Junior Member
Вес репутации
58
НИКАК НЕ УДАЕТСЯ ВЫЛЕЧИТЬ ОТ trojan.win32.monderc
Здраствуйте,
Надеюсь вы поможете мне вылечить то что я по-неосторожно натворил -
ПРОБЛЕМЫ:
1.Периодически открывается окно IE и пытается загрузить сайт
http://sanitardiska.com/sanitardiska/?
gai=nm_othridmm2_wowm&gli=&gff=nm_156957_fda4ccc24 1d011ddbde6156957cfffff_3a46cca6fbb5418c8344983
6e9d24155&cmpnamegeo=rugeogdc&4=&cmpname=null&rff= file%3A%2F%2F%2FE%3A%2FVIRUSINFO.RU%
2Frules&tmn=vmmtkwron&aid=nm_othridmm2_wowm&lid=&a ffid=nm_156957_fda4ccc241d011ddbde6156957cfffff
_3a46cca6fbb5418c83449836e9d24155&ex=1&ed=2&h=10&j =1&mt_info=6031_0_14894%
3A4675_0_17950:4673_0_2747&rdr=2&cmpnamegeo=null&4 858530607&mt_info=6031_0_14894:4675_0_17950:467
3_0_2747
2. IE и Mozilla заметно виснут и тормозят, при попытке загрузить какую-либо страницу -
explorer.exe вызвало ошибку и будет закрыто
3. KIS каждый раз при загрузке системы находит .dll файлы с трояном Trojan.Win32.Monderc.a в
с:\windows\system32 (типа: xucqwbor.dll xrxhfysm.dll) Также при загрузке открывается окно ошибки:
Не найден указанный модуль c:\windows\system32\fhobuiia.dll
(До этого при сканировании были еще найдены -
удалено: троянская программа Trojan.Win32.Monder.aen Файл:
C:\Users\alexei.oleynik\AppData\Local\Microsoft\Wi ndows\Temporary Internet Files\Content.IE5
\7BSWK1J9\kb456456[1]
удалено: рекламная программа not-a-virus:AdWare.Win32.Virtumonde.zic Файл:
C:\Users\alexei.oleynik\AppData\Local\Temp\tmp0001 990e
удалено: троянская программа Backdoor.Win32.Rbot.jrs Файл: E:\SOFTWARE\CorelDRAW Graphics
Suite X4 14.0 FULL\CorelDRAWGraphicsSuiteX4Installer_EN.exe//#//Armadillo
удалено: троянская программа Trojan.Win32.Monderc.gen Файл:
E:\SOFTWARE\Nero_Ultra_Edition_8.3.2.1b\Nero-8.3.2.1b.exe//data0000.cab/is156957.exe
обнаружено: потенциально опасное ПО Hidden data sending Процесс: C:\Windows\Explorer.EXE
удалено: троянская программа Trojan.Win32.Monderc.a Файл: C:\Windows\System32\woiuxlwd.dll
удалено: рекламная программа not-a-virus:AdWare.Win32.Virtumonde.zji Файл:
C:\Windows\System32\xekdxdpn.dll
удалено: троянская программа Trojan.Win32.Monderc.a Файл: C:\Windows\System32\xucqwbor.dll
удалено: троянская программа Trojan.Win32.Monderc.a Файл: C:\Windows\System32\xrxhfysm.dll
)
4.Еще KIS показывает что C:\Windows\Explorer.EXE периодически пытается прописать какого-то
троянца в реестре, ну или как-то так...
01.07.2008 11:47:30 C:\Windows\Explorer.EXE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run 3c69fec6
rundll32.exe "C:\Windows\system32\btaiqdiy.dll",b Строка Unicode, заканчивающаяся нулем
Изменение обнаружен
и IE тоже пытается что-то прописать, видимо связанное с каким-то нехорошим плагином/аддоном
01.07.2008 11:47:31 C:\Program Files\Internet Explorer\iexplore.exe HKEY_USERS\S-1-5-21-
281039192-1470627282-1347242591-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
ITBar7Layout 13 00 00 00 00 00 00 00 00 00 00 00 30 00 00 00 10 00 01 00 17 00 00 00 01 00 00
00 00 07 00 00 64 01 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 be c0 2e 18 10 51 c8
49 a0 62 be b1 d0 2a 22 0b 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Free form binary
Изменение обнаружен
5. Время от времени компьютер зависает полностью, ипри этом картиинка на экране становиться
откровенно сглючившейся (если можно так сказать)
Заранее спасибо.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Запускайте AVZ право кнопкой через "от имени Администратора".
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\system32\fhobuiia.dll','');
QuarantineFile('C:\Windows\system32\byXOeBrO.dll','');
QuarantineFile('C:\Windows\system32\btaiqdiy.dll','');
DeleteFile('C:\Windows\system32\btaiqdiy.dll');
DeleteFile('C:\Windows\system32\byXOeBrO.dll');
DeleteFile('C:\Windows\system32\fhobuiia.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=25676 ).
Сделайте новые логи, начиная с п.10 правил.
I am not young enough to know everything...
Junior Member
Вес репутации
58
ЛОГИ
СПАСИБО ЗА ПОМОЩЬ, ВОТ НОВЫЕ ЛОГИ -
Вложения
Пофиксите в HijackThis:
Код:
O2 - BHO: (no name) - {52E67A72-5CC5-4E4B-A5F7-53C73E59E78E} - C:\Windows\system32\byXOeBrO.dll (file missing)
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
Больше ничего плохого не видно.
Какие-то проблемы остались?
I am not young enough to know everything...
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 5 В ходе лечения обнаружены вредоносные программы:
c:\\windows\\system32\\btaiqdiy.dll - Trojan.Win32.Monderc.gen (DrWEB: Trojan.Virtumod.443) c:\\windows\\system32\\byxoebro.dll - Trojan.Win32.Monderc.gen (DrWEB: Trojan.Virtumod.based.21)