AVIRA предумпреждает о вирусах в папке system32

**asd911** · 06.08.2008, 19:58

Авира постоянно предупреждает о вирусах в папке windows\system32, файлы меняют имя после каждой перезагрузки.
SpybotS&D блокирует изменения в реестре BHO

Сканирование в безопасном режиме лечилкой от Др.Веб, Авирой, AVZ, и SpybotS&D не решило проблему.

Сканеры находили такие вредоносы:

killfiles 808
IRC chazz 38
Crypt XPACK Gen [trojan]

Авира:

Virus or unwanted program 'TR/Crypt.XPACK.Gen [trojan]'
detected in file 'C:\WINDOWS\system32\cbXNGyAp.dll.

Virus or unwanted program 'TR/Crypt.XPACK.Gen [trojan]'
detected in file 'C:\Documents and Settings\Max\Local Settings\Temporary Internet Files\Content.IE5\B2MJVP30\ico[1].

Иногда блокируются сайты goog.com, virusinfo.info, хотя ругие открываются.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Rene-gad** · 06.08.2008, 20:03

Вы чего - забыли как и что? Напоминаем: http://virusinfo.info/showthread.php?t=1235

**asd911** · 06.08.2008, 21:01

Знаю.
Файлы не помещаются, разместил по ссылкам.

http://slil.ru/26038739
http://slil.ru/26038753
http://slil.ru/26038724

**Rene-gad** · 06.08.2008, 21:44

Отключите
- ПК от интернета/локалки
- Антивирус, Файрвол, Tea Timer от Спайбота - его можно сразу или потом - фтопку вместе с Zone Alarm
- Системное востановление.
-Пофиксите

Код:

O2 - BHO: (no name) - {109BE732-8F8C-49D4-A3F4-FEDCAC7F0A25} - C:\WINDOWS\system32\geBuRJab.dll
O3 - Toolbar: (no name) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - (no file)
O4 - Startup: PowerReg Scheduler V3.exe
O4 - Startup: SpywareGuard.lnk.disabled
O4 - Startup: Xfire.lnk.disabled
O20 - Winlogon Notify: geBuRJab - C:\WINDOWS\SYSTEM32\geBuRJab.dll

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('lredbooo');
 DeleteService('Trufos');
 DeleteService('Profos');
 QuarantineFile('C:\DOCUME~1\Max\LOCALS~1\Temp\lredbooo.sys','');
 QuarantineFile('C:\WINDOWS\system32\geBuRJab.dll','');
 DeleteFile('C:\WINDOWS\system32\geBuRJab.dll');
 DeleteFile('C:\Program Files\Softwin\BitDefender10\profos.sys');
 DeleteFile('C:\Program Files\Softwin\BitDefender10\trufos.sys');
 DeleteFile('C:\DOCUME~1\Max\LOCALS~1\Temp\lredbooo.sys');
BC_ImportDeletedList;
ExecuteSysClean;
executerepair(13);
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по красной ссылке вверху темы.
- Прикрепите логи к новому сообщению.

**asd911** · 07.08.2008, 01:46

Спасибо, теперь, вроде, все нормально.

http://slil.ru/26039410
http://slil.ru/26039411

**Rene-gad** · 07.08.2008, 10:21

Для кого было написано красным шрифтом???
Отключите
.....
- Антивирус, Файрвол, Tea Timer от Спайбота

Еще одна попытка. Если будете и дальше не выполнять указания - закрою тему.

-Пофиксите

Код:

O1 - Hosts: 1127.0.0.1 galleries.dacash.com

Код:

begin
SetAVZGuardStatus(True);
 ClearHostsFile;
 DeleteService('BDRsDrv');
 DeleteService('BDFsDrv');
 DeleteFile('C:\Program Files\Softwin\BitDefender10\bdfsdrv.sys');
 DeleteFile('C:\Program Files\Softwin\BitDefender10\bdrsdrv.sys');
ExecuteSysClean;
RebootWindows(true);
end.

Логи повторите от п. 10 правил.

**asd911** · 07.08.2008, 16:11

Файрвол пришлось удалить, не открывался.
Авире отключил активную защиту, из памяти она убирается только деинсталяцией.

Логи:

http://slil.ru/26041150
http://slil.ru/26041152
http://slil.ru/26041146

**Rene-gad** · 07.08.2008, 16:26

Сообщение от asd911

Файрвол пришлось удалить

Ну и не ставьте его больше - включите Виндовс-Файрвол. Вы ж уже поняли, что защитные программы берегут только береженных

Авире отключил активную защиту, из памяти она убирается только деинсталяцией.

Почему? Можно службы остановить.
И еще: я не помню, есть ли в Спайботе функция, позволяющая восстановить файл hosts? Из-за того , что Спайбот его при иммунзации - которая помогает, как зайцу стопсигнал - изувечил, Ваши логи никуда не помещаются.
Если такой опции нет - переименуйте файл C:\WINDOWS\system32\drivers\etc\hosts в hosts_old и замените его файлом C:\i386\hosts.
Вот еще один файлик от Битдефендера остался. Если хотите удалить - выполните скрипт

Код:

begin
SetAVZGuardStatus(True);
 DeleteFile('C:\Program Files\Softwin\BitDefender10\bdagent.exe');
BC_Activate;
RebootWindows(true);
end.

Как работает система? Вроде ничего зловредного не видать.

Рекомендую обновить Джаву и почитать нашу библию: http://security-advisory.virusinfo.info/

**asd911** · 07.08.2008, 22:34

Спасибо, машина работает нормально.
Анвира ничего не находит.

Файрвол ставил только чтоб закрыть порты от сканеров. С нормальным я не разберусь.

"Библия" интересная, обязательно изучу, спасибо.

**Rene-gad** · 07.08.2008, 22:53

Сообщение от asd911

Файрвол ставил только чтоб закрыть порты от сканеров.

От каких сканеров?

От портскана, что ли?

А можно от ветра защититься? И нужно ли?

**asd911** · 08.08.2008, 00:29

Все что знаю, в основном прочел на этом сайте

В теме фаерволов было сказано, что виндовс оставляет много открытых портов, а сканеры их обнаруживают и таким образом злодей или програма может получить доступ к машине.
Может я чего не понял, но фаервол тогда решил поставить

**Rene-gad** · 08.08.2008, 10:27

Сообщение от asd911

В теме фаерволов было сказано, что виндовс оставляет много открытых портов, а сканеры их обнаруживают и таким образом злодей или програма может получить доступ к машине.

Вы что-то неправильно поняли. При нормальной системе без файрвола порты для внешнего доступа находятся в статусе CLOSED (закрыт) , с файрволом - в статусе STEALS (невидимка). Статус OPEN существует только в том случае, если порт открыт - либо пользователем для специальных целей , либо троянской программой. В последнем случае необходимо не закрывать порт каким-либо софтом, который имеет не много шансов против другого (зловредного) софта, а удалять троянскую программу. Это - функция антивируса.
Чтобы перевести не изпользуемые порты в недоступное извне состояние, необходимо и достаточно отключить ненужные службы. Справочник по Службам можно скачать по ссылке в моей подписи. Кроме того - есть маленькая тулза, которая минимирует количество работающих служб до необходимого : http://dingens.org/index.html.en .
И помните- троян умеет все, что умеет пользователь. Хорошо сконструированный троян обьедет любой файрвол на Ура.
Для проверки портов можно воспользоваться тулзой ShieldsUp на портале www.grc.com. Если без файрвола все порты имеют статус CLOSED - значит Ваша система работает нормально и от файрвола можно отказаться.

**asd911** · 08.08.2008, 12:52

Еще раз спапсибо, тест показал, что порты скрыты.

**CyberHelper** · 22.02.2009, 06:56

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 1
В ходе лечения обнаружены вредоносные программы:
1. c:\\windows\\system32\\geburjab.dll - Trojan.Win32.Monderb.elc (DrWEB: Trojan.Virtumod.based.23)

AVIRA предумпреждает о вирусах в папке system32 (заявка № 27664)

Опции темы

AVIRA предумпреждает о вирусах в папке system32

Итог лечения

Похожие темы

При открытии страниц в интернет Avira постоянно сообщает о вирусах

вирусы в папке system32

постоянно руткит X в папке system32

постоянно руткит X в папке system32

Что это за файлы в папке system32?

Ваши права в разделе