Помогите Errorsafe

**Димон** · 14.04.2007, 12:11

Приветствую....парни помогите со вчерашнего вечера бъюсь с этим Errorsafom, всю ночь не спал, работать нужно, я понимаю что уже было много постов, но ни как не могу разобраться....может и еще чего помимо него есть.. (( Dr.Web Сurelt находит троян, Virtumod..лечит - он опять появляется...файлы gebcd.dll и pmnomjg.dll....

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**drongo** · 14.04.2007, 12:15

http://virusinfo.info/showthread.php?t=1235

**drongo** · 14.04.2007, 13:32

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\bquocrna.dll','');
 QuarantineFile('C:\WINDOWS\system32\pmnomjg.dll','');
 QuarantineFile('C:\WINDOWS\system32\gebcd.dll','');
RebootWindows(true);
end.

Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=8993........

P.s. Зачем вам часть симантека 2003 года c:\program files\common files\symantec shared\ccpd-lc\symlcsvc.exe ? у вас же аваст стоит . Или это от какой-то другой утилиты симантека ? Есть ли что нибудь на компе от symantec ?

**Димон** · 14.04.2007, 13:41

Да нет нету от Symanteca ничего( было но я удалил видимо не совсем...а как просто всю папку эту Symantec Shared удалить?

**drongo** · 14.04.2007, 13:52

Ну это можно оставить на потом

в safe mode загрузиться и убить папку .Вот ещё их родная утилита есть ftp://ftp.symantec.com/public/englis...moval_Tool.exe Главное: ваших зверьков прислать.Пришлите карантин, как сказал.

**Димон** · 14.04.2007, 13:54

Карантин послал...там два файла было gebcd.dll и pmnomjg.dll в архиве посланном четыре - два ini и два dta.
Спасиб за утильку - Symantec потер.)

**drongo** · 14.04.2007, 14:10

Давай тогда третьего друга попробуем найти :

Код:

begin
SearchRootkit(true, true);
ClearQuarantine();
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\bquocrna.dll','');
 BC_ImportQuarantineList;
BC_LogFile(GetAVZDirectory + 'boot_clr.log'); 
BC_Activate; 
RebootWindows(true);
end.

boot_clr.log из папки АВЗ прикрепить к данной теме и загрузить нам карантин по ссылке как в прошлый раз.

**Димон** · 14.04.2007, 14:27

Карантин отослал.

**Димон** · 14.04.2007, 14:40

AD Aware SE тоже находит что то постоянно и загружаться комп стал очень медленно...появляется фоновый рисунок и тормозит...

**drongo** · 14.04.2007, 14:47

Будем удалять гадость :

1.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )

Код:

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)

2.Выполнить :

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\system32\bquocrna.dll');
 DeleteFile('C:\WINDOWS\system32\pmnomjg.dll');
 DeleteFile('C:\WINDOWS\system32\gebcd.dll');
  BC_ImportALL;
 ExecuteSysClean;
 BC_LogFile(GetAVZDirectory + 'boot_clr.log');
 BC_Activate;
 RebootWindows(true);
end.

3.новые логи сделать для контроля и прикрепить.

P.S. Тут жили два варианта рекламного трояна Virtumod -вечная им память. Аминь ... http://virusinfo.info/showpost.php?p...&postcount=129

**Димон** · 14.04.2007, 15:02

Я сначала выполнил пункт 2 это не страшно? получилось профиксить после сканирования сам нашел эти строки...а когда сам вводил строки он не находил...

**Bratez** · 14.04.2007, 15:07

Не страшно, главное - пункт 3 не забудьте

**Димон** · 14.04.2007, 15:28

Ну как все впорядке? Заранее благодарен... AD-Aware все равно находит критические объекты...а Dr.Web нет...

**Bratez** · 14.04.2007, 15:41

Пофиксите в HijackThis:

Код:

O2 - BHO: (no name) - {67C55A8D-E808-4caa-9EA7-F77102DE0BB6} - C:\WINDOWS\system32\bquocrna.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {A416D604-EAA3-4618-958C-2ECA22414616} - C:\WINDOWS\system32\pmnomjg.dll (file missing)
O2 - BHO: (no name) - {F961979D-A957-4982-9B32-D13E7DFD91A9} - C:\WINDOWS\system32\gebcd.dll (file missing)
O20 - Winlogon Notify: gebcd - C:\WINDOWS\
O20 - Winlogon Notify: pmnomjg - pmnomjg.dll (file missing)

**Bratez** · 14.04.2007, 15:45

А еще драйвер остался симантековский. Можно удалить скриптом:

Код:

begin
 BC_DeleteSvc('symlcbrd');
 BC_Activate;
 RebootWindows(true);
end.

**Димон** · 14.04.2007, 16:13

Парни спасибо огроменное....выручили....

**Димон** · 14.04.2007, 16:21

AD Aware SE все равно говорит 3 files identified...мелочь но разражает так - вчера не находил ничего(( лечит их, но после перезагрузки опять находит...

**drongo** · 14.04.2007, 16:32

А что находит adaware se? а какая проблемма удалить самой adaware se?
можно поискать ссылки в реестре через АВЗ на эти 3 файла :
C:\WINDOWS\system32\bquocrna.dll
C:\WINDOWS\system32\pmnomjg.dll
C:\WINDOWS\system32\gebcd.dll
и удалить ...
http://z-oleg.com/secur/avz_doc/t_regsearch.htm

**Bratez** · 14.04.2007, 16:37

Adaware часто находит всякую чепуху

... Может это какие-нибудь "Tracking Cookie" или что-то в этом роде - можно не обращать внимание.

А логи совершенно чистые.

**Димон** · 14.04.2007, 16:38

находит какие то cookies...он их лечит а потом опять находит...

Помогите Errorsafe (заявка № 8993)

Опции темы

Помогите Errorsafe

boot_clr.log

Контрольный выстрел

re Контрольный выстрел...

Похожие темы

Errorsafe

Люди помогите!! Errorsafe атакует! TROJAN.VIRTUMOD

Помогите, вешаюсь от errorsafe и winantivirus:(((

Помогите люди добрые!errorsafe троян

errorsafe

Ваши права в разделе