У меня в системе завелся надоедливый ErrorSafe плюс имеется подозрение на 4 трояна. В работе компьютера последние себя не проявляют. Собственно логи прилагаются, а там все видно.
У меня в системе завелся надоедливый ErrorSafe плюс имеется подозрение на 4 трояна. В работе компьютера последние себя не проявляют. Собственно логи прилагаются, а там все видно.
AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
Прислать карантин согласно приложения 3 правилКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('D:\WINDOWS\system32\wvwxv.dll',''); QuarantineFile('D:\WINDOWS\system32\xxywvvv.dll',''); QuarantineFile('D:\WINDOWS\system32\vximodhc.dll',''); QuarantineFile('D:\WINDOWS\system32\ibxcgwbt.dll',''); QuarantineFile('D:\Documents and Settings\Игорь\Local Settings\Temp\plhprkgk.dll',''); QuarantineFile('D:\Documents and Settings\Марина\Local Settings\Temp\ynvptlpq.dll',''); QuarantineFile('D:\Program Files\P-CAD 2002\Utils\Drilltab.exe',''); QuarantineFile('D:\WINDOWS\system32\ejioumhq.dll',''); QuarantineFile('D:\WINDOWS\system32\ytcgpwgs.dll',''); RebootWindows(false); end.
Последний раз редактировалось drongo; 03.03.2007 в 12:34.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Файлы высланы.
Для тех кто ещё не качал 12 метров сообщаю... по DrWeb - Trojan.Virtumod (все)
D:\Documents and Settings\Игорь\Local Settings\Temp\plhprkgk.dll
D:\Documents and Settings\Марина\Local Settings\Temp\ynvptlpq.dll
D:\WINDOWS\system32\ejioumhq.dll
D:\WINDOWS\system32\ytcgpwgs.dll
D:\WINDOWS\system32\xxywvvv.dll
D:\WINDOWS\system32\wvwxv.dll
D:\WINDOWS\system32\vximodhc.dll
D:\WINDOWS\system32\ibxcgwbt.dll
AVZ - Файл - Выполнить скрипт:
Сделать новые логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('D:\WINDOWS\system32\wvwxv.dll'); DeleteFile('D:\WINDOWS\system32\xxywvvv.dll'); DeleteFile('D:\WINDOWS\system32\vximodhc.dll'); DeleteFile('D:\WINDOWS\system32\ibxcgwbt.dll'); DeleteFile('D:\Documents and Settings\Игорь\Local Settings\Temp\plhprkgk.dll'); DeleteFile('D:\Documents and Settings\Марина\Local Settings\Temp\ynvptlpq.dll'); DeleteFile('D:\WINDOWS\system32\ejioumhq.dll'); DeleteFile('D:\WINDOWS\system32\ytcgpwgs.dll'); ExecuteSysClean; RebootWindows(true); end.
Собственно по моим представлениям - не помогло. Новые логи прилагаются.
Попробуем еще раз.
Выполните скрипт в AVZ через меню Файл:
Сделайте новые логи. Вместе с ними приложите к теме файл boot_clr.log из папки AVZ.Код:begin SetAVZGuardStatus(True); DeleteFile('D:\WINDOWS\system32\wvwxv.dll'); DeleteFile('D:\WINDOWS\system32\xxywvvv.dll'); DeleteFile('D:\WINDOWS\system32\vximodhc.dll'); DeleteFile('D:\WINDOWS\system32\ibxcgwbt.dll'); DeleteFile('D:\WINDOWS\system32\ytcgpwgs.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_LogFile(GetAVZDirectory + 'boot_clr.log'); BC_Activate; RebootWindows(true); end.
PS. Судя по логу HijackThis у вас установлен DrWeb. Он этого трояна должен знать (если базы свежие).
Спасибо за совет. За вчерашний вечер удалось обхитрить его таким образом: у меня установлен system commander - менеджер загрузки. Во время одной из попыток загрузиться с диска он указал на то, что изменился размер свободной оперативки и какие-то адреса, предложил восстановить исходные. Я согласился, после чего в безопасном режиме родных виндов, покилял вредоносные файлы при помощи скрипта (см. выше). Однако первый файл убил руками, он даже не сопротивлялся. После этого еще несколько раз проверился АВЗ и добил оставшиеся подозрительные файлы. Теперь вроде все нормуль!
Еще раз спасибо за помощь.
D:\PROGRA~1\TEXTware\QUICKF~1\PlugIns\IEHelp.dll - AdWare.Win32.BHO.cc (KAV)
Удалите его через отложенное удаление в AVZ.
Указанный файл прихлопнул на лету без отложенного удаления, в тот раз, в который и остальные файлы. Вроде все наладилось...
Правда есть вопросик: VSAdd-In for Internet Explorer - он кто и как его прихлопнуть (у меня он неубивается штатными средствами) если понадобится??
Последний раз редактировалось Elephanten; 11.03.2007 в 22:24.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 38
- В ходе лечения обнаружены вредоносные программы:
- d:\\documents and settings\\игорь\\local settings\\temp\\plhprkgk.dll - Trojan-Spy.Win32.VBStat.h (DrWEB: Trojan.Virtumod)
- d:\\documents and settings\\марина\\local settings\\temp\\ynvptlpq.dll - Trojan-Spy.Win32.VBStat.h (DrWEB: Trojan.Virtumod)
- d:\\windows\\system32\\ejioumhq.dll - Trojan-Spy.Win32.VBStat.h (DrWEB: Trojan.Virtumod)
- d:\\windows\\system32\\ibxcgwbt.dll - Trojan.Win32.BHO.g (DrWEB: Trojan.Juan)
- d:\\windows\\system32\\vximodhc.dll - Trojan.Win32.BHO.g (DrWEB: Trojan.Virtumod)
- d:\\windows\\system32\\wvwxv.dll - not-a-virus:AdWare.Win32.Virtumonde.he (DrWEB: Trojan.Virtumod)
- d:\\windows\\system32\\xxywvvv.dll - not-a-virus:AdWare.Win32.Virtumonde.ha (DrWEB: Trojan.Virtumod)
- d:\\windows\\system32\\ytcgpwgs.dll - not-a-virus:AdWare.Win32.Virtumonde.gf (DrWEB: Trojan.Virtumod)
Уважаемый(ая) Elephanten, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.