Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   не могу поймать трояна в IE & Explorer, перенаправление на free-virusscan.com (http://forum.oszone.net/showthread.php?t=115443)

_ib_ 26-08-2008 22:56 884587
не могу поймать трояна в IE & Explorer, перенаправление на free-virusscan.com
 
Здравствуйте,
тема уже поднималась на форуме, но как написанно в правилах "лекарства прописывает администрация и гуру лично".
позанимаемся СЕО :)... подобные темы:
http://forum.oszone.net/showthread.p...-virusscan.com
http://forum.oszone.net/showthread.p...-virusscan.com

кратко еще раз о проблеме:
при использовании Explorer или IE, вылазиет окошко, мол у вас вирусы на компе и заражены файлы WINDOWS, нажмите "ДА", чтобы скачать программу против вирусов.
При нажатии на ДА или НЕТ, открывается IE на вэбстраничке удалена

Востановление системы по ранним пунктам не помогли. Просканировать систему из Safe Mode не получается, т.к. там Windows не загружается (ждал 8 минут)
Антивирусники ничего не находят, так же как и Spybot, PC Tool Spy Doctor.

По правилам публикации прирогаю различные логи. (я сделал немного больше на всякий случай). В архиве logs.rar лежат все файлы.

Система XP Pro legal, SP3.

Благодарю за хорошие советы.

_ib_ 26-08-2008 22:57 884588
Вложений: 1
одил лог не влез....ниже

Severny 26-08-2008 23:11 884602
Много логов, только ни один не годится. Видно, что малвари имеются, но...
Тем более твои вирусы совсем другого рода.
Пожалуйста логи, как здесь
Лекарство не заставит себя ждать, надеюсь.
(ссылку на вредоносный сайт нужно убрать).

proxy.arcor-ip.de:8080 - твоя запись?

_ib_ 27-08-2008 02:01 884689
Вложений: 3
странно, это я когда-то тестил прокси, этот прокси прописан у меня в IE, в настройках-> соединения->LAN (прокси), но эта опция выключена там.

Но я думаю, что ты заметил по моему ИП... тогда я был тут через оперу и там тоже этот прокси прописан, но он также не активирован. Это меня удивляет.

хотел запустить сканеры из SAFE MODE, но там не грузится, даже в режиме командной строки не хочет. я ждал около 8-10 минут. Буд-то на полпути производительность процессора обрывается.

первые логи я так и делал по инструкции, но сейчас сделаю ещё раз, попробую касперским. Выложу позже, в течении часа, пары часов.

зы: сейчас проверяется комп Касперским Removal Tool, как-то долго, но видно, что вроде как тщательно, пока нашлись:
TRJ.Win32.VBdnn
TRJ-Downloader.Win32.Zlob.wnn
TRJ.Win32.BHO.ggd

Логи прилогаются, но без Декрт скана, т.к. в нём какая-то дырка и его разработчики убрали линк.

Severny 27-08-2008 08:43 884762
В HijackThis поставь галку перед значением и нажми Fix checked
Код:
O2 - BHO: ABS Toolbar - {7FBB2D91-9964-4196-BAC5-D5E751762EC3} - C:\WINDOWS\system32\zao2.dll
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.arcor-ip.de:8080
Скопируй код и выполни скрипт. Компьютер перезагрузится.
Код:
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 DelBHO('{48FFE35F-36D9-44bd-A6CC-1D34414EAC0D}');
 DelBHO('{2670000A-7350-4f3c-8081-5663EE0C6C49}');
 QuarantineFile('C:\WINDOWS\system32\Drivers\mv614x.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\mchInjDrv.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\KCOM.SYS','');
 QuarantineFile('C:\WINDOWS\system32\zao2.dll','');
 DeleteFile('C:\WINDOWS\system32\zao2.dll');
 DeleteFile('C:\WINDOWS\system32\Drivers\mchInjDrv.sys');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(10);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки выполни еще один скрипт.
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Папку Qurantine вышли в PM.
Safe Mode работает?

_ib_ 27-08-2008 16:33 885116
Вложений: 1
Scan hijackThis больше не показал
O2 - BHO: ABS Toolbar - {7FBB2D91-9964-4196-BAC5-D5E751762EC3} - C:\WINDOWS\system32\zao2.dll (лог прилогается, сканировал сначала без IE, после с открытым IE, лиги одинаковы)
т.к. вчера на всю ночь я поставил скан касперского Virus Removal Tool и он эту библиотеку уже удалил после перезагрузги.

выполняю скрипты.

Safe mode попробую после выполнения скрипта, .... так же не загружается.

Архив карантийный выслал.

Читаем форум дальше...

Цитата:
Цитата yurfed
Проверьте вашу папку SYSTEM32 на наличие в ней ntos.exe и/или userinit.exe файлов. Если таковые есть тоже не паникуйте а выполните следующие действия, п »
из темы о проблеме с Safe mode
я ntos.exe не нашёл в /system32/, зато там есть userinit.exe, удалить мне его?
зы: сделал в hijackThis -> checkIt.

_ib_ 27-08-2008 17:19 885148
так после долгих тестов и сканов решил я опять попробывать Exploler и полазить по папкам... окошко не вылазиет больше.
сразу попробЫвал и IE, также работает пока хорошо.

делаю проверку CureIT, Dr.Web

Severny 27-08-2008 22:35 885398
Userinit.exe не трогай.
Safe Mode поправил тем reg-файлом, что в той теме?

Цитата:
Цитата _ib_
окошко не вылазиет больше »
Ну отмечай тему решенной.

_ib_ 28-08-2008 01:23 885504
после изменения регистра приложенным пакетом SafeMode Repair.zip от Severny Safe mode все также не запускается. Т.е. SafeMode Repair не помог.
Видно, что инициализируется клавиатура и мыш (моргают раз детекторы NUMLOCK, CAPSLOck ...), после этого буд-то HDD вырубается и не работает процессор, никаких звуков, только досовский курсор моргает на чистом экране. CTRG+ALT+DEL уже не работают, что (как мне кажется) свидетельствует о среде windows уже.

зы: Может создать отдельный топик по Safe mode?

Severny 28-08-2008 08:10 885613
Попробуй выполнить:
Код:
begin
ExecuteRepair(6);
ExecuteRepair(10);
ExecuteRepair(17);
RebootWindows(true);
end.

_ib_ 28-08-2008 23:03 886161
спасибо за помощь, но я-нетерпеливый всё таки пробЫвал сам: сделал реинстал винды на старую, после этого Safe mode заработал.

Спасибо ещё раз.
теперь углубляюсь в темы сайта, много чего интересного.
Думаю, что на одного постоянного посетителя у Вас больше стало ;)
до встречи на сайте.

Severny 28-08-2008 23:21 886176
Цитата:
Цитата _ib_
сделал реинстал винды на старую, после этого Safe mode заработал.
»
Отлично. Одно но..
То есть ты не отключал восстановление системы, как требуют правила.
Ты не думаешь, что вирусы тоже восстановились?

_ib_ 28-08-2008 23:42 886183
я отключал её руками для всех дисков, как было описанно в правилах до создания поста в этом разделе.
точки восстановления не делались во время зарожения. поэтому надеюсь, что пока все ОК. симптомов нет пока.
но интуиитивное ощущение есть, что система как бы переполненна, много мусора. ща найду время надо будет утилитки поискать для чистки реестра.

планирую сделать диск со всеми настройками и программами, чтобы можно было в таких слечаях диск быстро форматануть и все заново загрузить. Экономия времени и нерв :)

Severny 28-08-2008 23:50 886190
Цитата:
Цитата _ib_
но интуиитивное ощущение есть, что система как бы переполненна, много мусора. ща найду время надо будет утилитки поискать для чистки реестра. »
Подчистить от файлов -- ATF-Cleaner.
От файлов и записей в реестре -- WinTools.net (платная).
Упорядочить файлы реестра, подкачки и т.п. (можно при каждой загрузке) -- PAGEDEFRAG.
Упорядочить записи в реестре -- NTRegOpt (нет смысла часто запускать).
Программы, которыми пользуюсь, достаточно надежны.

_ib_ 29-08-2008 01:55 886259
ок, буду тестировать и пробывать, Спасибо.


Время: 06:53.

Время: 06:53.
© OSzone.net 2001-