вирус или остатки
стоял симантек энд пойнт, полезли окна в браузере ИЕ, в мозилле перестала работать часть кнопок. Поставил аваст - убил пару A0243326.dll inficirovan virusom Win32:Trojan-gen {Other}, но проблема осталась. Есть подозрение что с работы нахватался >< через флэш.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
"Пофиксите" в HijackThis
В AVZ -> файл-> Выполнить скриптКод:O20 - AppInit_DLLs: kvqgjg.dll
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelBHO('{D655306F-F0AC-4D06-86F3-92C4AF4D75CF}'); DelBHO('{CCDA680F-5F7E-4962-9900-B3DEC0DCD50B}'); DelBHO('{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}'); DelBHO('{572ba28f-df4c-4955-ad18-c31fc0bd8799}'); QuarantineFile('C:\WINDOWS\system32\rsdsblbu.dll',''); QuarantineFile('C:\WINDOWS\system32\pmnoljIX.dll',''); QuarantineFile('C:\WINDOWS\system32\mlJBTkLb.dll',''); QuarantineFile('C:\WINDOWS\system32\lyqudost.dll',''); QuarantineFile('C:\WINDOWS\system32\kvqgjg.dll',''); QuarantineFile('C:\WINDOWS\system32\eunwgf.dll',''); QuarantineFile('C:\WINDOWS\system32\etsgvbnd.dll',''); DeleteFile('C:\WINDOWS\system32\etsgvbnd.dll'); DeleteFile('C:\WINDOWS\system32\eunwgf.dll'); DeleteFile('C:\WINDOWS\system32\kvqgjg.dll'); DeleteFile('C:\WINDOWS\system32\lyqudost.dll'); DeleteFile('C:\WINDOWS\system32\mlJBTkLb.dll'); DeleteFile('C:\WINDOWS\system32\pmnoljIX.dll'); DeleteFile('C:\WINDOWS\system32\rsdsblbu.dll'); BC_Importall; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно правил по ссылке http://virusinfo.info/upload_virus.php?tid=41913
Повторите логи по правилам.
Логи делать с запущенными браузерами.
P.S. Отключение автозапуска с разных носителей.
сделал, только в отчете hijak this теперь pmnoljIX.dll под 20 его фиксить снова?
3 скрипт делал при отключенной сети и инета, перезагрузка 2- с включенным инетом и выключеным антивирусом правильно?
Последний раз редактировалось Блохастик; 17.03.2009 в 20:25.
Правильно.
В правилах это и написано.
Добавлено через 3 минуты
"Пофиксите" в HijackThis
Пункты 2 и 3 диагностики повторяем.Код:O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file) O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\pmnoljIX.dll (file missing) O2 - BHO: (no name) - {C4460363-06B6-4C91-B14C-D106BC78C8BC} - C:\WINDOWS\system32\mlJBTkLb.dll (file missing) O20 - Winlogon Notify: pmnoljIX - pmnoljIX.dll (file missing)
Последний раз редактировалось light59; 17.03.2009 в 20:28. Причина: Добавлено
Спасибо за помощь ! 20 сточку править в хайджэк? или оставить?
ЗЫ завтра для коллекции попробую снять логи с 1 машины- там заблочены все браузеры и весь выход в инет ( пинг и трассировка зарубается сразу). Однако аваст как- то обновляется ><. Лечил всем что было аваст/нод/авг/симантек. Пойманы кидо, конфикер и другие, сейчас работает стабильно, но доступа в инет на обновления и прочее нету.
Последний раз редактировалось Блохастик; 17.03.2009 в 20:52.
Я ж писал, что фиксить.
1) Если у Вас несколько инфицированных операционных систем или компьютеров, то Вам следует оформлять каждую систему отдельным запросом.
Я пока писал, не видел Ваш ответ.
чисто.
Спасибо ) Завтра отдельно выложу другую машину. Там я хз как и чем ее лечить, а "убивать" нельзя /
Добавлено через 2 часа 43 минуты
Посмотрел по логам, теперь думаю часть сам смогу " отлавливать " не напрягая форум. Есть руководство по составлению скрипта? Как начать и добавлять увидел, теоретически как находить тоже. Не совсем ясно откуда в 1 скрипте сразу выпал ВНО, дальше вроде видно. Если инфа не сугубо секретная. LF руководство) если секретная - сотрите сообщение ))) Спасибо.
Последний раз редактировалось Блохастик; 17.03.2009 в 23:41. Причина: Добавлено
Почитайте. http://virusinfo.info/showthread.php?t=15090
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 22
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\etsgvbnd.dll - HEUR:Trojan.Win32.Generic( BitDefender: Gen:Trojan.Heur.Vundo.7018E7D7D7 )
- c:\windows\system32\eunwgf.dll - HEUR:Trojan.Win32.Generic( BitDefender: Gen:Trojan.Heur.Vundo.7018E7D7D7 )
- c:\windows\system32\kvqgjg.dll - HEUR:Trojan.Win32.Generic( BitDefender: Gen:Trojan.Heur.Vundo.7018E7D7D7 )
- c:\windows\system32\lyqudost.dll - HEUR:Trojan.Win32.Generic( BitDefender: Gen:Trojan.Heur.Vundo.7018E7D7D7 )
- c:\windows\system32\mljbtklb.dll - HEUR:Trojan.Win32.Generic( BitDefender: Gen:Trojan.Heur.Vundo.2149B68686 )
- c:\windows\system32\pmnoljix.dll - HEUR:Trojan.Win32.Generic( BitDefender: Gen:Trojan.Heur.Vundo.2048B78787 )
- c:\windows\system32\rsdsblbu.dll - HEUR:Trojan.Win32.Generic( BitDefender: Gen:Trojan.Heur.Vundo.4028D7E7E7 )
Уважаемый(ая) Блохастик, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
