обнаружено: троянская программа Trojan-Downloader.Win32.Murlo.nn URL: http://root.***.com/root.gif
обнаружено: троянская программа Trojan-Downloader.Win32.Murlo.nn URL: http://root.***.com/root.gif
Последний раз редактировалось nbserg; 17.08.2009 в 15:22.
А вот ссылку на трояна уберите (или деактивируйте)
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\AppPatch\Jview.dll',''); QuarantineFile('C:\WINDOWS\AppPatch\AcXtrnel.dll',''); QuarantineFile('C:\WINDOWS\system32\wups.dll',''); QuarantineFile('C:\WINDOWS\system32\wups2.dll',''); QuarantineFile('C:\WINDOWS\system32\gpprefcl.dll',''); QuarantineFile('C:\WINDOWS\System32\Drivers\ape2ptgn.SYS',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys',''); QuarantineFile('C:\WINDOWS\TEMP\wmsetup.dll',''); QuarantineFile('C:\WINDOWS\system32\actxprxy.dll',''); QuarantineFile('C:\DOCUME~1\NBSerG\LOCALS~1\Temp\wmsetup.dll',''); DeleteFile('C:\DOCUME~1\NBSerG\LOCALS~1\Temp\wmsetup.dll'); DeleteFile('C:\WINDOWS\TEMP\wmsetup.dll'); DeleteFile('C:\WINDOWS\AppPatch\Jview.dll'); DeleteFile('C:\WINDOWS\AppPatch\AcXtrnel.dll'); DeleteFile('C:\Documents and Settings\MANAGER\Local Settings\Temp\wmsetup.dll'); DeleteFile('C:\Documents and Settings\NETWORKSERVICE\Local Settings\Temp\wmsetup.dll'); DeleteFile('C:\Documents and Settings\LOCALSERVICE\Local Settings\Temp\wmsetup.dll'); DeleteFile('C:\WINDOWS\Temp\wmsetup.dll'); DeleteFile('C:\WINDOWS\AppPatch\AcSpecf.dll'); DeleteFile('c:\windows\apppatch\acplugin.dll'); BC_LogFile(GetAVZDirectory + 'boot_clr.log'); BC_ImportDeletedList; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=25431
Почистите временные файлы (например так: http://virusinfo.info/showthread.php?t=10025)
Повторите логи.
The worst foe lies within the self...
я офигиваю где они берутся после удаления
все сделал вост системі віключено вот логи
Последний раз редактировалось nbserg; 17.08.2009 в 15:22.
Отключитесь от сети.
Прогоните предидущий скрипт.
Прогоните еще раз CureIt (я надеюсь, выполняя правила Вы не поленились, скачали и сканировали систему ним.)
Перезагрузитесь.
Сделайте логи.
The worst foe lies within the self...
вырубил сеть по 2 раза проверил авз куром и каспером вроде все убил вот логи
Последний раз редактировалось nbserg; 17.08.2009 в 15:22.
только 3 мин полазил в нете опять обнаружено: троянская программа Trojan-Downloader.Win32.Murlo.nn URL: http://root.5**.com/root.gif
Опять выключить сеть (так, чтобы после перезагузки она самостоятельно не включилась. Напр. в свойствах подключения поставить "Отключено") .
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\gpprefcl.dll',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\nvmini.sys',''); DeleteService('cdralw'); StopService('cdralw'); DeleteFile('C:\WINDOWS\system32\DRIVERS\nvmini.sys'); DeleteFile('asfjthj.dll'); DeleteFile('awef.dll'); DeleteFile('bjrvm.dll'); DeleteFile('bnxnb.dll'); DeleteFile('cdxbfxdb.dll'); DeleteFile('chmfcmh.dll'); DeleteFile('crugd.dll'); DeleteFile('dbfb.dll'); DeleteFile('dfhsh.dll'); DeleteFile('dger.dll'); DeleteFile('dnteh.dll'); DeleteFile('drghszd.dll'); DeleteFile('dscef.dll'); DeleteFile('ektvm.dll'); DeleteFile('ethsh.dll'); DeleteFile('fgthde.dll'); DeleteFile('fhjfg.dll'); DeleteFile('fjnbv.dll'); DeleteFile('fjyjy.dll'); DeleteFile('fngn.dll'); DeleteFile('frntrn.dll'); DeleteFile('fxgnfx.dll'); DeleteFile('fxnfnh.dll'); DeleteFile('gfcfg.dll'); DeleteFile('ghjkdr.dll'); DeleteFile('ghjyer.dll'); DeleteFile('ghkrg.dll'); DeleteFile('ghthhh.dll'); DeleteFile('gjkhj.dll'); DeleteFile('gmnait.dll'); DeleteFile('gnfctt.dll'); DeleteFile('hfjg.dll'); DeleteFile('hfther.dll'); DeleteFile('hgfhk.dll'); DeleteFile('hjaiq.dll'); DeleteFile('hkfgh.dll'); DeleteFile('hmsdvf.dll'); DeleteFile('hrergh.dll'); DeleteFile('ijatnaw.dll'); DeleteFile('ilkyu.dll'); DeleteFile('jkjkll.dll'); DeleteFile('jrhhh.dll'); DeleteFile('jwlah.dll'); DeleteFile('jyjlt.dll'); DeleteFile('jzijj.dll'); DeleteFile('kduy.dll'); DeleteFile('kergt.dll'); DeleteFile('lariytrz.dll'); DeleteFile('losdf.dll'); DeleteFile('mgmgmm.dll'); DeleteFile('mrjhtjd.dll'); DeleteFile('njritc.dll'); DeleteFile('oqrthc.dll'); DeleteFile('qrhhb.dll'); DeleteFile('reger.dll'); DeleteFile('rgghjj.dll'); DeleteFile('rhs.dll'); DeleteFile('rthkyuk.dll'); DeleteFile('sdrfh.dll'); DeleteFile('sehhter.dll'); DeleteFile('serger.dll'); DeleteFile('serghjm.dll'); DeleteFile('setrhes.dll'); DeleteFile('stehs.dll'); DeleteFile('sthth.dll'); DeleteFile('thsddh.dll'); DeleteFile('thurh.dll'); DeleteFile('tuker.dll'); DeleteFile('ujkwet.dll'); DeleteFile('vhsdfg.dll'); DeleteFile('wfhyt.dll'); DeleteFile('xbcvxb.dll'); DeleteFile('xdfntt.dll'); DeleteFile('xdhdg.dll'); DeleteFile('xdndn.dll'); DeleteFile('xfgnfx.dll'); DeleteFile('xfgnhcgfm.dll'); DeleteFile('xfgnxfn.dll'); DeleteFile('xfng.dll'); DeleteFile('xgnfn.dll'); DeleteFile('ydgn.dll'); DeleteFile('yjrfe.dll'); DeleteFile('yukevg.dll'); DeleteFile('zdbdb.dll'); DeleteFile('zdbfbd.dll'); DeleteFile('zfdzb.dll'); DeleteFile('C:\WINDOWS\linkinfo.dll'); DeleteFile('C:\DOCUME~1\NBSerG\LOCALS~1\Temp\wmsetup.dll'); DeleteFile('C:\WINDOWS\TEMP\wmsetup.dll'); DeleteFile('C:\WINDOWS\AppPatch\Jview.dll'); DeleteFile('C:\WINDOWS\AppPatch\AcXtrnel.dll'); DeleteFile('C:\Documents and Settings\MANAGER\Local Settings\Temp\wmsetup.dll'); DeleteFile('C:\Documents and Settings\NETWORKSERVICE\Local Settings\Temp\wmsetup.dll'); DeleteFile('C:\Documents and Settings\LOCALSERVICE\Local Settings\Temp\wmsetup.dll'); DeleteFile('C:\WINDOWS\Temp\wmsetup.dll'); DeleteFile('C:\WINDOWS\AppPatch\AcSpecf.dll'); DeleteFile('c:\windows\apppatch\acplugin.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
3. Опять прогнать CureIt.Код:O16 - DPF: {D27CDB6E-AE6D-0000-0000-000000000000} - O20 - AppInit_DLLs: jkjkll.dll,ghjyer.dll,ilkyu.dll,yukevg.dll,ghkrg.dll,tuker.dll,ujkwet.dll,asfjthj.dll,hmsdvf.dll,jrhhh.dll,sdrfh.dll,vhsdfg.dll,dger.dll,losdf.dll,kergt.dll,gfcfg.dll,reger.dll,hrergh.dll,frntrn.dll,qrhhb.dll,drghszd.dll,fngn.dll,gnfctt.dll,xgnfn.dll,xfgnhcgfm.dll,serger.dll,bnxnb.dll,fxgnfx.dll,jzijj.dll,xfgnfx.dll,serghjm.dll,thsddh.dll,xbcvxb.dll,zfdzb.dll,xdndn.dll,xdfntt.dll,hgfhk.dll,dnteh.dll,xfng.dll,njritc.dll,chmfcmh.dll,jwlah.dll,gmnait.dll,hfjg.dll,thurh.dll,mgmgmm.dll,oqrthc.dll,fgthde.dll,jyjlt.dll,ijatnaw.dll,sehhter.dll,fhjfg.dll,zdbdb.dll,ydgn.dll,dbfb.dll,fjnbv.dll,rthkyuk.dll,setrhes.dll,cdxbfxdb.dll,xfgnxfn.dll,gjkhj.dll,xdhdg.dll,rhs.dll,mrjhtjd.dll,zdbfbd.dll,fjyjy.dll,fxnfnh.dll,bjrvm.dll,ektvm.dll,ghthhh.dll,yjrfe.dll,dscef.dll,crugd.dll,lariytrz.dll,hjaiq.dll,kduy.dll,hkfgh.dll,awef.dll,dfhsh.dll,ethsh.dll,stehs.dll,sthth.dll,wfhyt.dll,rgghjj.dll,ghjkdr.dll,hfther.dll,
Очень желательно после этого провести проверку штатным антивирусом.
Перезагрузиться.
Лишь после этого можно включить сеть.
Логи еще раз сделать.
The worst foe lies within the self...
после скрипта удалил в хайджаке только О16, О20 исчезла сама
курИт удалил файл cdralw.sys КИСа ничего не нашла
Последний раз редактировалось nbserg; 17.08.2009 в 15:22.
опять опять обнаружено: троянская программа Trojan-Downloader.Win32.Murlo.nn URL: http://root.5**.com/root.gif
Добавлено через 11 часов 37 минут
хм
Добавлено через 5 часов 19 минут
хелп
Последний раз редактировалось nbserg; 28.06.2008 в 15:19. Причина: Добавлено
а того что
28.06.2008 23:40:36 Блокировать IN TCP 222.216.28.100 80 192.168.0.131 1952 SYN ACK Blocked by IP Blocklist
28.06.2008 23:40:30 Блокировать IN TCP 222.216.28.100 80 192.168.0.131 1952 SYN ACK Blocked by IP Blocklist
28.06.2008 23:40:27 Блокировать IN TCP 222.216.28.100 80 192.168.0.131 1952 SYN ACK Blocked by IP Blocklist
28.06.2008 14:39:45 Блокировать IN TCP 222.216.28.100 80 192.168.0.131 2421 SYN ACK Blocked by IP Blocklist
28.06.2008 14:39:39 Блокировать IN TCP 222.216.28.100 80 192.168.0.131 2421 SYN ACK Blocked by IP Blocklist
28.06.2008 14:39:36 Блокировать IN TCP 222.216.28.100 80 192.168.0.131 2421 SYN ACK Blocked by IP Blocklist
28.06.2008 14:35:13 Блокировать IN TCP 222.216.28.100 80 192.168.0.131 1865 SYN ACK Blocked by IP Blocklist
28.06.2008 14:35:07 Блокировать IN TCP 222.216.28.100 80 192.168.0.131 1865 SYN ACK Blocked by IP Blocklist
28.06.2008 14:35:04 Блокировать IN TCP 222.216.28.100 80 192.168.0.131 1865 SYN ACK Blocked by IP Blocklist
сайт root.51113.com уже 3 раза при мне сменил айпи адресс за 1 день и неизвестно сколько я невидел и ломится он мне как видно из лога аутпоста достаточно активно
Я лично никакими прибаутками типа файрвола не пользуюсь, но мне кажется, что кто-то с адреса 222.216.28.100 просто сканирует Ваш ПК. Вы ничего , кроме как блокировать этот скан, предпринять не можете.
Код:inetnum: 222.216.0.0 - 222.218.255.255 netname: CHINANET-GX descr: CHINANET Guangxi province network descr: China Telecom descr: No1,jin-rong Street descr: Beijing 100032 country: CN
проследите айпи адресас сайта root.51113.com
он был 116.252.185.15
222.216.28.100
60.191.223.11
если сайту дать запустить рут гиф то на компе вирус что описан в начале поста
Так не давайте ему запуститься и не ходите на этот сайт. См. еще тут: http://forum.kaspersky.com/index.php?showtopic=73834
1. на этот сайт я не хожу
2. мне достаточно просто подключиться к сети чтоб вылетело это сообщение, я даже не говорю о запуске браузера
сообщения вылетали в каспере при подключении к нету еще до фаервола
обнаружено: троянская программа Trojan-Downloader.Win32.Murlo.nn URL: http://root.***.com/root.gif
если я втыкал и не блокировал доступ то получался вирус.
когда включил фаервол и заблокировал некоторые его айпи и порты даже в каспере они перестали вылетать. но всеравно по фаерволу вижу что он пытается ломиться
Добавлено через 2 часа 20 минут
вот вырубил на 5 мин фаервол опять :-(
Последний раз редактировалось nbserg; 29.06.2008 в 14:32. Причина: Добавлено
Вы темп-папки и кэш браузера чистили?
раз 10 ATF-Cleaner ом
up
Уважаемый(ая) nbserg, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.