ребята помогите...подхватил хрень

Printable View

01.07.2007, 14:33
tur

Вложений: 3

ребята помогите...подхватил хрень

вобщем когда выхожу в инет сразу идет скачивание с моего компа....и ещё по любой ссылке иду, начал выдавать-страница не найдена...помогите загубить:)
01.07.2007, 14:48
Bratez

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\docume~1\drug\applic~1\foraud~1\Pop Software Bolt.exe','');
QuarantineFile('C:\WINDOWS\System32\ipv6monl.dll','');
QuarantineFile('winyvo32.dll','');
QuarantineFile('mstask.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\Dateclosearmybolt\AimJump.exe','');
QuarantineFile('C:\DOCUME~1\drug\APPLIC~1\FORAUD~1\Love 01 active.exe','');
DeleteFile('C:\WINDOWS\System32\ipv6monl.dll');
DeleteFile('C:\*.tmp');
DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temp\*.*');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temp\*.*');
DeleteFile('C:\Documents and Settings\drug\Local Settings\Temp\*.*');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
Пофиксите в HijackThis:
[code]
R3 - URLSearchHook: (no name) - {A8BD6820-6ED7-423E-9558-2D1486B0FEEA} - C:\Program Files\DeluxeCommunications\DxcBho.dll (file missing)
O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - C:\WINDOWS\System32\ipv6monl.dll (file missing)
O15 - Trusted Zone: *.p0rt2.com
O20 - Winlogon Notify: winyvo32 - winyvo32.dll (file missing)
O21 - SSODL: DCOM Server 60787 - {2C1CD3D7-86AC-4068-93BC-A02304B60787} - (no file)
O21 - SSODL: Internet Explorer - {F28A40D7-AD0E-034A-C651-5F0ED76232E6} - (no file)
[/code]
01.07.2007, 15:35
tur

прислал пофиксил жду
01.07.2007, 16:33
Bratez

Выполните такой скрипт:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\docume~1\drug\applic~1\foraud~1\Pop Software Bolt.exe','');
QuarantineFile('mstask.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\Dateclosearmybolt\AimJump.exe','');
QuarantineFile('C:\DOCUME~1\drug\APPLIC~1\FORAUD~1\Love 01 active.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки пришлите новый карантин, если он не окажется пустым.
01.07.2007, 16:42
tur

прислал
01.07.2007, 16:49
Bratez

Похоже, их действительно нет.
Пофиксите еще это:
[code]
O4 - HKLM\..\Run: [Armyboltcashpile] C:\Documents and Settings\All Users\Application Data\Dateclosearmybolt\AimJump.exe
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKCU\..\Run: [Bat Second] C:\DOCUME~1\drug\APPLIC~1\FORAUD~1\Love 01 active.exe
[/code]
Удалите в планировщике задание, которое не от Симантека.
Перезагрузитесь и сделайте новые логи.
01.07.2007, 17:01
tur

"Удалите в планировщике задание, которое не от Симантека.
Перезагрузитесь и сделайте новые логи."-извините,а можно подробней?(а то я не особо понял че надо сделать)-спасибо
01.07.2007, 17:09
Bratez

Панель управления - Назначенные задания, там их два.
Symantec Net Detect оставьте, второе удалите.
Впрочем, можно оба удалить, ничего не потеряете.
01.07.2007, 18:12
tur

Вложений: 3

загрузил жду
01.07.2007, 18:24
Bratez

Ну дак вы в Планировщике Симантека удалили, а второе оставили! :)
Или его там не видно? В AVZ откройте Сервис - Менеждер планировщика заданий и удалите то что там есть.
Потом выполните скрипт:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ShellExtj.exe','');
DeleteFile('C:\Documents and Settings\drug\Local Settings\Temporary Internet Files\Content.IE5\UDUR07GV\WindowsXP-KB932168-x86-ENG[1].exe');
DeleteFile('C:\*.tmp');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки пришлите новый карантин по правилам.
01.07.2007, 18:35
tur

да..не видно было в планировщике...
вроде сделал все по правилам
загрузил
01.07.2007, 18:44
Bratez

Поймался еще один - Packed.Win32.PolyCrypt.b
Выполните скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\ShellExtj.exe');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
После перезагрузки сделайте новые логи.
01.07.2007, 19:33
tur

Вложений: 3

загрузил новые логи
02.07.2007, 07:01
tur

по моему загубили вирус
Спасибо;)
02.07.2007, 08:27
Bratez

Выполните скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\*.tmp');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки проверьте, не появятся ли снова .[I]tmp[/I] файлы в корне диска C:. Для этого в Свойствах папки - Вид включите показ скрытых и системных файлов.

И еще, пока не забыл - вам надо срочно "фиксить" вот это:
[QUOTE]Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)[/QUOTE]
т.е. ставить SP2 + последующие обновления, иначе система долго не продержится. Только имейте ввиду, что потребуется повторная активация, а ваш старый кряк не сработает.
04.07.2007, 15:09
tur

при запуске скрипта-пишет ошибка в позиции 4:12
04.07.2007, 15:13
drongo

[quote=tur;120329]при запуске скрипта-пишет ошибка в позиции 4:12[/quote]
исправил.
04.07.2007, 15:24
tur

"После перезагрузки проверьте, не появятся ли снова .tmp файлы в корне диска C:. "-появились,что надо сделать?
04.07.2007, 17:36
Bratez

[QUOTE]"-появились,что надо сделать?[/QUOTE]
Непонятно. Вроде уже чисто в системе.
Локалка есть? Диск С: не расшарен случайно?
Имхо, теперь читайте снова сообщение #15 и выполняйте с конца:
обновить систему, потом скрипт по-новой, а тогда уже подумаем.
22.02.2009, 02:00
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]22[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\drug\\local settings\\temporary internet files\\content.ie5\\udur07gv\\windowsxp-kb932168-x86-eng[1].exe - [B]Trojan-Spy.Win32.BZub.ix[/B] (DrWEB: Trojan.PWS.Tanspy)[*] c:\\d.tmp - [B]Trojan-Spy.Win32.BZub.ix[/B] (DrWEB: Trojan.PWS.Tanspy)[*] c:\\windows\\system32\\ipv6monl.dll - [B]Trojan-Spy.Win32.BZub.ix[/B] (DrWEB: Trojan.PWS.Tanspy)[*] c:\\windows\\system32\\shellextj.exe - [B]Packed.Win32.PolyCrypt.d[/B] (DrWEB: Trojan.Packed.166)[*] c:\\1a.tmp - [B]Trojan-Spy.Win32.BZub.ix[/B] (DrWEB: Trojan.PWS.Tanspy)[*] c:\\1e.tmp - [B]Trojan-Spy.Win32.BZub.ix[/B] (DrWEB: Trojan.PWS.Tanspy)[*] c:\\11.tmp - [B]Trojan-Spy.Win32.BZub.ix[/B] (DrWEB: Trojan.PWS.Tanspy)[*] c:\\16.tmp - [B]Trojan-Spy.Win32.BZub.ix[/B] (DrWEB: Trojan.PWS.Tanspy)[*] c:\\2a.tmp - [B]Trojan-Spy.Win32.BZub.ix[/B] (DrWEB: Trojan.PWS.Tanspy)[*] c:\\22.tmp - [B]Trojan-Spy.Win32.BZub.ix[/B] (DrWEB: Trojan.PWS.Tanspy)[*] c:\\26.tmp - [B]Trojan-Spy.Win32.BZub.ix[/B] (DrWEB: Trojan.PWS.Tanspy)[/LIST][/LIST]