Добрый день, взгляните, пожалуйста, на логи - "неродные" надстройки в IE (море поддельных сообщений о вирусах).
Также в корне c: лежит файл x.exe длиной 24576 байт и chkit длиной 5 байт (появляются снова после удаления).
Добрый день, взгляните, пожалуйста, на логи - "неродные" надстройки в IE (море поддельных сообщений о вирусах).
Также в корне c: лежит файл x.exe длиной 24576 байт и chkit длиной 5 байт (появляются снова после удаления).
Последний раз редактировалось PavelA; 25.02.2009 в 12:43.
Выполнить:
Сделать новые логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelBHO('{DF597208-865D-429C-922C-04A5C67C4419}'); DelBHO('{7490ED73-A97A-4D30-91CF-94319425B135}'); DelBHO('{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}'); QuarantineFile('C:\Documents and Settings\guru\Application Data\uninstall.exe',''); QuarantineFile('C:\WINDOWS\system32\urqNETnO.dll',''); QuarantineFile('C:\WINDOWS\system32\qoMfGvtS.dll',''); DeleteFile('C:\WINDOWS\system32\qoMfGvtS.dll'); DeleteFile('C:\WINDOWS\system32\urqNETnO.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Выслать карантин по http://virusinfo.info/upload_virus.php?tid=40359
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Логи прилагаю (в hijackthis уже пофиксил те missing files).Результат загрузки
Файл сохранён как 090224_155127_virus_49a3ed4f3cb3d.zip
Размер файла 274901
MD5 282fb08522e5eeb82f17f205a80bbcfc
Файл закачан, спасибо!
Выполнить:
Сделать новые логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\Documents and Settings\guru\Application Data\uninstall.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Логи прилагаю. Рядом с uninstall обнаружил файлик с названием m (одна буква), в ней аккуратный список сайт - логин - пароль. Видимо, результат работы кейлоггера.Результат загрузки
Файл сохранён как 090224_165220_virus_49a3fb94d27fc.zip
Размер файла 7627
MD5 8e0cee3bff22d40042f37c31e9c69c92
Файл закачан, спасибо!
Забыл лог hijackthis
Профиксить:
O20 - Winlogon Notify: qoMfGvtS - qoMfGvtS.dll (file missing)
L:\autorun.inf - если флешка, то файл прислать на проверку
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
это Autorun.inf, думаю, там свежий вирусРезультат загрузки
Файл сохранён как 090224_172738_virus_49a403da7cd28.zip
Размер файла 48157
MD5 12e566d729fb5db1806da5274b19760f
Файл закачан, спасибо!
uninstall.exe - Trojan-Downloader.Win32.VB.ksr - то, что убили.
Выполнить:
Автозапуск флешек желательно отключить. См. тему в "Чаво"Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('L:\autorun.inf'); RebootWindows(true); end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Спасибо, лечение выполнено успешно.
Логи повторите с флешкой.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
В windows\system32 обнаружил файлы x2.exe, x4.exe, x5.exe
Упаковал в карантин
AVZ4 не обнаруживает в них ничего, а Dr.Web 4.44 (лицензия) находит в x2.exe Trojan.DownLoader.56730Результат загрузки
Файл сохранён как 090225_112728_virus_49a500f03a024.zip
Размер файла 431264
MD5 b2a7168cdd927e686871fc8119f6cb46
Файл закачан, спасибо!
C:\WINDOWS\system32\x2.exe-Trojan-Downloader.Win32.VB.hvw
C:\WINDOWS\system32\x4.exe-Trojan.Win32.Buzus.anag
C:\WINDOWS\system32\x5.exe- недетектируется Касперским...
Свежие логи.
В логах ничего плохого...
Спасибо, считаем лечение завершённым.
Статистика проведенного лечения:
- Получено карантинов: 4
- Обработано файлов: 8
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\guru\application data\uninstall.exe - Trojan-Downloader.Win32.VB.ksr
- c:\windows\system32\qomfgvts.dll - Trojan.Win32.Monder.bhtg
- c:\windows\system32\urqnetno.dll - Trojan.Win32.Monder.bhsb
- c:\windows\system32\x2.exe - Trojan-Downloader.Win32.VB.hvw (DrWEB: archive: Trojan.DownLoader.56730)
- c:\windows\system32\x4.exe - Trojan.Win32.Buzus.anag
- c:\windows\system32\x5.exe - Trojan-PSW.Win32.VB.agx
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
Уважаемый(ая) kgs, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.