрузки antyspyware program". Нажимаешь ОК, вкл. броузер, переход на files-secure.com и предложение сохранить ихний файл. Как избавиться от этой ерунды? Мешает жутко, да еще NOD-ушка нашел в закачиваемом файле какой-то win32. К сожалению не спец в этих делах (мягко так говоря)... ПОМОЖИТЕ ЧЕМ МОЖЕТЕ!!

[Pili]

- Cкачайте CureIT и запустите полную проверку всех дисков в безопасном режиме. Перезагрузитесь в обычный режим.

- Скачайте AVZ и HijackThis и распакуйте архивы avz4.zip и HiJackThis.zip в отдельные папки.

- Отключите восстановление системы, закройте все программы, включая антивирусные программы и firewall, оставьте запущенным только Internet Explorer.

- Запустите AVZ и обновите базы (Файл - Обновление баз). Выберите из меню Файл -Стандартные скрипты и поставьте галку напротив 3-го скрипта и нажмите "Выполнить отмеченные скрипты". После выполнения скрипта обязательно перезагрузите компьютер.

- Запустите AVZ. Выберите из меню Файл - Стандартные скрипты, поставьте галку напротив 2-го скрипта и нажмите "Выполнить отмеченные скрипты".

- Запустите HijackThis. В появившимся бланке, с пользовательском соглашением, нажмите на кнопку I Accept.. Нажмите на кнопку "Do a system scan and save a logfile". Заархивируйте полученный лог.

- Вложите в сообщение файлы логов (zip файлы из каталога AVZ\LOG и HijackThis), всего должно быть 3 файла: virusinfo_syscure.zip, virusinfo_syscheck.zip, hijackthis.zip

[4aster]

CureIt нашел 2 файла с трояном и win32.download, вылечил их ( по-моему путем удаления :) ), больше в системе никакой грязи (говорят, что это заблуждение и такого не бывает). NOD32 тоже молчит. Стоит ли начинать второй шаг с AVZ??? Заранее СПАСИБО!

[lamauser]

CureIt нашел 2 файла с трояном и win32.download, вылечил их ( по-моему путем удаления :) ), больше в системе никакой грязи (говорят, что это заблуждение и такого не бывает). NOD32 тоже молчит. Стоит ли начинать второй шаг с AVZ??? Заранее СПАСИБО!

логи нужны, без них можно только гадать:)

[Pili]

4aster: да, сделайте все логи, тогда можно будет убедиться, что зловредов не осталось

[Mi16]

У меня такая же пробема. CureIt ничего не нашёл. ОС Windows Vista

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

[ТроПа]

Mi16:

1. АВЗ запускался с правами администратора?

2. Отключите восстановление системы

3. Запустить АВЗ с правами администратора и выполнить

beginSearchRootkit(true, true);SetAVZGuardStatus(True);DelBHO('{14F4D69C-EDB0-434D-BF44-1EECCCD3418E}');QuarantineFile('C:\Windows\sysosa.dll','');DeleteFile('C:\Windows\sysosa.dll');BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end.

компьютер перезагрузится.

4. Выполните скрипт в АВЗ (естественно с правами администратора):

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Файл quarantine.zip выложить на ifolder.ru или slil.ru или другой файлообменник и дать ссылку на него в ПМ

5. Профиксите

O2 - BHO: Office toolbar - {14F4D69C-EDB0-434D-BF44-1EECCCD3418E} - C:\Windows\sysosa.dll

6. В хост файле знакома эта запись:

::1			 localhost

7. Повторите логи.

8. На будущее, на каждую проблему отдельная тема.

Спасибо за понимание.

[ТроПа]

Карантин и логи получил.

C:\Windows\sysosa.dll - Trojan-Downloader.Win32.Delf.dvt

Какие-то проблемы остались?

Запустите АВЗ Файл--9. Мастер поиска и устранения проблем и решите эту проблему:

>> Нарушение ассоциации REG файлов

[Mi16]

Карантин и логи получил.

C:\Windows\sysosa.dll - Trojan-Downloader.Win32.Delf.dvt

Какие-то проблемы остались?

Запустите АВЗ Файл--9. Мастер поиска и устранения проблем и решите эту проблему:

Проблем больше нет, ассоциацию REG файлов решил.

Спасибо за помощь :)

[4aster]

Два вопроса!!!

1. Что такое "профиксить"?

2. Содержатся ли в выкладываемых логах личные данные, коды, пароли и проч.???

[Pili]

1. Если вас попросили «пофиксить в HijackThis», запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".

У HijackThis есть возможность отмены сделанных с помощью него изменений в системе. Запустите HijackThis, нажмите кнопку View the list of backups. Отметьте то, что хотите вернуть и нажмите кнопку Restore.

2. Нет, правда слышал новость, что ip адреса теперь будут считаться конф. данными :g:

[4aster]

Все сделал, но мне постоянно при повторной проверке АВЗ пишет: нарушение ассоциации рег файлов, исправляю и тут же снова таже петрушка, в том числе после перезагрузки...

Может снова все проверить полностью?

[Pili]

4aster: скорее всего стоит какой-то софт, нарушающий ассоциацию файлов reg, можно попробовать следующий твик реестра

Windows Registry Editor Version 5.00[HKEY_CLASSES_ROOT\.reg]@="regfile"[HKEY_CLASSES_ROOT\.reg\PersistentHandler]@="{5e941d80-bf96-11cd-b579-08002b30bfeb}"[HKEY_CLASSES_ROOT\regfile]@="Registration Entries""EditFlags"=dword:00100000[HKEY_CLASSES_ROOT\regfile\DefaultIcon]@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\00,5c,00,72,00,65,00,67,00,65,00,64,00,69,00,74,00,2e,00,65,00,78,00,65,00,\2c,00,31,00,00,00[HKEY_CLASSES_ROOT\regfile\shell][HKEY_CLASSES_ROOT\regfile\shell\edit][HKEY_CLASSES_ROOT\regfile\shell\edit\command]@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,4e,00,4f,00,\54,00,45,00,50,00,41,00,44,00,2e,00,45,00,58,00,45,00,20,00,25,00,31,00,00,\00[HKEY_CLASSES_ROOT\regfile\shell\open]@="Mer≥"[HKEY_CLASSES_ROOT\regfile\shell\open\command]@="regedit.exe \"%1\""[HKEY_CLASSES_ROOT\regfile\shell\print][HKEY_CLASSES_ROOT\regfile\shell\print\command]@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,4e,00,4f,00,\54,00,45,00,50,00,41,00,44,00,2e,00,45,00,58,00,45,00,20,00,2f,00,70,00,20,\00,25,00,31,00,00,00

reg файл

[4aster]

ой, а это куда?

[Matias]

Скачайте файл по ссылке, запустите его и ответьте "Да" на вопрос Windows желаете ли вы добавить информацию в реестр.

[KuKa]

присоединяюсь к проблеме. К-сожалению, сдуру скачал этот "антивирус" files secure. Теперь непонятно , как удалить. И вышеописанная проблема с работой с виндовским проводником также присутствует. Сделал все, что написано во втором посте - не помогло. Прилагаю три лога. Помогите пожалуйста!

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.rar

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.rar

[Pili]

Умеет лечить SmitfraudFix (by S!Ri)

Деинсталлируйте C:\Program Files\ConnectionServices\

выполните в avz скрипт

beginSearchRootkit(true, true);SetAVZGuardStatus(True);StopService('Dmlusa');SetServiceStart('Dmlusa', 4);QuarantineFile('Dmlusa.sys','');QuarantineFile('C:\WINDOWS\ausctv32a.dll','');DelBHO('{D2A8552D-4340-413E-B94E-245827FBC269}');DeleteFile('C:\WINDOWS\ausctv32a.dll');DeleteFile('C:\Program Files\ConnectionServices\ConnectionServices.dll');BC_ImportALL;ExecuteSysClean;BC_QrSvc('Dmlusa');BC_Activate;RebootWindows(true);end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Файл quarantine.zip выслать на user15802[at]mail.ru или выложить на ifolder.ru или slil.ru или другой файлообменник и дать ссылку на него в ПМ, в теле письма указать ссылку на тему.

Пофиксите в HiJackThis

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yandex.ru/?clid=22008R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.kornet.ru/O2 - BHO: ConnectionServices module - {6D7B211A-88EA-490c-BAB9-3600D8D7C503} - C:\Program Files\ConnectionServices\ConnectionServices.dll

Повторите логи

Изменено 26 марта, 2008 пользователем Pili

[KuKa]

Умеет лечить SmitfraudFix (by S!Ri)

Деинсталлируйте C:\Program Files\ConnectionServices\

выполните в avz скрипт

beginSearchRootkit(true, true);SetAVZGuardStatus(True);StopService('Dmlusa');SetServiceStart('Dmlusa', 4);QuarantineFile('Dmlusa.sys','');QuarantineFile('C:\WINDOWS\ausctv32a.dll','');DelBHO('{D2A8552D-4340-413E-B94E-245827FBC269}');DeleteFile('C:\WINDOWS\ausctv32a.dll');DeleteFile('C:\Program Files\ConnectionServices\ConnectionServices.dll');BC_ImportALL;ExecuteSysClean;BC_QrSvc('Dmlusa');BC_Activate;RebootWindows(true);end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Файл quarantine.zip выслать на user15802[at]mail.ru или выложить на ifolder.ru или slil.ru или другой файлообменник и дать ссылку на него в ПМ, в теле письма указать ссылку на тему.

Пофиксите в HiJackThis

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yandex.ru/?clid=22008R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.kornet.ru/O2 - BHO: ConnectionServices module - {6D7B211A-88EA-490c-BAB9-3600D8D7C503} - C:\Program Files\ConnectionServices\ConnectionServices.dll

Повторите логи

спасибо за помощь, но я решил проблему проще - акронисом бэкапнул системный диск :))))) . Надеюсь, больше не попадусь на удочку. Еще раз спасибо

[4aster]

снова проблема и снова реклама сайта, точнее программ (антишпионских и пр....) Заколебали! и главное окно такое красивое всплывает...

посмотрите логи, плиз!

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.zip

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.zip

[4aster]

да, вот еще вопрос: вирус отключил диспетчер задач в виндовзе, как исправить? (винда виста)

нашел я экзешник с вирусом, проверил на вирусскане.ком - только 7 из 35 сканеров обнаружили и знают об этой гадости... стоит на компе нод32 - он засигналил только после загрузки сегодняшнего обновления от 26.03. но по ходу проблему не исправил, т.к. проявления вируса остались (правда частично - мож остаточные явления какие)

[4aster]

да, вот еще вопрос: вирус отключил диспетчер задач в виндовзе, как исправить? (винда виста)

нашел я экзешник с вирусом, проверил на вирусскане.ком - только 7 из 35 сканеров обнаружили и знают об этой гадости... стоит на компе нод32 - он засигналил только после загрузки сегодняшнего обновления от 26.03. но по ходу проблему не исправил, т.к. проявления вируса остались (правда частично - мож остаточные явления какие)

"Ватсон! Ты ДЕБИЛ!!!" - фраза из одной сценки Камеди Клаб (Г."Б". Харламов) - отпускаю в свой адрес. вспомнил, что проблемы можно исправить в том же АВЗ, 9-тый пункт меню-файл!!!

просьба: все-таки логи посмотрите (Пили, снова помоги, на тебя вся надежда!!!) вдруг ЧАВО осталось... :blushing:

[Pili]

4aster:

В меню AVZ - файл - выполнить скрипт – выделить и скопировать текст ниже (методом Ctrl+C/Ctrl+V или с помощью прав. кн. мыши копировать/вставить) в окно выполнения скрипта AVZ и нажать кнопку «Запустить»

beginSearchRootkit(true, true);SetAVZGuardStatus(True);TerminateProcessByName('c:\windows\system32\wnsrcdet.exe');QuarantineFile('c:\windows\system32\wnsrcdet.exe','');TerminateProcessByName('c:\programdata\yxinapgd\ipirarid.exe');QuarantineFile('c:\programdata\yxinapgd\ipirarid.exe','');QuarantineFile('C:\Windows\qvdntlmw.dll','');QuarantineFile('C:\Windows\kdftlboerfg.dll','');QuarantineFile('C:\Windows\vbgtorfd.dll','');QuarantineFile('C:\Windows\dwnrpofk.dll','');QuarantineFile('C:\Program Files\ATKGFNEX\ASMMAP.sys','');QuarantineFile('C:\Windows\system32\DRIVERS\ipinip.sys','');DeleteFile('C:\Windows\dwnrpofk.dll');DeleteFile('C:\Windows\vbgtorfd.dll');DeleteFile('C:\Windows\kdftlboerfg.dll');DeleteFile('C:\Windows\qvdntlmw.dll');DelBHO('{2D4651A7-58C8-4530-8787-88C8B6DC774E}');DelBHO('{72C7F75B-B10B-4477-A687-EF10300DE5DD}');BC_ImportALL;ExecuteSysClean;BC_Activate;ExecuteRepair(11);RebootWindows(true);end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Файл quarantine.zip выслать на user15802[at]mail.ru или выложить на ifolder.ru или slil.ru или другой файлообменник и дать ссылку на него в ПМ, в теле письма указать ссылку на тему.

Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".

O2 - BHO: GNX Bingo - {72C7F75B-B10B-4477-A687-EF10300DE5DD} - C:\Windows\kdftlboerfg.dllO3 - Toolbar: qvdntlmw - {2D4651A7-58C8-4530-8787-88C8B6DC774E} - C:\Windows\qvdntlmw.dllO21 - SSODL: vbgtorfd - {051E9DF1-C460-421A-82CC-8D36C3250156} - C:\Windows\vbgtorfd.dllO21 - SSODL: dwnrpofk - {F6DFA4C6-3242-418F-A643-AB86DCE876F6} - C:\Windows\dwnrpofk.dll

Запустите в AVZ Мастер поиска и устранения проблем, выберите все системные проблемы, выставите степень опасности "Все проблемы", исправьте найденные проблемы. То же самое можно выполнить в категории проблемы "Настройки и твики браузера".

Если не проверялись с помощью cureit, скачайте cureit и запустите полную проверку всех дисков в безопасном режиме

Или можете провериться с помощью AVPTool

Ну и добьем заразу :g:

Скачайте ComboFix здесь или здесь и сохраните на рабочий стол.

1. Не переименовывайте Combofix

2. Внимание! Обязательно закройте все браузеры, закройте и отключите все антивирусное и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix/

3. Запустите combofix.exe, когда процесс завершится скопируйте и выложите текст из C:\ComboFix.txt в сообщение

**Не нажимайте кнопки мыши во время работы Combofix, это может стать причиной его зависания**

Повторите логи virusinfo_syscheck.zip, hijackthis.zip и выложите логи ComboFix

Изменено 27 марта, 2008 пользователем Pili

[4aster]

PILI:

оказывается, вчера почистил только верхушку айсберга! много исчо гумна осталось после очередного вирусняка! Спасибо, Pili , за очередную помощь, чувствую, не последний раз! :rolleyes:

выкладываю логи того, что получилось:

PILI:

оказывается, вчера почистил только верхушку айсберга! много исчо гумна осталось после очередного вирусняка! Спасибо, Pili , за очередную помощь, чувствую, не последний раз! :)

выкладываю логи того, что получилось:

[Pili]

киде логи? )

[4aster]

прошу прощения, не все так гладко как хочется, но и не все та гадко как кажется...

логи (дубль 2):

прошу прощения, не все так гладко как хочется, но и не все так гадко как кажется...

логи (дубль 2):

щщщука!

дубль 3:

virusinfo_syscheck.zip

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.zip

ComboFix.txt

virusinfo_syscheck.zip

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.zip

ComboFix.txt