QuarantineFile('C:\WINDOWS\urrsqp.dll','');
Что с этим файлом?
QuarantineFile('C:\WINDOWS\urrsqp.dll','');
Что с этим файлом?
Итог с jotti
Scan taken on 28 Apr 2007 10:06:22 (GMT)
A-Squared Found nothing
AntiVir Found TR/PCK.Klone.K.22
ArcaVir Found Trojan.Packed.Klone.K
Avast Found nothing
AVG Antivirus Found Generic3.VJA
BitDefender Found Trojan.BHO.AW
ClamAV Found nothing
Dr.Web Found BackDoor.Iterator
F-Prot Antivirus Found nothing
F-Secure Anti-Virus Found Packed.Win32.Klone.k
Fortinet Found nothing
Kaspersky Anti-Virus Found Packed.Win32.Klone.k
NOD32 Found nothing
Norman Virus Control Found W32/Suspicious_U.gen
Panda Antivirus Found Trj/Downloader.OCJ
Rising Antivirus Found nothing
VirusBuster Found Packed/Upack
VBA32 Found nothing
Скриптик для удаления.
После исполнения логи в студию, тьфу, в тему.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\urrsqp.dll'); RebootWindows(true); end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Выполнено. При перезагрузке проявилась ошибка - "Ошибка загрузки - не найден путь". В логе есть строчка с этим файлом. Так понимаю - надо пофиксить?
Пофиксите это:
Код:O4 - HKLM\..\Run: [InfoData] rundll32.exe "C:\WINDOWS\urrsqp.dll",realset O20 - AppInit_DLLs:
Порядок. Комп ведет себя совсем иначе.
Большое спасибо за оказанную помощь и за проявленное терпение!
Логи из темы можно удалить?
Извиняюсь. Еще не все.
Поставил BitDefender 10
При сканировании обнаружилось: Trojan.Horse.Pws.Ldpinch.DQY
каждый раз после перезагрузки находится снова. Как прибить? откуда корни? В яндексе по запросу "Trojan.Horse.Pws.Ldpinch.DQY" 4 ссылки с аналогичными ситуациями. И вирус ли это? кто-то обращался в службу поддержки майл.ру - ему посоветовали отключить антивирус. Файлы могу выслать.
Последний раз редактировалось WhiteWolf; 03.05.2007 в 11:35. Причина: переоформил логи
@WhiteWolf
Выполните скрипт
После перезагрузки закачайте новые логи по правилам.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\Documents and Settings\Dmitry\Application Data\Mra\Update\menu.dll' ); DeleteFile('C:\Documents and Settings\Dmitry\Application Data\Mra\Update\menu_1.dll' ); RebootWindows(true); end.
Попробуйте просканировать ПК Bitdefender ом в безопасном модусе.
Последний раз редактировалось Rene-gad; 03.05.2007 в 11:55.
Спасибо. Сейчас сделаю.
Логи категорически по правилам? Даже антивирусные отчеты?
Rene-gad, Белый Волк конечно собака, более того, собака серая , а у вас молоко убежало и Вы, наверное, его ловить убегали, потому как закрывающих одиночных кавычек в текстовом параметре нет.
А зачем сразу убивать? надо бы сначала закарантинить для исследования
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Никакой бяки. Есть кнопучка "проверить синтаксис" и немного понимания о програмизме. Файлики и не убилися. Вернее убилися - но постоянно выходят в рейнкарнацию без модификаций. С тем же именем. Восстановление системы отключено. Всплывает переодически варнинг от BitDefender'а с ругательством на эту пару файлов.
Дефендер в защищенном режиме не загрузился, в его папке отсутствуют ЕХЕ файлы отвечающие за загрузку сервисов Дефендера. Где делись - не пойму. В стандартном режиме все грузится и работает, хотя файлов в папке установки дефендера по прежнему нет. Разбираюсь.
Логи HijackThis прилагаются. Смущает строка:
1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://216.95.196.22/dc/20371783/461...176712801.html
судя по всему - доменного имени соответствующего этому ip нет. сам ip находится в Канаде. по информации NIC.RU:
-------------------------------------------------------------------------
OrgName: MCI Communications Services, Inc. d/b/a Verizon Business
OrgID: MCICS
Address: 22001 Loudoun County Pkwy
City: Ashburn
StateProv: VA
PostalCode: 20147
Country: US
NetRange: 216.94.0.0 - 216.95.255.255
CIDR: 216.94.0.0/15
NetName: UUNETCA6-A
NetHandle: NET-216-94-0-0-1
Parent: NET-216-0-0-0-0
NetType: Direct Allocation
NameServer: NS.UUNET.CA
NameServer: NS2.UUNET.CA
NameServer: AUTH01.NS.UU.NET
Comment:
RegDate:
Updated: 2006-12-14
---------------------------------------------------------------------
Типа тамошний провайдер. Я так понимаю.
Файлики от М.агента с подозрением на вирус - отправлю чуть позже.
Последний раз редактировалось WhiteWolf; 03.05.2007 в 18:40.
Пока выковыривал файлики из карантина, нашел куда делись файлы в BitDefender. Вместо штатного места валяются в Common files. В защищенном режиме не пробовал перегружаться и запускать.
Подозрительные файлики отправил.
Файл сохранён как 070503_182528_Update_4639f0d82147f.zip
Размер файла 33384
MD5 432ae88737dcf9efea3c7b4391346560
Update по имени папки в которой лежало. см. пред лог от дефендера. Два файла с одинаковым размером. Судя по всему - одно и тоже но разные чуток названия.
Вопрос остается - что делать: забить, сменить антивир(может быть ложное срабатывание?), перестать пользоваться агентом.
Файлики то проверим, но интересно откуда ноги растут. Где их вы нашли?
Наверное, все-таки сделать логи, так на всякий случай
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Логи, похоже благодаря дефендеру, благополучно не загрузились. Исправил пост выше. добавил лог. Что за скрипт у вас для загрузки логов, что только при отключении "стенки", монитора и скрипт чекера удалось прогрузить через дефендер?
Итог по menu.dll с virustotal
Новый вариант "пинча". К завтрашнему дню скорее всего добавиться к Касперскому.Код:BitDefender 7.2 05.03.2007 Trojan.Horse.Pws.Ldpinch.DQY CAT-QuickHeal 9.00 05.03.2007 no virus found ClamAV devel-20070416 05.03.2007 no virus found DrWeb 4.33 05.03.2007 no virus found eSafe 7.0.15.0 05.03.2007 no virus found eTrust-Vet 30.7.3612 05.03.2007 no virus found Ewido 4.0 05.03.2007 no virus found FileAdvisor 1 05.03.2007 No threat detected Fortinet 2.85.0.0 05.03.2007 W32/Lineage.ACN!tr.pws F-Prot 4.3.2.48 05.02.2007 no virus found F-Secure 6.70.13030.0 05.03.2007 W32/LdPinch.IYH Ikarus T3.1.1.7 05.03.2007 Trojan.Horse.Pws.Ldpinch.DQY Kaspersky 4.0.2.24 05.03.2007 no virus found McAfee 5022 05.02.2007 no virus found Microsoft 1.2503 05.03.2007 no virus found NOD32v2 2236 05.03.2007 no virus found Norman 5.80.02 05.02.2007 W32/LdPinch.IYH Panda 9.0.0.4 05.03.2007 Suspicious file
Придется Вам все свои пароли менять.
Можно воспользоваться скриптом для удаления этого добра, только в защищенном режиме.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
А строчка из лога - с ней что делать?
Пинч - что есть такое? Мелкая зубастая собаченка Пинчер тырящая пароли?
пароли - все все или только те, которые набивались, или те, которые копипастились?. А уважемый Касперский случайно утилитки не сделает для вычищания этой пакости? оно постоянно в папке обновления майл ру агента появляется. откуда - никак не пойму. Возможно оно само его засасывает. Завтра логи прокси посмотрю внимательно. может что накопаю.
Блин. Страшно за комп садиться... Нужен мощный выжигатель, выжигать всякую заразу...
впору задуматься об установке в качестве внешнего шлюза ось семейства BSD и ручками понастраивать стенку и мониторинг с перебросом дампов трафика куда-нибудь по каким нить нетипичным признакам....
добавление
в агенте автоапдет не отключается. я такую галку не нашел.
Последний раз редактировалось WhiteWolf; 03.05.2007 в 19:05. Причина: добавление
Такой вопрос: может этот файлик на самом деле нужен? Ведь агент позволяет при запуске сквозняком регистриться на майл ру. Может как раз это его свойство опознается как врусная активность?
Такс, через 20 минут до дому. хватит. В конце концов у меня сеня день варенья.......
В принципе, конечно, есть вариант, что это просто приблуда для передачи паролей майл-агенту.
З.Ы.У меня через 2 дня, но как-то не радует. Я в смысле день варенья.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Уважаемый(ая) WhiteWolf, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.