Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 21.

Trojan-Downloader.Win32.Murlo.nn (заявка № 25431)

  1. #1
    Junior Member Репутация
    Регистрация
    27.06.2008
    Сообщений
    47
    Вес репутации
    31

    Question Trojan-Downloader.Win32.Murlo.nn

    обнаружено: троянская программа Trojan-Downloader.Win32.Murlo.nn URL: http://root.***.com/root.gif
    Последний раз редактировалось nbserg; 17.08.2009 в 15:22.

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,699
    Вес репутации
    1810
    А вот ссылку на трояна уберите (или деактивируйте)

    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\AppPatch\Jview.dll','');
     QuarantineFile('C:\WINDOWS\AppPatch\AcXtrnel.dll','');
     QuarantineFile('C:\WINDOWS\system32\wups.dll','');
     QuarantineFile('C:\WINDOWS\system32\wups2.dll','');
     QuarantineFile('C:\WINDOWS\system32\gpprefcl.dll','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\ape2ptgn.SYS','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
     QuarantineFile('C:\WINDOWS\TEMP\wmsetup.dll','');
     QuarantineFile('C:\WINDOWS\system32\actxprxy.dll','');
     QuarantineFile('C:\DOCUME~1\NBSerG\LOCALS~1\Temp\wmsetup.dll','');
     DeleteFile('C:\DOCUME~1\NBSerG\LOCALS~1\Temp\wmsetup.dll');
     DeleteFile('C:\WINDOWS\TEMP\wmsetup.dll');
     DeleteFile('C:\WINDOWS\AppPatch\Jview.dll');
     DeleteFile('C:\WINDOWS\AppPatch\AcXtrnel.dll');
     DeleteFile('C:\Documents and Settings\MANAGER\Local Settings\Temp\wmsetup.dll');
     DeleteFile('C:\Documents and Settings\NETWORKSERVICE\Local Settings\Temp\wmsetup.dll');
     DeleteFile('C:\Documents and Settings\LOCALSERVICE\Local Settings\Temp\wmsetup.dll');
     DeleteFile('C:\WINDOWS\Temp\wmsetup.dll');
     DeleteFile('C:\WINDOWS\AppPatch\AcSpecf.dll');
     DeleteFile('c:\windows\apppatch\acplugin.dll');
     BC_LogFile(GetAVZDirectory + 'boot_clr.log');
     BC_ImportDeletedList;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=25431

    Почистите временные файлы (например так: http://virusinfo.info/showthread.php?t=10025)

    Повторите логи.
    The worst foe lies within the self...

  4. #3
    Junior Member Репутация
    Регистрация
    27.06.2008
    Сообщений
    47
    Вес репутации
    31

    мде

    я офигиваю где они берутся после удаления
    все сделал вост системі віключено вот логи
    Последний раз редактировалось nbserg; 17.08.2009 в 15:22.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,699
    Вес репутации
    1810
    Отключитесь от сети.

    Прогоните предидущий скрипт.

    Прогоните еще раз CureIt (я надеюсь, выполняя правила Вы не поленились, скачали и сканировали систему ним.)

    Перезагрузитесь.

    Сделайте логи.
    The worst foe lies within the self...

  6. #5
    Junior Member Репутация
    Регистрация
    27.06.2008
    Сообщений
    47
    Вес репутации
    31
    вырубил сеть по 2 раза проверил авз куром и каспером вроде все убил вот логи
    Последний раз редактировалось nbserg; 17.08.2009 в 15:22.

  7. #6
    Junior Member Репутация
    Регистрация
    27.06.2008
    Сообщений
    47
    Вес репутации
    31
    только 3 мин полазил в нете опять обнаружено: троянская программа Trojan-Downloader.Win32.Murlo.nn URL: http://root.5**.com/root.gif

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,699
    Вес репутации
    1810
    Опять выключить сеть (так, чтобы после перезагузки она самостоятельно не включилась. Напр. в свойствах подключения поставить "Отключено") .

    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\gpprefcl.dll','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\nvmini.sys','');
     DeleteService('cdralw');
     StopService('cdralw');
     DeleteFile('C:\WINDOWS\system32\DRIVERS\nvmini.sys');
     DeleteFile('asfjthj.dll');
     DeleteFile('awef.dll');
     DeleteFile('bjrvm.dll');
     DeleteFile('bnxnb.dll');
     DeleteFile('cdxbfxdb.dll');
     DeleteFile('chmfcmh.dll');
     DeleteFile('crugd.dll');
     DeleteFile('dbfb.dll');
     DeleteFile('dfhsh.dll');
     DeleteFile('dger.dll');
     DeleteFile('dnteh.dll');
     DeleteFile('drghszd.dll');
     DeleteFile('dscef.dll');
     DeleteFile('ektvm.dll');
     DeleteFile('ethsh.dll');
     DeleteFile('fgthde.dll');
     DeleteFile('fhjfg.dll');
     DeleteFile('fjnbv.dll');
     DeleteFile('fjyjy.dll');
     DeleteFile('fngn.dll');
     DeleteFile('frntrn.dll');
     DeleteFile('fxgnfx.dll');
     DeleteFile('fxnfnh.dll');
     DeleteFile('gfcfg.dll');
     DeleteFile('ghjkdr.dll');
     DeleteFile('ghjyer.dll');
     DeleteFile('ghkrg.dll');
     DeleteFile('ghthhh.dll');
     DeleteFile('gjkhj.dll');
     DeleteFile('gmnait.dll');
     DeleteFile('gnfctt.dll');
     DeleteFile('hfjg.dll');
     DeleteFile('hfther.dll');
     DeleteFile('hgfhk.dll');
     DeleteFile('hjaiq.dll');
     DeleteFile('hkfgh.dll');
     DeleteFile('hmsdvf.dll');
     DeleteFile('hrergh.dll');
     DeleteFile('ijatnaw.dll');
     DeleteFile('ilkyu.dll');
     DeleteFile('jkjkll.dll');
     DeleteFile('jrhhh.dll');
     DeleteFile('jwlah.dll');
     DeleteFile('jyjlt.dll');
     DeleteFile('jzijj.dll');
     DeleteFile('kduy.dll');
     DeleteFile('kergt.dll');
     DeleteFile('lariytrz.dll');
     DeleteFile('losdf.dll');
     DeleteFile('mgmgmm.dll');
     DeleteFile('mrjhtjd.dll');
     DeleteFile('njritc.dll');
     DeleteFile('oqrthc.dll');
     DeleteFile('qrhhb.dll');
     DeleteFile('reger.dll');
     DeleteFile('rgghjj.dll');
     DeleteFile('rhs.dll');
     DeleteFile('rthkyuk.dll');
     DeleteFile('sdrfh.dll');
     DeleteFile('sehhter.dll');
     DeleteFile('serger.dll');
     DeleteFile('serghjm.dll');
     DeleteFile('setrhes.dll');
     DeleteFile('stehs.dll');
     DeleteFile('sthth.dll');
     DeleteFile('thsddh.dll');
     DeleteFile('thurh.dll');
     DeleteFile('tuker.dll');
     DeleteFile('ujkwet.dll');
     DeleteFile('vhsdfg.dll');
     DeleteFile('wfhyt.dll');
     DeleteFile('xbcvxb.dll');
     DeleteFile('xdfntt.dll');
     DeleteFile('xdhdg.dll');
     DeleteFile('xdndn.dll');
     DeleteFile('xfgnfx.dll');
     DeleteFile('xfgnhcgfm.dll');
     DeleteFile('xfgnxfn.dll');
     DeleteFile('xfng.dll');
     DeleteFile('xgnfn.dll');
     DeleteFile('ydgn.dll');
     DeleteFile('yjrfe.dll');
     DeleteFile('yukevg.dll');
     DeleteFile('zdbdb.dll');
     DeleteFile('zdbfbd.dll');
     DeleteFile('zfdzb.dll');
     DeleteFile('C:\WINDOWS\linkinfo.dll');
     DeleteFile('C:\DOCUME~1\NBSerG\LOCALS~1\Temp\wmsetup.dll');
     DeleteFile('C:\WINDOWS\TEMP\wmsetup.dll');
     DeleteFile('C:\WINDOWS\AppPatch\Jview.dll');
     DeleteFile('C:\WINDOWS\AppPatch\AcXtrnel.dll');
     DeleteFile('C:\Documents and Settings\MANAGER\Local Settings\Temp\wmsetup.dll');
     DeleteFile('C:\Documents and Settings\NETWORKSERVICE\Local Settings\Temp\wmsetup.dll');
     DeleteFile('C:\Documents and Settings\LOCALSERVICE\Local Settings\Temp\wmsetup.dll');
     DeleteFile('C:\WINDOWS\Temp\wmsetup.dll');
     DeleteFile('C:\WINDOWS\AppPatch\AcSpecf.dll');
     DeleteFile('c:\windows\apppatch\acplugin.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
    O16 - DPF: {D27CDB6E-AE6D-0000-0000-000000000000} - 
    O20 - AppInit_DLLs: jkjkll.dll,ghjyer.dll,ilkyu.dll,yukevg.dll,ghkrg.dll,tuker.dll,ujkwet.dll,asfjthj.dll,hmsdvf.dll,jrhhh.dll,sdrfh.dll,vhsdfg.dll,dger.dll,losdf.dll,kergt.dll,gfcfg.dll,reger.dll,hrergh.dll,frntrn.dll,qrhhb.dll,drghszd.dll,fngn.dll,gnfctt.dll,xgnfn.dll,xfgnhcgfm.dll,serger.dll,bnxnb.dll,fxgnfx.dll,jzijj.dll,xfgnfx.dll,serghjm.dll,thsddh.dll,xbcvxb.dll,zfdzb.dll,xdndn.dll,xdfntt.dll,hgfhk.dll,dnteh.dll,xfng.dll,njritc.dll,chmfcmh.dll,jwlah.dll,gmnait.dll,hfjg.dll,thurh.dll,mgmgmm.dll,oqrthc.dll,fgthde.dll,jyjlt.dll,ijatnaw.dll,sehhter.dll,fhjfg.dll,zdbdb.dll,ydgn.dll,dbfb.dll,fjnbv.dll,rthkyuk.dll,setrhes.dll,cdxbfxdb.dll,xfgnxfn.dll,gjkhj.dll,xdhdg.dll,rhs.dll,mrjhtjd.dll,zdbfbd.dll,fjyjy.dll,fxnfnh.dll,bjrvm.dll,ektvm.dll,ghthhh.dll,yjrfe.dll,dscef.dll,crugd.dll,lariytrz.dll,hjaiq.dll,kduy.dll,hkfgh.dll,awef.dll,dfhsh.dll,ethsh.dll,stehs.dll,sthth.dll,wfhyt.dll,rgghjj.dll,ghjkdr.dll,hfther.dll,
    3. Опять прогнать CureIt.
    Очень желательно после этого провести проверку штатным антивирусом.

    Перезагрузиться.

    Лишь после этого можно включить сеть.

    Логи еще раз сделать.
    The worst foe lies within the self...

  9. #8
    Junior Member Репутация
    Регистрация
    27.06.2008
    Сообщений
    47
    Вес репутации
    31
    после скрипта удалил в хайджаке только О16, О20 исчезла сама
    курИт удалил файл cdralw.sys КИСа ничего не нашла
    Последний раз редактировалось nbserg; 17.08.2009 в 15:22.

  10. #9
    Junior Member Репутация
    Регистрация
    27.06.2008
    Сообщений
    47
    Вес репутации
    31
    опять опять обнаружено: троянская программа Trojan-Downloader.Win32.Murlo.nn URL: http://root.5**.com/root.gif

    Добавлено через 11 часов 37 минут

    хм

    Добавлено через 5 часов 19 минут

    хелп
    Последний раз редактировалось nbserg; 28.06.2008 в 15:19. Причина: Добавлено

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Цитата Сообщение от nbserg Посмотреть сообщение
    опять опять обнаружено: троянская программа Trojan-Downloader.Win32.Murlo.nn URL
    Ну заблокировал Каспер эту страницу- чего ж Вы кричите? И В логах сейчас ничего зловредного не видно.
    Последний раз редактировалось Rene-gad; 28.06.2008 в 19:06.

  12. #11
    Junior Member Репутация
    Регистрация
    27.06.2008
    Сообщений
    47
    Вес репутации
    31
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Ну заблокировал Каспер эту страницу- чего ж Вы кричите? И В логах сейчас ничего зловредного не видно.
    а того что
    28.06.2008 23:40:36 Блокировать IN TCP 222.216.28.100 80 192.168.0.131 1952 SYN ACK Blocked by IP Blocklist
    28.06.2008 23:40:30 Блокировать IN TCP 222.216.28.100 80 192.168.0.131 1952 SYN ACK Blocked by IP Blocklist
    28.06.2008 23:40:27 Блокировать IN TCP 222.216.28.100 80 192.168.0.131 1952 SYN ACK Blocked by IP Blocklist
    28.06.2008 14:39:45 Блокировать IN TCP 222.216.28.100 80 192.168.0.131 2421 SYN ACK Blocked by IP Blocklist
    28.06.2008 14:39:39 Блокировать IN TCP 222.216.28.100 80 192.168.0.131 2421 SYN ACK Blocked by IP Blocklist
    28.06.2008 14:39:36 Блокировать IN TCP 222.216.28.100 80 192.168.0.131 2421 SYN ACK Blocked by IP Blocklist
    28.06.2008 14:35:13 Блокировать IN TCP 222.216.28.100 80 192.168.0.131 1865 SYN ACK Blocked by IP Blocklist
    28.06.2008 14:35:07 Блокировать IN TCP 222.216.28.100 80 192.168.0.131 1865 SYN ACK Blocked by IP Blocklist
    28.06.2008 14:35:04 Блокировать IN TCP 222.216.28.100 80 192.168.0.131 1865 SYN ACK Blocked by IP Blocklist

    сайт root.51113.com уже 3 раза при мне сменил айпи адресс за 1 день и неизвестно сколько я невидел и ломится он мне как видно из лога аутпоста достаточно активно

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Цитата Сообщение от nbserg Посмотреть сообщение
    а того что
    28.06.2008 23:40:36 Блокировать IN TCP 222.216.28.100 80 192.168.0.131 1952 SYN ACK Blocked by IP Blocklist
    Я лично никакими прибаутками типа файрвола не пользуюсь, но мне кажется, что кто-то с адреса 222.216.28.100 просто сканирует Ваш ПК. Вы ничего , кроме как блокировать этот скан, предпринять не можете.
    Код:
    inetnum:      222.216.0.0 - 222.218.255.255
    netname:      CHINANET-GX
    descr:        CHINANET Guangxi province network
    descr:        China Telecom
    descr:        No1,jin-rong Street
    descr:        Beijing 100032
    country:      CN

  14. #13
    Junior Member Репутация
    Регистрация
    27.06.2008
    Сообщений
    47
    Вес репутации
    31
    проследите айпи адресас сайта root.51113.com
    он был 116.252.185.15
    222.216.28.100
    60.191.223.11
    если сайту дать запустить рут гиф то на компе вирус что описан в начале поста

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Так не давайте ему запуститься и не ходите на этот сайт. См. еще тут: http://forum.kaspersky.com/index.php?showtopic=73834

  16. #15
    Junior Member Репутация
    Регистрация
    27.06.2008
    Сообщений
    47
    Вес репутации
    31
    1. на этот сайт я не хожу
    2. мне достаточно просто подключиться к сети чтоб вылетело это сообщение, я даже не говорю о запуске браузера

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Цитата Сообщение от nbserg Посмотреть сообщение
    1. на этот сайт я не хожу
    Ну и прекрасно
    Цитата Сообщение от nbserg Посмотреть сообщение
    2. мне достаточно просто подключиться к сети чтоб вылетело это сообщение, я даже не говорю о запуске браузера
    Отлключите нафик Ваш файрвол - и Вы не будете получать сообщений, от которых все равно толку нет. Вы же не поедете в Китай с маленькой бомбой, чтобы взорвать этот сервер?

  18. #17
    Junior Member Репутация
    Регистрация
    27.06.2008
    Сообщений
    47
    Вес репутации
    31
    сообщения вылетали в каспере при подключении к нету еще до фаервола
    обнаружено: троянская программа Trojan-Downloader.Win32.Murlo.nn URL: http://root.***.com/root.gif
    если я втыкал и не блокировал доступ то получался вирус.
    когда включил фаервол и заблокировал некоторые его айпи и порты даже в каспере они перестали вылетать. но всеравно по фаерволу вижу что он пытается ломиться

    Добавлено через 2 часа 20 минут

    вот вырубил на 5 мин фаервол опять :-(
    Последний раз редактировалось nbserg; 29.06.2008 в 14:32. Причина: Добавлено

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Вы темп-папки и кэш браузера чистили?

  20. #19
    Junior Member Репутация
    Регистрация
    27.06.2008
    Сообщений
    47
    Вес репутации
    31
    раз 10 ATF-Cleaner ом

  21. #20
    Junior Member Репутация
    Регистрация
    27.06.2008
    Сообщений
    47
    Вес репутации
    31
    up

  • Уважаемый(ая) nbserg, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Помогите удалить Trojan-Downloader.Murlo (Ikarus)
      От Rip250 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 08.01.2012, 13:19
    2. троянская программа Trojan-Downloader.Win32.Murlo.nn
      От Lenkon в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 14.05.2009, 17:47
    3. Помогите с "trojan Win32.Murlo
      От ra-s-sel в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 22.02.2009, 03:17
    4. троян downloader Murlo.nn
      От [)3lVl[]n в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 05.02.2009, 12:15
    5. Не лечится Trojan-Downloader.Win32.Murlo.nn
      От gko в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 19.01.2009, 21:00

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00434 seconds with 20 queries