Junior Member
Вес репутации
60
попался на bolenjx.exe и bolenja.exe
попался на трояна. заражен.
вебер давл предупреждения, но удалить файлы не может, сразу перезагрузка,
AVZ запустился после переименования в .com
выскакивает окно Windows Security Alert с предложением загрузить Spyware Remover.
"Восстановление системы" отключить не могу.
как избавиться от заразы?
Вложения
Последний раз редактировалось Vovathuma; 23.01.2008 в 13:12 .
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows\system32\bolenjx.exe');
TerminateProcessByName('c:\windows\system32\bolenja.exe');
QuarantineFile('C:\WINDOWS\system32\PavSRK.sys','');
QuarantineFile('C:\WINDOWS\system32\PavTPK.sys','');
QuarantineFile('msnsspc.dll','');
QuarantineFile('iedkcs32.dll','');
QuarantineFile('cryptnet.dll','');
QuarantineFile('c:\windows\system32\users32.dat','');
QuarantineFile('c:\windows\system32\wuauclt.exe','');
QuarantineFile('C:\PROGRA~1\FLASHGET\flashget.exe','');
QuarantineFile('C:\PROGRA~1\Crawler\Toolbar\ctbr.dll','');
QuarantineFile('C:\WINDOWS\system32\kus109.dat','');
QuarantineFile('C:\Aston\aston.exe ,svchost.exe','');
QuarantineFile('C:\Aston\aston.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\sp_rsdrv2.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Beep.sys','');
QuarantineFile('C:\WINDOWS\system32\ufdsvc.exe','');
QuarantineFile('C:\WINDOWS\system32\bolenja.exe','');
QuarantineFile('C:\WINDOWS\system32\bolenjx.exe','');
DeleteFile('C:\WINDOWS\system32\bolenjx.exe');
DeleteFile('C:\WINDOWS\system32\bolenja.exe');
DeleteFile('c:\windows\system32\users32.dat');
DeleteFile('C:\WINDOWS\system32\kus109.dat');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_ImportALL;
ExecuteRepair(6);
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=
2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Код:
O20 - AppInit_DLLs: kus109.dat
Microsoft Most Valuable Professional in Consumer Security
Junior Member
Вес репутации
60
карантин выслал
пофиксил в HijackThis
какие мои дальнейшие действия?
боюсь уже комп трогать без помощи. более суток с ним ругаюсь, как могло так получиться?
проанализирую карантин и отпишусь..
Добавлено через 11 минут
c:\windows\system32\users32.dat - not-a-virus:AdWare.Win32.Agent.zo
C:\WINDOWS\system32\kus109.dat - Trojan.Win32.Agent.eeq
C:\WINDOWS\system32\Drivers\Beep.sys - Rootkit.Win32.Agent.vw
C:\WINDOWS\system32\bolenja.exe - Trojan-Downloader.Win32.Agent.hol
C:\WINDOWS\system32\bolenjx.exe - not-a-virus:AdWare.Win32.Agent.abs
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('c:\windows\system32\users32.dat');
BC_DeleteFile('C:\WINDOWS\system32\Drivers\Beep.sys');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Повторите логи
Последний раз редактировалось akoK; 23.01.2008 в 14:25 .
Причина: Добавлено
Microsoft Most Valuable Professional in Consumer Security
Junior Member
Вес репутации
60
повторяю логи
ура фаер загрузился
bolenjx.exe и bolenja.exe удалил, пока не появляются
Вложения
Файл Host вы сами патчили?
Microsoft Most Valuable Professional in Consumer Security
Junior Member
Вес репутации
60
как думаете уже можно безопасно работать в интернет?
мои пароли не уйдут врагу?
у вас есть флешки Transcend Jetflash?
Microsoft Most Valuable Professional in Consumer Security
Junior Member
Вес репутации
60
всё по вашим указаниям.
Добавлено через 1 минуту
да это моя флеш
Добавлено через 26 минут
какие мои дальнейшие действия?
Последний раз редактировалось Vovathuma; 23.01.2008 в 15:54 .
Причина: Добавлено
1. Выполните такой скрипт:
Код:
begin
RegKeyStrParamWrite( 'HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Shell', 'C:\Aston\aston.exe');
BC_DeleteSvc('PavTPK.sys');
BC_DeleteSvc('PavSRK.sys');
BC_DeleteSvc('Beep');
BC_Activate;
RebootWindows(true);
end.
2. Поищите файл iedkcs32.dll через AVZ - Сервис - Поиск файлов на диске.
Если найдется пришлите по правилам.
3. Посмотрите, что вам из этого нужно:
Код:
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)
>> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Лишнее отключим.
I am not young enough to know everything...
Junior Member
Вес репутации
60
Безопасность: Разрешена отправка приглашений удаленному помошнику
как её отключить? в системе снят флажок "отправка приглашений удаленному помошнику"?
файл iedkcs32.dll не найден
Последний раз редактировалось Vovathuma; 23.01.2008 в 16:52 .
Мы напишем скрипт и то, что Вам не нужно отключится.
Microsoft Most Valuable Professional in Consumer Security
Junior Member
Вес репутации
60
файл iedkcs32.dll не найден
Если не нашел значит его нет удачи...
Скрипт для отключения "отправки приглашений удаленному помошнику"
Код:
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
end.
Microsoft Most Valuable Professional in Consumer Security
Junior Member
Вес репутации
60
нашел iedkcs32.dll, через AVZ не могу добавить в карантин, запаковал с паролем - высылаю, гляньте пожалуйста.
Файл не содержит вредоносного кода...
Microsoft Most Valuable Professional in Consumer Security
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 43 В ходе лечения обнаружены вредоносные программы:
c:\\windows\\system32\\bolenja.exe - Trojan-Downloader.Win32.Agent.hol (DrWEB: Trojan.Fakealert.411) c:\\windows\\system32\\bolenjx.exe - not-a-virus:AdWare.Win32.Agent.abs (DrWEB: Trojan.MulDrop.10463) c:\\windows\\system32\\drivers\\beep.sys - Rootkit.Win32.Agent.vw (DrWEB: Trojan.Spambot.2885) c:\\windows\\system32\\kus109.dat - Trojan.Win32.Agent.eeq (DrWEB: Trojan.Proxy.1739) c:\\windows\\system32\\users32.dat - not-a-virus:AdWare.Win32.Agent.zo (DrWEB: Trojan.Click.5043)