При подключении Интернета пытается отправить почту.
Есть подозрение на файл C:\WINDOWS\system32\Drivers\Tbh28.sys.
Вот Логи.
Проверьте, пожалуйста!
При подключении Интернета пытается отправить почту.
Есть подозрение на файл C:\WINDOWS\system32\Drivers\Tbh28.sys.
Вот Логи.
Проверьте, пожалуйста!
Последний раз редактировалось StepIn; 23.05.2008 в 19:02.
Отключите восстановление системы!
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); StopService('Tbh28'); SetServiceStart('Tbh28', 4); QuarantineFile('C:\Documents and Settings\lbs.MULTIMED\Local Settings\Temporary Internet Files\Content.IE5\GXMBW167\xloader[1].exe',''); QuarantineFile('C:\WINDOWS\system32\D1733.tmp',''); QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Ryf74.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\msY28.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\krX28.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Tbh28.sys',''); QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll',''); DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll'); DeleteFile('C:\WINDOWS\system32\Drivers\Tbh28.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\krX28.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\msY28.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Ryf74.sys'); DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys'); DeleteFile('C:\WINDOWS\system32\D1733.tmp'); DeleteFile('C:\Documents and Settings\lbs.MULTIMED\Local Settings\Temporary Internet Files\Content.IE5\GXMBW167\xloader[1].exe'); BC_ImportDeletedList; BC_DeleteSvc('msY28'); BC_DeleteSvc('krX28'); BC_DeleteSvc('Tbh28'); BC_DeleteSvc('tcpsr'); BC_DeleteSvc('Ryf74'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=23284).
Очистите временные файлы IE через "Свойства обозревателя".
Сделайте новые логи, начиная с п.10 правил.
I am not young enough to know everything...
Карантин выслал. Вот новые логи.
Последний раз редактировалось StepIn; 23.05.2008 в 19:02.
1. Отключите восстановление системы!
2. Скачайте Ice Sword: http://mail.ustc.edu.cn/~jfpan/downl...Sword122en.zip, распакуйте, запустите, нажмите слева внизу File, найдите следующие файлы:
C:\WINDOWS\SYSTEM32\WinNt32.dll
C:\WINDOWS\system32\Drivers\Tbh28.sys
нажмите на каждый правой кнопкой мыши и выберите Force Delete.
3. Пофиксите в HijackThis:
4. Выполните скрипт в AVZ:Код:O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing) O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\SYSTEM32\WinNt32.dll
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\WinNt32.dll'); DeleteFile('C:\WINDOWS\system32\Drivers\Tbh28.sys'); BC_ImportDeletedList; BC_DeleteSvc('Pdr37'); BC_DeleteSvc('Tbh28'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Сделайте новые логи.
I am not young enough to know everything...
Восстановление системы отключил.
Вот новые логи.
Последний раз редактировалось StepIn; 23.05.2008 в 19:00.
нмчего плохого в логах ...
Спасибо большое!
Все работает!
Еще раз добрый день.
После лечения все работало хорошо. Но вчера вечером зашел с IE на сайт, и снова началась попытка рассылки писем. Сайт вроде нормальный, но точно не помню какой, так как было открыто несколько. В IE стоит блокировка всплывающих окон.
Стал лечить, удалил WinNt32.dll, Pdr37, Djp30.sys.
Посмотрите, пожалуйста, логи.
Последний раз редактировалось StepIn; 18.06.2008 в 23:15.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\Documents and Settings\lbs.MULTIMED\Local Settings\Temporary Internet Files\Content.IE5\E8JSMNXN\load[1].exe'); DeleteFile('C:\Documents and Settings\lbs.MULTIMED\Local Settings\Temporary Internet Files\Content.IE5\GXMBW167\load[1].exe'); DeleteFile('C:\WINDOWS\Temp\BN2.tmp'); BC_ImportDeletedList; BC_ DeleteSvc('Djp30'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Очистите временные файлы IE через Свойства обозревателя.
Очистите папку C:\WINDOWS\Temp.
Сделайте новые логи.
I am not young enough to know everything...
Скрипт выполнил.
Очистил временные файлы IE и папку C:\WINDOWS\Temp.
Вот новые логи.
Последний раз редактировалось StepIn; 18.06.2008 в 23:15.
Выполните такой скрипт:
Больше ничего плохого нет.Код:begin BC_DeleteSvc('Djp30'); BC_Activate; RebootWindows(true); end.
I am not young enough to know everything...
Лог
Последний раз редактировалось StepIn; 18.06.2008 в 23:15.
Пуск - Выполнить - напишите sc delete Djp30 - нажмите ОК.
Перезагрузите компьютер.
Сделайте новый лог по пунтку 8 правил.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Похоже, что больше нет ничего подозрительного.
Вот новые логи.
Подскажите, каким образом я набрался всего этого?
Последний раз редактировалось StepIn; 18.06.2008 в 23:15.
Больше ничего подозрительного в логах нет. Какие-то проблемы остались ?
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Все хорошо работает. Большое спасибо!
Нам интересно Ваше мнение о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Уважаемый(ая) StepIn, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.