Win32:Trojan-gen

[Lustmord]

Проблема в следующем, антивирь аваст обновляется , xp sp3, после некоторого времени запуска системы, находит этот троянчик в файле в system32/qpfbyjgd.dll и qpfbyjgd.bnv удалить/в карантин/лечить невозможно... особо никаких действий после него не видно, но сам факт очень настораживает... как от него избавиться?

[Макcим]

Сделайте лог Gmer

[Lustmord]

готово

[Макcим]

Выполните скрипт в AVZ

Код:

begin
 BC_DeleteSvcReg('ghfeerueq');
 BC_QrFile('C:\WINDOWS\system32\qpfbyjgd.dll');
 BC_DeleteFile('C:\WINDOWS\system32\qpfbyjgd.dll');
 BC_Activate;
 ExecuteWizard('TSW', 1, 1, true);
 ExecuteWizard('BT', 1, 1, true);
 RebootWindows(false);
end.

Загрузите карантин согласно приложению №3 правил. Выполните скрипт в Gmer

Код:

r05fju25.exe -killall 
r05fju25.exe -del service ghfeerueq
r05fju25.exe -killfile "C:\WINDOWS\system32\qpfbyjgd.dll"
r05fju25.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ghfeerueq"
r05fju25.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\ghfeerueq"
r05fju25.exe -reboot

Повторите логи.

[Lustmord]

итак имеем одну проблемку... Gmer не смог выполнить скрипт, напил что что-то типо на найден модуль в библиотеке и не найдено qpfbyjgd.dll... и после этого комп подвис, жёсткий ребут.. логи:

а да... не найден указанный модуль

[Макcим]

Вероятно это потому, что всё удалил AVZ. Скрипт Gmer - это контрольный выстрел в зловреда Радмин Вы сами ставили? Что с проблемой? Проведите пожалуйста процедуру, описанную в первом сообщении http://virusinfo.info/showthread.php?t=3519

[Lustmord]

Radmin да, ставил сам.... а что инфицированный? Да, кстати, файлик qpfbyjgd.bnv всё ещё находится в системе, его проверил, антивирь его в хранилище кинул...
Что это было-то такое? и зачем?
Огромное спасибо за помощь!!!
Всегда рекомендую ваш сайт всем клиентам инета

Добавлено через 1 час 5 минут

Да кстати, теперь вот появилась ещё одна проблема с правами доступа! Ни одна прога не запускается, доп. права как администратору (себе) проставил. Хотя сам таковым и являюсь). Но бесполезно. Не открывается ничего(((

Добавлено через 1 час 0 минут

Так... с правами после ребута проблема решилась, но вот аваст встал мёртвым грузом... ни одно защита не работает, переустановка не помогла, службы тоже не включаются. (ошибка 1035 кажись). Слетели дрова на Aver Media... что-то винда плохеет, а файлик с вирусом точно также продолжает бодорствовать в систем32 (((. Его можно удалить и вручную, но он через некоторое время появляется о5.

Добавлено через 1 минуту

По поводу аваста грешил на AVZ, но все службы прогы выгружены

[Макcим]

Радмин нормальный, просто иногда его используют не в хороших целях. Сделайте повторные логи плюс вот это http://virusinfo.info/showthread.php?t=3519

[Lustmord]

Так всё... разобрался... проверил. Причиной было изменение прав на компе для системных папок. Изменил, ещё проверю каспером на вирусы, результаты с логами сообщю позже.

Добавлено через 5 минут

вот с этим http://virusinfo.info/showthread.php?t=3519 боюсь проблемно, ибо на инете на такая уж и скорость (исходящий канал не велик), грузиться буит долго, т.к. там достаточно крупные размеры файла

[Макcим]

вот с этим http://virusinfo.info/showthread.php?t=3519 боюсь проблемно, ибо на инете на такая уж и скорость (исходящий канал не велик), грузиться буит долго, т.к. там достаточно крупные размеры файла

Это не обязательно делать.

[Lustmord]

Проблема совсем не решена((( Каспер фиксирует как - http://www.securelist.com/ru/search?...ih&referer=kav
на компе было ещё несколько вирусов, правда как их опознал Каспер - рекламщики)
Логи чуть позже..

[Никита Соловьев]

Выполните: http://support.kaspersky.ru/faq/?qid=208636215
После сделайте новые логи

[Lustmord]

Да-да! Уже! =) Утилитка KK.exe от каспера и помогла! убила все джобы, всё заработало, так что вирус этот немного другое название имеет всё-таки другой нэйм видимо, в отличии от того, как его распознал аваст. Смысла в логах, видимо уже нет. Благодарю за помощь!

Добавлено через 8 минут

Прошу прощения... После некоторого затишья... оно выползло о5

[Никита Соловьев]

Повторите все действия, описанные в сообщении 13

[Lustmord]

А смысл? я проверял 435 порт по которому в основном бьёт данный вирус, его он не использует. Файла библиотек <rnd>.dll нигде нет. KillerK.exe не находит ничего, однако Каспер продолжает также истошно орать. Видел отчет, по таким же проблемам у кого-то ещё... Смысл тот же, только в карантине, присланном пострадавшим, администрация вирусов не нашла. Проблема однако имела место быть. Установил заплатку KB958644 (хотя она уже есть на sp3 и имеет место быть пока проблема "не вторглась в дом"), GMER подозрительного не видит ничего, скачал windows-kb890830-v3.0 (результата 0), CureIt вообще не видит ничего. В регистре подозрительно тоже нет ничего. Есть одна интересная ссылка в инете http://sysadmins.ru/topic221033.html - но практически все методы описанные там уже были опробованны, и рано или поздно, вирус всё равно себя успевает показать. Не могу понять одного: откуда источник!? Если вирус себя "докачивает" с нета, то почему не удается отследить его "часть".

[Никита Соловьев]

Компьютер подключен к локальной сети?

[Lustmord]

логи:

.

[Lustmord]

К локальной сети... ну по шлюзу от него подключается ещё один комп, но он чист (как не странно)

[Никита Соловьев]

В логах чисто

Компьютер подключен к локальной сети?

Вопрос актуален

[Lustmord]

К локальной сети... ну по шлюзу от него подключается ещё один комп, но он чист (как не странно)

Ну ответ тоже актуален.
Входит в группу mshome. подключен в инету - cat5e. (pptp, l2tp). Имеет выход в сетевое окружение. К данному компу подключен второй через шлюз (домашняя сеть или сеть малого офиса) - это можно видеть и в логах.

Добавлено через 2 минуты

локальной сетью можно назвать и подключение 2-х компов между собой кстати говоря))