Форум 3DNews
Вернуться   Форум 3DNews > Интернет > Информационная безопасность, защита от вирусов

Ответ Создать новую тему
Опции темы Опции просмотра
Непрочитано 16.02.2006, 00:14   [включить плавающее окно]   #1
=BadDoc=
Мужской Опытный
Автор темы
 
Аватар для =BadDoc=
 
Регистрация: 19.09.2003
Адрес: New Васюки
Question Странная dll, постоянно требующая обновления из Internet, без возможности удаления

На компе появилась странная dll, постоянно требующая обновления из Internet, без возможности удаления. Винда XP SP1. IDSL соединение. Началось все с банальной чистки троянов, но напоролся на этого зверя. 4 Антивируса не дали результатов, 5-8 Троян-Ремоверов, если и ругались, то на этом все и заканчивалось. Удалить ее не могут, так как она используется, а при перезагрузки ОНА меняет имя. В реестре я ее нашел, но удаление значений тоже не дает результата. Бедный Outpost Firewall Pro ver. 3.0.557.5918
только пугается сам и говорит что это dll есть Программа входа в систему NT.
ПРИМЕРЫ названий: gppsl3771.dll ( в реестре помечена как HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\MS-DOS Emulation)
Перезагружаемся, получаем что либо новое, типа: en0ml1d11.dll (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Applets).
P.S.: Удалять пробовал и в безопасном режиме под правами админа. Есть еще подозрения что ОНА ответсвенная за постоянную генирацию обращений к "левым" сайтам HELP!!!

В Прикрепленном скрине видно что изменения имени наступают при перезагрузке!

=BadDoc= добавил :

Заранее спасибо!
Миниатюры
Нажмите на изображение для увеличения
Название: dll2l.jpg
Просмотров: 346
Размер:	289.0 Кб
ID:	14011  
__________________
С ним нельзя было ссориться - он не умел мириться.
=BadDoc= вне форума  
Ответить с цитированием
Непрочитано 16.02.2006, 06:05   [включить плавающее окно]   #2
Lamo
Женский Заслуженный
 
Аватар для Lamo
 
Регистрация: 26.02.2003
Адрес: _________________ Valley of Damned Soul
=BadDoc=
Тема из разряда "достали Korgo и ...."- там разжевано подробно,
покатай поиск
__________________
Вот что я вам скажу. Позвольте мне немножко подсластить вам сделку
(Вельзевул)
Lamo вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 16.02.2006, 16:17   [включить плавающее окно]   #3
=BadDoc=
Мужской Опытный
Автор темы
 
Аватар для =BadDoc=
 
Регистрация: 19.09.2003
Адрес: New Васюки
Lamo Сенкс, нашел ссылочку. Большой респект и уважуха!
__________________
С ним нельзя было ссориться - он не умел мириться.

Последний раз редактировалось =BadDoc=; 16.02.2006 в 17:09.
=BadDoc= вне форума  
Ответить с цитированием
Непрочитано 17.02.2006, 16:57   [включить плавающее окно]   #4
=BadDoc=
Мужской Опытный
Автор темы
 
Аватар для =BadDoc=
 
Регистрация: 19.09.2003
Адрес: New Васюки
Эта мразь называеться CoolWebSearch или AdWare.ToolBar. CoolWebSearch . Предложеным вами методом она не удаляеться. Из памяти не выгружаеться. У меня только одна идея. Подключить зараженный диск к другму компу и сканить! 8-(
__________________
С ним нельзя было ссориться - он не умел мириться.

Последний раз редактировалось =BadDoc=; 17.02.2006 в 17:12.
=BadDoc= вне форума  
Ответить с цитированием
Непрочитано 17.02.2006, 17:27   [включить плавающее окно]   #5
Lamo
Женский Заслуженный
 
Аватар для Lamo
 
Регистрация: 26.02.2003
Адрес: _________________ Valley of Damned Soul
=BadDoc=
почитай все линки, особенно про старт в "чемодан режиме" от Bazel
работает и все удаляется - поверь
__________________
Вот что я вам скажу. Позвольте мне немножко подсластить вам сделку
(Вельзевул)
Lamo вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 17.02.2006, 17:50   [включить плавающее окно]   #6
=BadDoc=
Мужской Опытный
Автор темы
 
Аватар для =BadDoc=
 
Регистрация: 19.09.2003
Адрес: New Васюки
Про вместо ок-ея нажать сонтрол-шифт-ескейп (Нажмешь [ok] - можешь начинать сначала) пригрохать explorer.exe
я пропустил!!! Проверю!
__________________
С ним нельзя было ссориться - он не умел мириться.
=BadDoc= вне форума  
Ответить с цитированием
Непрочитано 17.02.2006, 18:00   [включить плавающее окно]   #7
Lamo
Женский Заслуженный
 
Аватар для Lamo
 
Регистрация: 26.02.2003
Адрес: _________________ Valley of Damned Soul
=BadDoc=
точно
а там уже "новая задача(выполнить)" и стартуем наши трояногоняльщики
__________________
Вот что я вам скажу. Позвольте мне немножко подсластить вам сделку
(Вельзевул)
Lamo вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 17.02.2006, 20:39   [включить плавающее окно]   #8
=BadDoc=
Мужской Опытный
Автор темы
 
Аватар для =BadDoc=
 
Регистрация: 19.09.2003
Адрес: New Васюки
Все было выполненно согласно вышеописанным инструкциям! Тварь пала..., но Ad-Aware SE Professional и Sysclean с последними обнавлениями ничего не обнаружили. Помогла чистка руками, как в реестре так и dll_лок, а так же маленькая-бесплатная програма Spybot - Search & Destroy.
http://www.spybot.info/
__________________
С ним нельзя было ссориться - он не умел мириться.
=BadDoc= вне форума  
Ответить с цитированием
Непрочитано 17.02.2006, 20:44   [включить плавающее окно]   #9
Lamo
Женский Заслуженный
 
Аватар для Lamo
 
Регистрация: 26.02.2003
Адрес: _________________ Valley of Damned Soul
=BadDoc=
ДЛЛ`и живые оставил хоть одну?
посмотреть на них хочу
__________________
Вот что я вам скажу. Позвольте мне немножко подсластить вам сделку
(Вельзевул)
Lamo вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 17.02.2006, 21:32   [включить плавающее окно]   #10
=BadDoc=
Мужской Опытный
Автор темы
 
Аватар для =BadDoc=
 
Регистрация: 19.09.2003
Адрес: New Васюки
Для Вас все что угодно!!! Правда без скрипта она не страшна, как я понимаю. (Но как класно она сайтами кидалась) Я где то вычитал, что в нее вмонтирован клавиатурный шпион...
Вложения
Тип файла: rar i4060edseh060.rar (218.6 Кб, 74 просмотров)
__________________
С ним нельзя было ссориться - он не умел мириться.
=BadDoc= вне форума  
Ответить с цитированием
Непрочитано 18.02.2006, 06:25   [включить плавающее окно]   #11
Lamo
Женский Заслуженный
 
Аватар для Lamo
 
Регистрация: 26.02.2003
Адрес: _________________ Valley of Damned Soul
=BadDoc=
Ндя... похоже ее отнесли к неопасным объектам-шуткам, ее почти никто не видит.
вот посмотри еще вот это
Ключи реестра используемые для перенаправления браузера
Как избавиться от автозапуска левых сайтов в Ie
может еще помнишь куда этот зверь прописывался...
__________________
Вот что я вам скажу. Позвольте мне немножко подсластить вам сделку
(Вельзевул)
Lamo вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 18.02.2006, 19:35   [включить плавающее окно]   #12
=BadDoc=
Мужской Опытный
Автор темы
 
Аватар для =BadDoc=
 
Регистрация: 19.09.2003
Адрес: New Васюки
Ее отнесли к Серьезным вирусам. Почитал на 3х сайтах (забугорных)
Я тебе тут нарыл очень интересный файл - он в rar _ e . И почитай на досуге txt.
Вложения
Тип файла: txt вирусы.txt (1.5 Кб, 263 просмотров)
__________________
С ним нельзя было ссориться - он не умел мириться.
=BadDoc= вне форума  
Ответить с цитированием
Непрочитано 18.02.2006, 19:36   [включить плавающее окно]   #13
=BadDoc=
Мужской Опытный
Автор темы
 
Аватар для =BadDoc=
 
Регистрация: 19.09.2003
Адрес: New Васюки
И к слову.... сейчас на этом месте "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify" только одно внесение, а до этого было "много".
Вложения
Тип файла: rar wbemess.rar (1.9 Кб, 76 просмотров)
__________________
С ним нельзя было ссориться - он не умел мириться.

Последний раз редактировалось =BadDoc=; 18.02.2006 в 19:39.
=BadDoc= вне форума  
Ответить с цитированием
Ответ Создать новую тему

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 20:12. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.4
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd. Перевод: zCarot
Copyright © 2000-2017 3DNews. All Rights Reserved.
Администрация 3DNews требует соблюдения на форуме правил и законов РФ
Серверы размещены в Hostkey