Обширный троянчик

**Revan1** · 28.03.2008, 01:50

В общем трабл такой - врубаем комп, после загрузки системы запускаются два процесса Opera.exe (далее поясню), которые жрут 99% всех процессов, оставшийся один процент остаётся на передвижение мышки

после вкючения интернета данные две оперы усиленно начинают качать несколько вирусняковых файлов (Аваст блокирует). Но я к этому привык и стал просто автоматом вырубать эти два процесса. Это ещё не всё, если же в мой весёлый комп врубить какую-либо флешку, то на неё автоматом неизвестно откуда записываются два файлика авторан, соответственно inf и exe, ну и естесственно при попытке открыть флешку с того-же хоста начинается закачка опять-таки вирусняка. Так я и жил непрерывной войной с этим вирусняком с месяц (мониторить на моём компе нечего, разве что тырить у меня курсовики), пока не заразил таким макором комп своего приятеля (флешку ему свою дал) и у него при запуске системы стали появляться два процесса iexplore.exe (потому как у меня по умолчанию броузер - опера, а у него - ИЕ) тут я решил всётаки побороть зловредного и натравил на него SDfix? как ни странно, но SDfix его комп вылечил. Тогда я решил и своего родимого выжить со своего компа, запустил SDfix, но не тут то было, при проверки процессов оный выдаёт траблу - "Насяльника, не ругайся, виртуальний дрявер становить не могу, Равшан виноват" и начит пишет Cannot find ///Fast Hardlock Driver далее не может установить файл HLVDD.dll. Ну нахрена ему виртуальный драйвер защиты???

Ладно, поставил извне - один хрен, всёравно не пашет.
Так что, дорогие камрады, треба ваша допомога.
Логи Хайджека и АВЗ (в двух вариантах) прилагаю.
Да, на момент составления логов два злосчастных процесса opera.exe были вырублены.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**pig** · 28.03.2008, 02:43

Как-то вы правила своеобразно прочитали...

**Revan1** · 28.03.2008, 10:26

Сознаюсь, рулезы не читал

исправлюсь....
А по теме что?

**PavelA** · 28.03.2008, 11:18

По теме: логи нужны в нормальном формате. Да, и важность своей темы не надо поднимать. У нас все равны в этом разделе.

**Revan1** · 28.03.2008, 20:47

Сообщение от PavelA

По теме: логи нужны в нормальном формате. Да, и важность своей темы не надо поднимать. У нас все равны в этом разделе.

Прошу прощения, в каком формате? - в аштемеэле ваш форум файлы не воспринимает, пришлось дописать расширение .тхт((( А важность не поднимал... вроде бы... даже не знаю как это сделать...

**Гриша** · 28.03.2008, 20:51

Почитайте внимательно http://virusinfo.info/showthread.php?t=1235 сразу все поймете

**Revan1** · 29.03.2008, 12:43

Ошибку понял, я ж говорил, исправлюсь))
Логи во вложении.

**akok** · 29.03.2008, 15:22

C:\Documents and Settings\Администратор\Рабочий стол\ОЦП\Radmin\Famatech.Radmin.Server.3.0.Trial.S top.and.Tray.Icon.Remove.Patch.v1.0.zip -
Backdoor.Win32.RAdmin.ab удалите сами.

Добавлено через 2 минуты

Отключите востановление системы.
.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
 ClearQuarantine;
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS\system32\bdmreg.exe','');
 QuarantineFile('C:\WINDOWS\system32\spools.exe','');
 QuarantineFile('C:\WINDOWS\system32\mmsvc32.exe','');
 QuarantineFile('C:\Program Files\Common Files\Totem Shared\Uninstall0001\upd.exe','');
 QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\catchme.sys','');
 QuarantineFile('C:\Program Files\Opera\vxmservices.dll','');
 QuarantineFile('e:\stp\stp.exe','');
 DeleteFile('C:\WINDOWS\system32\mmsvc32.exe');
 DeleteFile('C:\WINDOWS\system32\spools.exe');
 DeleteFile('C:\WINDOWS\system32\bdmreg.exe');
 DeleteFile('C:\System Volume Information\_restore{E0DA04F5-4534-430E-ACF0-689272306C87}\RP145\A0061068.dll');
 DeleteFile('C:\System Volume Information\_restore{E0DA04F5-4534-430E-ACF0-689272306C87}\RP168\A0069865.dll');
 DeleteFile('C:\System Volume Information\_restore{E0DA04F5-4534-430E-ACF0-689272306C87}\RP174\A0072664.dll');
 DeleteFile('C:\System Volume Information\_restore{E0DA04F5-4534-430E-ACF0-689272306C87}\RP182\A0075515.dll');
 DeleteFile('C:\System Volume Information\_restore{E0DA04F5-4534-430E-ACF0-689272306C87}\RP182\A0075516.exe');
 BC_ImportALL;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=20566

Добавлено через 1 минуту

Повторите логи

**Revan1** · 30.03.2008, 00:57

Без обид. Немного откомментирую с вашего позволения.
Радмин у далять не буду, и так с огромным трудом нашёл с работающими ключами, да и пользуюсь им уже года полтора. Ну а stp... разве никто не знает этот безобидный проигрыватель, которому сто лет в обед?... стоит в загрузке, никому не мешает... А вот upd.exe в системе удалял неоднократно, инет врубаю - заново появляется.
Но всёравно, огромное спасибо за проявленную помощь и понимание, сейчас выполню.

Офф. Порадовало название файлика в темпах - возьмименя.сис(catchme.sys)

**pig** · 30.03.2008, 01:13

Оффтоп: а чего Радмин искать-то? Он, оказывается, совсем недорого стоит. Я вот уже четвёртый купил.

Проигрыватель, судя по всему, действительно никто здесь не знает, иначе он бы уже был в базе безопасных. Не попадался.

**Revan1** · 30.03.2008, 23:35

И так, последний отчёт - комп работает нормально, усё в порядку))) Всем огромное спасибо!
Последние логи прилагаю.
Вот только с карантином фигня - залить не могу, упорно твердит, что я не указал ссылку на тему... питон! Ведь вставляю же "хттп://virusinfo.info/showthread.php?p=208315" ну естесственно хттп - ин инглиш

**V_Bond** · 31.03.2008, 00:09

magent.dll - AdWare....
выполните скрипт ...

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Program Files\Common Files\Target Marketing Agency\TMAgent\tmagent.dll','');
 DeleteFile('C:\Program Files\Common Files\Target Marketing Agency\TMAgent\tmagent.dll');
DelBHO('{35A6E2B1-27A9-47D2-913C-559E1EF1D034}');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ...
повторите virusinfo_syscheck.zip ...

**pig** · 31.03.2008, 01:03

Сообщение от Revan1

Вот только с карантином фигня - залить не могу, упорно твердит, что я не указал ссылку на тему... питон! Ведь вставляю же "хттп://virusinfo.info/showthread.php?p=208315" ну естесственно хттп - ин инглиш

Красную ссылку над темой нажмите - всё само вставится.

**Revan1** · 01.04.2008, 12:47

Ок.

Карантин отправил, только в нём особо так ничего нет, скрипты хьюлета-сканера и некрякнутая сохранёнка Ricochet

**V_Bond** · 01.04.2008, 13:46

больше не видно ничего подозрительного ....

**Revan1** · 01.04.2008, 13:59

Огромное спасибо за помощь!

**Гриша** · 01.04.2008, 14:00

Нам интересно Ваше мнение о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.

Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

**CyberHelper** · 22.02.2009, 04:35

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 27
В ходе лечения обнаружены вредоносные программы:
1. c:\\windows\\system32\\mmsvc32.exe - Trojan.Win32.Delf.bak (DrWEB: Trojan.PWS.Banker.10545)
2. c:\\windows\\system32\\spools.exe - Net-Worm.Win32.Nanspy.ab (DrWEB: Trojan.MulDrop.11816)

Обширный троянчик (заявка № 20566)

Опции темы

Обширный троянчик

Итог лечения

Похожие темы

Trojan.Win32.Ddox.ci и троян "троян маячок"

Троян(ы)

Троян

Подхватил модифицированный Win32/PSW.WOW.NHZ троян, Win32/Genetik троян

целый звериниец: Win32/PSW.OnLineGames.NLI троян, Win32/PSW.OnLineGames.NLK троян

Ваши права в разделе