Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] В IE влезла заставка (http://forum.oszone.net/showthread.php?t=128239)

vit777 10-01-2009 11:45 1002427
В IE влезла заставка
 
Что-то залезло в IE 6.0 и теперь при открытии любой страницы вылезает заставка с уродами и требуют отправить смс чтобы ее убрать. В опере 9.63 такого нет. Проверка вебом ничего не дало. нашел подозрительный файл rgwie.dll удалил и отключил его в надстройках, но опять тоже самое. Сталкивался кто-нибудь с такой ерундой.
И 2 попутных вопроса: 1. Как удалить (не отключить) программу из надстроек IE, 2. Почему, когда оперу отключаешь она остается в процессах, так муторно то и дело ее выключать, а иначе повторно она не включается.
Заранее спасибо.

Pili 10-01-2009 12:48 1002496
vit777, Здравствуйте. Сделайте пожалуйста логи по правилам

vit777 10-01-2009 15:20 1002687
Вложений: 1
Сделал логи

Котяра 10-01-2009 18:52 1002950
vit777,
Код:
O2 - BHO: agblibP - {065C52C3-9AA2-4577-AFB0-33F17EA5686E} - C:\Documents and Settings\All Users\Application Data\agblib.dll
Это и есть заставка. Пофиксите.

vit777 10-01-2009 19:03 1002967
Спасибо, убралась зараза.

Pili 10-01-2009 19:33 1003022
vit777, к сожалению это не все, у вас ещё остались зловреды.
C:\WINDOWS\system32\plugincpl131_08.cpl - проверьте на virustotal.com, результат сообщите.
Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, временно выключите антивирус, firewall и другое защитное программное обеспечение, отключите интернет (или включите временно брандмауэр windows), нажмите кнопку «Запустить».
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\System32\RGWIE.dll','');
 QuarantineFile('C:\WINDOWS\services.exe','');
 QuarantineFile('C:\WINDOWS\System32\msansspc.dll','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Xewq51.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Xej38.sys','');
 QuarantineFile('C:\301aaa68f2febce1.dat','');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\agblib.dll','');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\agblib.dll');
 DeleteFile('C:\301aaa68f2febce1.dat');
 DeleteFile('C:\WINDOWS\System32\Drivers\Xej38.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Xewq51.sys');
 DeleteFile('C:\WINDOWS\System32\msansspc.dll');
 DeleteFile('C:\WINDOWS\services.exe');
 DeleteFile('C:\WINDOWS\System32\RGWIE.dll');
 DelBHO('{D4D5806E-EA2C-45b2-972D-8BE237697B87}');
 DelBHO('{065C52C3-9AA2-4577-AFB0-33F17EA5686E}');
 DeleteService('Xewq51');
 DeleteService('Xej38');
 DeleteService('301aaa68f2febce1');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteSvc('Xewq51');
 BC_DeleteSvc('Xej38');
 BC_DeleteSvc('301aaa68f2febce1');
BC_Activate;
RebootWindows(true);
end.
Рекомендую удалить Bonjour Service см. здесь или здесь
Отключите восстановление системы или создайте новую контрольную точку восстановления и очистите предыдущие:
- Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
- Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать

Повторите логи virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ) и hijackthis


Время: 16:05.

Время: 16:05.
© OSzone.net 2001-