Junior Member
Вес репутации
62
замучал ErrorSafe и WinAntiVirusPro2007
При подключении к инету и загрузке какой либо страницы, через время загружаются окна с предложением проверить комп и загрузить программы проверок то ErrorSafe , то WinAntiVirusPro2007. Отмены ничего не дают. Продолжает грузить новые страницы. Комп виснет или завершает работу браузера. работать стало невозможно.
Согласно правил прилагаю:
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINNT\system32\bhoSearchSpy.dll','');
QuarantineFile('C:\WINNT\system32\jimucauv.dll','');
QuarantineFile('C:\WINNT\system32\jkkli.dll','');
QuarantineFile('C:\WINNT\system32\hrhbfvnp.dll','');
QuarantineFile('C:\WINNT\system32\wvuvtqn.dll','');
QuarantineFile('C:\WINNT\system32\efedd.dll','');
QuarantineFile('C:\WINNT\system32\xplsass.exe','');
DeleteFile('C:\WINNT\Temp\*.*');
DeleteFile('C:\WINNT\Downloaded Program Files\UERSG_0001_N91M2908NetInstaller.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
I am not young enough to know everything...
Junior Member
Вес репутации
62
Пришел ли карантин, который вы запрашивали? Или надо повторить?
Карантин пришел, сейчас посмотрю, не убегайте надолго.
I am not young enough to know everything...
Junior Member
Вес репутации
62
на месте буду. Интересно сколько во Владике ща времени утро уже, если у меня два часа ночи?
Однозначно детектится только xplsass.exe - Backdoor.Win32.SdBot.yx
Выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINNT\system32\xplsass.exe');
BC_DeleteFile('C:\WINNT\system32\xplsass.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки пофиксите в HijackThis:
Код:
O2 - BHO: (no name) - {6070C203-F906-49A2-93AE-6DCD41BC897D} - (no file)
O2 - BHO: (no name) - {E2EE5C44-C66D-499d-BEAE-A2A79189A63A} - C:\WINNT\system32\jimucauv.dll (file missing)
O4 - HKCU\..\RunServices: [Ms System Config] xplsass.exe
O20 - Winlogon Notify: jkkli - C:\WINNT\system32\jkkli.dll (file missing)
По остальным отпишусь минут через 20.
P.S. У нас 10 утра
I am not young enough to know everything...
wvuvtqn.dll и efedd.dll - явные зловреды, но совсем свежие, никто не определяет. Так что вы тоже внесли свой скромный вклад в наше общее дело
1. Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINNT\SYSTEM32\wvuvtqn.dll');
DeleteFile('C:\WINNT\system32\efedd.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
2. Поищите с помощью AVZ файлы C:\WINNT\system32\svshost.exe и C:\Program.exe -
скорее всего их нет, но мало ли...
3. Пофиксите в HijackThis строки:
Код:
O2 - BHO: (no name) - {B9DC8096-C21E-4918-94F5-CF19093697E0} - C:\WINNT\system32\efedd.dll
O2 - BHO: (no name) - {CD1C0C84-288D-454C-A3F3-3505EFCE6145} - C:\WINNT\system32\wvuvtqn.dll
O20 - Winlogon Notify: efedd - C:\WINNT\system32\efedd.dll
O20 - Winlogon Notify: wvuvtqn - C:\WINNT\SYSTEM32\wvuvtqn.dll
O23 - Service: Logical Client Manager - Unknown owner - C:\WINNT\system32\svshost.exe (file missing)
O23 - Service: MySQL - Unknown owner - C:\Program.exe (file missing)
O23 - Service: Remote Usage Manager - Unknown owner - C:\WINNT\system32\svshost.exe (file missing)
O23 - Service: Shell Code Services - Unknown owner - C:\WINNT\system32\svshost.exe (file missing)
(посмотрите по ссылке в правилах, как фиксить строки с кодом О23).
4. Сделайте новые логи, начиная с п.10 правил.
I am not young enough to know everything...
Junior Member
Вес репутации
62
два вопроса, заранее извиняюсь, уточняюсь:
1. у меня винда 2000 SP4, (ничего?)
2. Для того чтобы пофиксить строку начинающуюся с O23 надо:...
В открывшемся диалоге ввести название службы ...
А в моем случае? это - Logical Client Manager
- MySQL ,
- Remote Usage Manager,
- Shell Code Services
Так?
Последний раз редактировалось ЛИСyou; 15.05.2007 в 04:46 .
Junior Member
Вес репутации
62
Вложения
1. Строчки с кодом О23 так и не удалось пофиксить? В принципе, если файлы не нашлись, то это не критично, просто мусор в реестре.
2. Вот это:
Код:
O1 - Hosts: 127.0.0.2 cracker
O17 - HKLM\System\CCS\Services\Tcpip\..\{9D15C0ED-2DF6-4CF9-871E-360BC4275521}: NameServer = 10.11.11.1
если прописывали не сами, пофиксите.
В остальном логи чистые. Надеюсь, проблема исчезла?
I am not young enough to know everything...
Junior Member
Вес репутации
62
да с кодом 023 не получилось, чего то, отказывался.
код 017 - это моя локалка, а вот 01 -?
Спасибо большое, все вроде тьфу- тьфу, в норме.
Стал нормально работать.
И вам удачи, молодцы!!!
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 18 В ходе лечения обнаружены вредоносные программы:
c:\\winnt\\system32\\bhosearchspy.dll - not-a-virus:AdWare.Win32.BHO.cu (DrWEB: Trojan.Searcher) c:\\winnt\\system32\\efedd.dll - not-a-virus:AdWare.Win32.Virtumonde.fp (DrWEB: Trojan.Virtumod) c:\\winnt\\system32\\wvuvtqn.dll - not-a-virus:AdWare.Win32.Virtumonde.jp (DrWEB: Trojan.Virtumod) c:\\winnt\\system32\\xplsass.exe - Backdoor.Win32.SdBot.yx (DrWEB: Win32.HLLW.MyBot)