Помогите разобраться.

**klon** · 29.05.2007, 11:39

Добрый день.
Вчера поймала Трояна,удалила.Проверила систему со своим антивирусом AVG Free ничего не нашёл.Проверила с Dr.Web тоже молчит.Запустила AVZ половина пестрит красным.
Пожалуйста помогите разобраться.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**PavelA** · 29.05.2007, 11:54

в AVZ выполнить скрипт

Код:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('wininet.dll' ,'');
 QuarantineFile('\??\C:\DOKUME~1\julija\LOKALE~1\Temp\mc2DA.tmp','');
RebootWindows(true);
end.

После перезагрузки прислать карантин через форму (ссылка вверху темы)
Это просто небольшое подозрение, а так вроде бы ничего не видно.

В дополнение профиксить в HijackThis

Код:

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)

**klon** · 29.05.2007, 12:54

Выполнить скрипт не получается.Комп виснет и перестартовывается.
А PartyPoker.com хочу удалить,чтобы даже следов не осталось.

**PavelA** · 29.05.2007, 13:00

Это прекрасно, что он перестартовывает, так и задумывалось.
Посмотрите в папке карантина AVZ файлы с расширением dta есть.
Если есть, то надо загрузить zip-файл оттуда. Ссылка для загрузки http://virusinfo.info/upload_virus.php?tid=10065

От PartyPoker след похоже только этот остался.

**klon** · 29.05.2007, 13:08

Там два dta файла.Оба загрузить?

**PavelA** · 29.05.2007, 13:26

в AVZ выполнить скрипт

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'virus.zip');
end.

virus.zip загрузить по ссылке.

Альтернативный способ:
Можно в АВЗ зайти в просмотр карантина, отметить файла и нажать "Архивировать" (к сожалению, англ.версии у меня нет)

**klon** · 29.05.2007, 13:41

У меня комп не руссифицирован.(Вместо русских букв вставляются палочки.)Напишите пожалуйста тоже самое на английском или немецком.

**klon** · 29.05.2007, 14:10

Со скриптом разобралась,файл загрузила.

**PavelA** · 29.05.2007, 14:36

wininet.dll - чистая.
Второй файл из скрипта не попал.

\??\C:\DOKUME~1\julija\LOKALE~1\Temp\mc2DA.tmp - поищите в AVZ, если найдется, то его в карантин и загрузить.

**klon** · 29.05.2007, 15:49

Как искать в AVZ? Заново просканировать и просмотреть результат? Если да,то там этого нет.Но есть вот что
D:\PROGRA~1\0190WA~1\WHELPER.DLL-->Suspicion for a Keylogger or Trojan DLL
D:\PROGRA~1\0190WA~1\WHELPER.DLL>>>Behavioral analysis:

**PavelA** · 29.05.2007, 16:00

Напишу на русском: вверху второе меню "Service", затем шестой пункт "Find file".
Туда копируете строчку из сообщения и вперед.

**klon** · 29.05.2007, 16:07

Вот результат:
Searching files by mask \??\C:\DOKUME~1\julija\LOKALE~1\Temp\mc2DA.tmp
File Search - complete
Viewed 0, found 0

**PavelA** · 29.05.2007, 16:21

Будем считать, что файл правильный. Скорее, всего драйвер от какой-то программы.
P.S.Беру тайм-аут на совет с хелперами. Так что не исчезайте.

**Rene-gad** · 29.05.2007, 16:22

@klon

Но есть вот чтоD:\PROGRA~1\0190WA~1\WHELPER.DLL-->Suspicion for a Keylogger or Trojan DLL
D:\PROGRA~1\0190WA~1\WHELPER.DLL>>>Behavioral analysis:

1. Эти файлы можете оставить без внимания - они принадлежат к 0190Warner
2. http://freenet-homepage.de/rene-gad/...tung/AVZ4.html - руководство на немецком

3. Очистите ПК от мусора: http://virusinfo.info/showthread.php...ewpost&t=10025

**PavelA** · 29.05.2007, 17:26

Свежий совет:
\??\C:\DOKUME~1\julija\LOKALE~1\Temp\mc2DA.tmp -
Service - Kernel Space Modules Manager, выделить его, нажать третью (Copy to Quarantine) кнопку.