|
Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » не могу поймать трояна в IE & Explorer, перенаправление на free-virusscan.com |
|
|
не могу поймать трояна в IE & Explorer, перенаправление на free-virusscan.com
|
Новый участник Сообщения: 27 |
Профиль | Отправить PM | Цитировать
Здравствуйте,
тема уже поднималась на форуме, но как написанно в правилах "лекарства прописывает администрация и гуру лично". позанимаемся СЕО ... подобные темы: http://forum.oszone.net/showthread.p...-virusscan.com http://forum.oszone.net/showthread.p...-virusscan.com кратко еще раз о проблеме: при использовании Explorer или IE, вылазиет окошко, мол у вас вирусы на компе и заражены файлы WINDOWS, нажмите "ДА", чтобы скачать программу против вирусов. При нажатии на ДА или НЕТ, открывается IE на вэбстраничке удалена Востановление системы по ранним пунктам не помогли. Просканировать систему из Safe Mode не получается, т.к. там Windows не загружается (ждал 8 минут) Антивирусники ничего не находят, так же как и Spybot, PC Tool Spy Doctor. По правилам публикации прирогаю различные логи. (я сделал немного больше на всякий случай). В архиве logs.rar лежат все файлы. Система XP Pro legal, SP3. Благодарю за хорошие советы. |
|
Отправлено: 22:56, 26-08-2008 |
Новый участник Сообщения: 27
|
Профиль | Отправить PM | Цитировать одил лог не влез....ниже
|
Отправлено: 22:57, 26-08-2008 | #2 |
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети. Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля. |
Ветеран Сообщения: 3487
|
Профиль | Сайт | Отправить PM | Цитировать Много логов, только ни один не годится. Видно, что малвари имеются, но...
Тем более твои вирусы совсем другого рода. Пожалуйста логи, как здесь Лекарство не заставит себя ждать, надеюсь. (ссылку на вредоносный сайт нужно убрать). proxy.arcor-ip.de:8080 - твоя запись? |
------- Последний раз редактировалось Severny, 27-08-2008 в 00:01. Отправлено: 23:11, 26-08-2008 | #3 |
Новый участник Сообщения: 27
|
Профиль | Отправить PM | Цитировать странно, это я когда-то тестил прокси, этот прокси прописан у меня в IE, в настройках-> соединения->LAN (прокси), но эта опция выключена там.
Но я думаю, что ты заметил по моему ИП... тогда я был тут через оперу и там тоже этот прокси прописан, но он также не активирован. Это меня удивляет. хотел запустить сканеры из SAFE MODE, но там не грузится, даже в режиме командной строки не хочет. я ждал около 8-10 минут. Буд-то на полпути производительность процессора обрывается. первые логи я так и делал по инструкции, но сейчас сделаю ещё раз, попробую касперским. Выложу позже, в течении часа, пары часов. зы: сейчас проверяется комп Касперским Removal Tool, как-то долго, но видно, что вроде как тщательно, пока нашлись: TRJ.Win32.VBdnn TRJ-Downloader.Win32.Zlob.wnn TRJ.Win32.BHO.ggd Логи прилогаются, но без Декрт скана, т.к. в нём какая-то дырка и его разработчики убрали линк. |
Последний раз редактировалось _ib_, 27-08-2008 в 03:26. Отправлено: 02:01, 27-08-2008 | #4 |
Ветеран Сообщения: 3487
|
Профиль | Сайт | Отправить PM | Цитировать В HijackThis поставь галку перед значением и нажми Fix checked
O2 - BHO: ABS Toolbar - {7FBB2D91-9964-4196-BAC5-D5E751762EC3} - C:\WINDOWS\system32\zao2.dll R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.arcor-ip.de:8080 begin SetAVZGuardStatus(True); SearchRootkit(true, true); DelBHO('{48FFE35F-36D9-44bd-A6CC-1D34414EAC0D}'); DelBHO('{2670000A-7350-4f3c-8081-5663EE0C6C49}'); QuarantineFile('C:\WINDOWS\system32\Drivers\mv614x.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\mchInjDrv.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\KCOM.SYS',''); QuarantineFile('C:\WINDOWS\system32\zao2.dll',''); DeleteFile('C:\WINDOWS\system32\zao2.dll'); DeleteFile('C:\WINDOWS\system32\Drivers\mchInjDrv.sys'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(10); BC_Activate; RebootWindows(true); end. Папку Qurantine вышли в PM. Safe Mode работает? |
|
------- Последний раз редактировалось Severny, 27-08-2008 в 11:26. Отправлено: 08:43, 27-08-2008 | #5 |
Новый участник Сообщения: 27
|
Профиль | Отправить PM | Цитировать Scan hijackThis больше не показал
O2 - BHO: ABS Toolbar - {7FBB2D91-9964-4196-BAC5-D5E751762EC3} - C:\WINDOWS\system32\zao2.dll (лог прилогается, сканировал сначала без IE, после с открытым IE, лиги одинаковы) т.к. вчера на всю ночь я поставил скан касперского Virus Removal Tool и он эту библиотеку уже удалил после перезагрузги. выполняю скрипты. Safe mode попробую после выполнения скрипта, .... так же не загружается. Архив карантийный выслал. Читаем форум дальше... Цитата yurfed:
я ntos.exe не нашёл в /system32/, зато там есть userinit.exe, удалить мне его? зы: сделал в hijackThis -> checkIt. |
|
Последний раз редактировалось _ib_, 27-08-2008 в 17:28. Отправлено: 16:33, 27-08-2008 | #6 |
Новый участник Сообщения: 27
|
Профиль | Отправить PM | Цитировать так после долгих тестов и сканов решил я опять попробывать Exploler и полазить по папкам... окошко не вылазиет больше.
сразу попробЫвал и IE, также работает пока хорошо. делаю проверку CureIT, Dr.Web |
------- Отправлено: 17:19, 27-08-2008 | #7 |
Ветеран Сообщения: 3487
|
Профиль | Сайт | Отправить PM | Цитировать Userinit.exe не трогай.
Safe Mode поправил тем reg-файлом, что в той теме? Цитата _ib_:
|
|
------- Отправлено: 22:35, 27-08-2008 | #8 |
Новый участник Сообщения: 27
|
Профиль | Отправить PM | Цитировать после изменения регистра приложенным пакетом SafeMode Repair.zip от Severny Safe mode все также не запускается. Т.е. SafeMode Repair не помог.
Видно, что инициализируется клавиатура и мыш (моргают раз детекторы NUMLOCK, CAPSLOck ...), после этого буд-то HDD вырубается и не работает процессор, никаких звуков, только досовский курсор моргает на чистом экране. CTRG+ALT+DEL уже не работают, что (как мне кажется) свидетельствует о среде windows уже. зы: Может создать отдельный топик по Safe mode? |
------- Отправлено: 01:23, 28-08-2008 | #9 |
Ветеран Сообщения: 3487
|
Профиль | Сайт | Отправить PM | Цитировать |
------- Отправлено: 08:10, 28-08-2008 | #10 |
|
Участник сейчас на форуме | Участник вне форума | Автор темы | Сообщение прикреплено |
| |||||
Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
Драйвер - PCI\VEN_1095&DEV_3132&SUBSYS_71321095&REV_01\4&662654C&0&00E0 | kalion-kill | Поиск драйверов, прошивок и руководств | 1 | 08-11-2009 16:45 | |
не могу поймать активное окно | SerZzz | AutoIt | 3 | 30-05-2009 13:02 | |
[решено] DFS & free space | kwinto | Microsoft Windows NT/2000/2003 | 4 | 26-07-2006 14:51 | |
Internet Explorer & CSS | Agent Comanche | Вебмастеру | 8 | 02-11-2003 23:19 |
|