Win32:VB-NPD [Drp]

**Yury_md** · 10.11.2009, 14:03

На рабочей машине однажды аваст стал ловить .tmp файлы с диагнозом Win32:VB-NPD [Drp]. Удалял, появлялись периодически снова. Никаких левых сайтов, софта или скриптов в последнее время не загружалось.
В безопасном режиме проверил полностью машину как авастом, там и cureit, были найдены и удалены некоторые файлы. Но сразу после перезагрузки аваст снова выловил завирусованные tmp.

Только что первый раз прошёлся AVZ, ушёл на перезагрузку, и с ходу аваст видит в windows\system32\inqk.hgo троян под именем Win32

ficla-D [Trj].

логи прилагаются

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**DefesT** · 10.11.2009, 14:22

Пофиксите в Hijackthis:

Код:

R3 - URLSearchHook: QIPBHO Class - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - C:\Documents and Settings\Eji\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll
R3 - URLSearchHook: (no name) -  - (no file)

Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Program Files\ajc.exe','');
 QuarantineFile('C:\WINDOWS\system32\3.tmp','');
 QuarantineFile('C:\WINDOWS\system32\hash2.dll','');
 QuarantineFile('C:\WINDOWS\system32\apihook.dll','');
 QuarantineFile('C:\WINDOWS\system32\inqk.hgo','');
 DeleteService('MEMSWEEP2');
 DeleteFile('C:\WINDOWS\system32\inqk.hgo');
 DeleteFile('C:\WINDOWS\system32\3.tmp');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!!!
Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам

**Yury_md** · 10.11.2009, 15:19

повторяю логи, карантин выслан

**AndreyKa** · 11.11.2009, 00:29

Не видно ничего подозрительного. Проблема решена?

**Yury_md** · 11.11.2009, 18:57

вот, пока сутки ничего не вылазит, спасибо за помощь! надеюсь больше не появятся.
на будущее, чтобы сюда не обращаться, откуда могли такие лезть вири, которые не убиваются ни др.вебом, ни авастом, ни avz в безопасном режиме?

**AndreyKa** · 11.11.2009, 19:18

Из Интернета через дыры в Windows, браузерах и плагинах к ним.

**Yury_md** · 11.11.2009, 23:14

ясно. ну, слава нло, пока всё тихо. спасибо ещё раз.

**CyberHelper** · 12.11.2009, 23:14

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 13
В ходе лечения вредоносные программы в карантинах не обнаружены

Win32:VB-NPD [Drp] (заявка № 59818)

Опции темы

Win32:VB-NPD [Drp]

Итог лечения

Похожие темы

Win32:Rootkit-gen [Rtk], Win32:Malware-gen в msxml3.dll,Win32:Agent-ACTH [Trj],AutoIt:Balero-C [Wrm] как вам мой комплект???

Набор: Virus.Win32.Sality.q , Worm.Win32.Delf.Ir , Trojan-Dropper win32 agent.ahlx подробнее в теме

Компьютер заразился: win32/Nuwar, win32/TrojanDropper.VB.NFW, win32/Genetic, win32/Agent.NOV (по NOD32)

Притомаживает комп. При проверке нашлись Win32:Agent-YHH, Win32:Zbot-OE, Win32:Rootkit-gen, Win32:Trojan-gen

Email-Worm.Win32.Womble.a, Exploit.Win32.IMG-WMF.y, not-a-virus:RemoteAdmin.Win32.RAd

Ваши права в разделе