Подскажите пожалуйста как правильно лечить!
Обнаружено 2 вируса Trojan.Click.24823.
В файлах
1.C:\Windows\SysWOW64\dpxx.dll инфицирован Trojan.Click2.24823 - отказ от лечения
C:\Windows\SysWOW64\msxmll4.dll инфицирован Trojan.Click2.24823 - отказ от лечения
В обоих случаях от лечения отказался т.к. файлы системные!
Побоялся трогать !
Подскажите пожалуйста как правильно лечить этот вирус!
Файл отчёта Cureit: http://yadi.sk/d/IXF0c7Tb0qqL8
(1 сорвалось 2 нормальное )
1 Голосов
Trojan.Click.24823 как правильно лечить?
Автор
Romanch
, ноя 21 2012 19:28
Trojan.Click.24823 ktxtybt
53 ответов в этой теме
#2
Dr.Robot
-
- Helpers
- 3 359 Сообщений:
Poster
Отправлено 21 Ноябрь 2012 - 19:28
1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,
Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и RkU. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.
2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,
- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;
3. Если у Вас зашифрованы файлы,
Что не нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://vms.drweb.com/sendvirus/ несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
- собрать и выложить в своей теме логи утилит, указанных в Правилах этого раздела форума;
Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и RkU. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.
2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,
- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;
3. Если у Вас зашифрованы файлы,
Что не нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://vms.drweb.com/sendvirus/ несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
- собрать и выложить в своей теме логи утилит, указанных в Правилах этого раздела форума;
#3
Romanch
-
- Posters
- 33 Сообщений:
Newbie
#4
Romanch
-
- Posters
- 33 Сообщений:
Newbie
#5
lazarevee
-
- Posters
- 4 803 Сообщений:
Guru
Отправлено 21 Ноябрь 2012 - 19:45
Кто сказал, что файлы системные ? Что в свойствах ? http://process-dll.com/ Лечите !C:\Windows\SysWOW64\dpxx.dll инфицирован Trojan.Click2.24823 - отказ от лечения
C:\Windows\SysWOW64\msxmll4.dll инфицирован Trojan.Click2.24823 - отказ от лечения
В обоих случаях от лечения отказался т.к. файлы системные!
Побоялся трогать !
Сиюминутное Ригпа бессущностно и ясно.
#6
RomaNNN
-
- Posters
- 6 001 Сообщений:
Ковальски
Отправлено 21 Ноябрь 2012 - 19:52
Конечно лечите.
Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.
#7
lazarevee
-
- Posters
- 4 803 Сообщений:
Guru
Отправлено 21 Ноябрь 2012 - 19:53
Это пофиксить в HijackThis (Scan -> Fix Checked)
O1 - Hosts file is located at: C:\Windows\System32\drivers\etc\hosts\hosts
O20 - AppInit_DLLs:
O1 - Hosts file is located at: C:\Windows\System32\drivers\etc\hosts\hosts
O20 - AppInit_DLLs:
Сиюминутное Ригпа бессущностно и ясно.
#8
Borka
-
- Members
- 19 512 Сообщений:
Забанен за флуд
Отправлено 21 Ноябрь 2012 - 19:58
Кажется, Гугль не знает, что это системные файлы. 
Пофиксите в Хайджеке
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxxi.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxxi.biz
O2 - BHO: (no name) - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - (no file)
O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
А вот этот адрес DNS какой-то левый: 156.154.70.22 - United States, Virginia
Пофиксите в Хайджеке
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxxi.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxxi.biz
O2 - BHO: (no name) - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - (no file)
O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
А вот этот адрес DNS какой-то левый: 156.154.70.22 - United States, Virginia
С уважением,
Борис А. Чертенко aka Borka.
Борис А. Чертенко aka Borka.
#9
Romanch
-
- Posters
- 33 Сообщений:
Newbie
Отправлено 21 Ноябрь 2012 - 20:14
Это пофиксить в HijackThis (Scan -> Fix Checked)
O1 - Hosts file is located at: C:\Windows\System32\drivers\etc\hosts\hosts
O20 - AppInit_DLLs:
Кажется, Гугль не знает, что это системные файлы.
Пофиксите в Хайджеке
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxxi.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxxi.biz
O2 - BHO: (no name) - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - (no file)
O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
А вот этот адрес DNS какой-то левый: 156.154.70.22 - United States, Virginia
Профиксил что дальше?
#10
Romanch
-
- Posters
- 33 Сообщений:
Newbie
#11
lazarevee
-
- Posters
- 4 803 Сообщений:
Guru
Отправлено 21 Ноябрь 2012 - 20:18
c:\users\галина\appdata - проверьте эту папку всю, через выборочное сканирование. (файл- проверить путь)
C:\Windows\System32\drivers\etc\hosts\hosts - этот файл (без расширения) на virustotal.com и дайте ссылку из адресной строки после проверки.
C:\Windows\System32\drivers\etc\hosts\hosts - этот файл (без расширения) на virustotal.com и дайте ссылку из адресной строки после проверки.
Сообщение было изменено lazarev.ee: 21 Ноябрь 2012 - 20:21
Сиюминутное Ригпа бессущностно и ясно.
#13
lazarevee
-
- Posters
- 4 803 Сообщений:
Guru
Отправлено 21 Ноябрь 2012 - 20:32
Trojan.Click - перенаправляют запросы жертвы на определенные адреса в интернет путем управления поведением браузера, изменением системных файлов, содержащих ссылки, либо просто обращаются по определённым адресам с определённым интервалом.
Сиюминутное Ригпа бессущностно и ясно.
#14
Romanch
-
- Posters
- 33 Сообщений:
Newbie
Отправлено 21 Ноябрь 2012 - 20:46
О
Спасибо действия не знал в инете не нашёл!
Заодно вирусы из C:\Windows\SysWOW64 удалил пере загрузился посмотрел больше этих файлов нет!
c:\users\галина\appdata-проверяю итоги напишу!
Спасибо действия не знал в инете не нашёл!
Заодно вирусы из C:\Windows\SysWOW64 удалил пере загрузился посмотрел больше этих файлов нет!
c:\users\галина\appdata-проверяю итоги напишу!
#15
Romanch
-
- Posters
- 33 Сообщений:
Newbie
Отправлено 21 Ноябрь 2012 - 20:57
УУУУУУУУУУУУУ уже 4 нашёл!
До сканирует отчёт прикреплю!
До сканирует отчёт прикреплю!
#16
Romanch
-
- Posters
- 33 Сообщений:
Newbie
#17
lazarevee
-
- Posters
- 4 803 Сообщений:
Guru
Отправлено 21 Ноябрь 2012 - 21:00
Да удаляйте. Потом выполните это http://download.geo.drweb.com/pub/drweb/tools/plstfix.exe - перезагрузка. Обои слетят.
Сообщение было изменено lazarev.ee: 21 Ноябрь 2012 - 21:05
Сиюминутное Ригпа бессущностно и ясно.
#18
Romanch
-
- Posters
- 33 Сообщений:
Newbie
#19
Romanch
-
- Posters
- 33 Сообщений:
Newbie
Отправлено 21 Ноябрь 2012 - 21:07
Хорошо щас удалю!
Нет дом базовая 7
Щас новый скрин залью ещё нашёл!
Нет дом базовая 7
Щас новый скрин залью ещё нашёл!
#20
lazarevee
-
- Posters
- 4 803 Сообщений:
Guru
Отправлено 21 Ноябрь 2012 - 21:08
Да видно хорошо. Больше ничего ? Уже закончили сканировать ?
Сиюминутное Ригпа бессущностно и ясно.
