Trojan horse BHO.BDQ

Printable View

24.09.2007, 21:41
Olezh1g

Вложений: 3

Trojan horse BHO.BDQ

Здравствуйте! Помогите решить следующую проблему - когда захожу в любую папку, то антивирь выдает предупреждение, что заражен такой-то файл, заразил Trojan horse BHO.BDQ
удалить вручную файл не могу

Полагаюсь на ващу помощь!
24.09.2007, 21:56
drongo

1.Отключить антивирус и интернет.

2.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )[code]F2 - REG:system.ini: UserInit=D:\WINDOWS\system32\userinit.exe,D:\WINDOWS\System32\ntos.exe,
O2 - BHO: (no name) - {A60FF761-176D-44AF-BC7A-4A96017529BC} - d:\windows\system32\jotvgsbu.dll (file missing)
O2 - BHO: (no name) - {E5E8C2B6-B270-465B-B795-40308CFB9AC2} - d:\windows\system32\dgnetn.dll
O20 - Winlogon Notify: cyhgiapx - D:\WINDOWS\SYSTEM32\dgnetn.dll[/code]

3.AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
[code]

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('d:\windows\system32\dgnetn.dll','');
QuarantineFile('d:\windows\system32\jotvgsbu.dll','');
QuarantineFile('D:\WINDOWS\System32\ntos.exe','');
QuarantineFile('D:\WINDOWS\System32\drivers\aliymqbd.sys','');
DeleteFile('D:\WINDOWS\System32\ntos.exe');
DeleteFile('d:\windows\system32\jotvgsbu.dll');
DeleteFile('d:\windows\system32\dgnetn.dll');
DeleteFile('D:\WINDOWS\System32\drivers\aliymqbd.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(9);
RebootWindows(true);
end.
[/code]
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=12720[/url]

[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]

Выполнить пункт 2 правил как написано .
новые логи сделать после этого и прикрепить к следующему ответу.
25.09.2007, 00:00
Olezh1g

[QUOTE=drongo;137464]1.Отключить антивирус и интернет.
[/QUOTE]
насчет интернета, у меня ХР, заходим контрол панел, network connections, тыкаем правой на local area connection и выбираем disable - так? а потом уже выполняем все остальные пункты.
прост никада не отключал инет )
25.09.2007, 00:09
V_Bond

[QUOTE=Olezh1g;137487]насчет интернета, у меня ХР, заходим контрол панел, network connections, тыкаем правой на local area connection и выбираем disable - так? а потом уже выполняем все остальные пункты.
прост никада не отключал инет )[/QUOTE] именно ... ;)
25.09.2007, 09:52
SuperBrat

Можно ручками - выдернуть сетевой кабель (телефонный шнур). ;)
25.09.2007, 15:19
Olezh1g

Вложений: 3

карантин отослал вчера вечером

все правильно сделал?
25.09.2007, 15:26
drongo

dgnetn.dll - Trojan-Clicker.Win32.Delf.in (kaspersky)
aliymqbd.sys - Rootkit.Win32.Agent.iy (kaspersky)
[url]http://virusinfo.info/showpost.php?p=137692&postcount=302[/url]

Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[code]O20 - Winlogon Notify: cyhgiapx - dgnetn.dll (file missing)[/code]

Я так понимаю комп домашний ?
Локалка есть ? (то есть сеть из нескольких компьютеров)?
Если домашний и без локалки - смело можно закрыть лишние дырки вот этим скриптом :

[code]begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('Alerter', 4);
SetServiceStart('Messenger', 4);
SetServiceStart('TlntSvr', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.[/code]

Чтобы уменьшить шанс заражения, на будущее :
1) Работать за компьютером с правами ограниченного пользователя.
2) Пользоваться для хождения по интернету альтернативным браузером [b]с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты [/b]([url=http://virusinfo.info/showthread.php?p=121290#post121290]Firefox[/url] и [url=http://virusinfo.info/showthread.php?t=6577]Opera[/url] это позволяют делать в отличии от IE 7 ,6....)
3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": [url]http://security-advisory.newmail.ru[/url]

Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов : [url]http://virusinfo.info/showthread.php?t=3519[/url]
Мы будем Вам очень благодарны!

Удачи!

P.S.что нашёл cureit4.44 ?
25.09.2007, 15:55
Olezh1g

щас все выполню!
да, комп домашний, других компов, подключенных к нему нет.
2 скрипт в АВЗ выполнять?

1) как сделать права ограниченного пользователя? типа Guest?
мой папа был за компом, прихожу со школы - а тут такое, не первый раз уже такое. раньше просто сносил винду, знакомые посоветовали этот форум. я был поражен оперативностью, спасибо большое что помогли мне, а не проигнорили ))
2) как поставить отключенные скрипты в ИЕ? я только через оперу сижу, а отец через ИЕ заходит.
3) прочитаю обязательно, пасип )

попробую помочь

PS cureit нашел в общей сложности 51 зловредную прогу, в том числе и файлы, которые были помещены в карантин АВГ.
25.09.2007, 16:06
drongo

1)[url]http://virusinfo.info/showthread.php?t=8090[/url]
2)Бил Гейтс и другие не хотят делать удобную опцию для этого.можно запретить совсем , но это не удобно так как для нужных сайтов каждый раз лезть глубоко в настройки ;)не думаю что кто-то это делает ;)
Проще поставить на firefox шкурку аля експлорер7 ;)Сказать папе :эксплорер обновился ;) a айкон explorer с рабочего стола сотри .
В фаэрволe запрети выход explorer в сеть кроме сайта обновлений винды;)а настройки правил под пароль ;)
P.s скрипт выполнить в AVZ- дабы закрыть дырки, не забудь пофиксить строку.:
O20 - Winlogon Notify: cyhgiapx - dgnetn.dll (file missing)
25.09.2007, 16:16
Olezh1g

[QUOTE=drongo;137700]1)[url]http://virusinfo.info/showthread.php?t=8090[/url]
2)Бил Гейтс и другие не хотят делать удобную опцию для этого.можно запретить совсем , но это не удобно так как для нужных сайтов каждый раз лезть глубоко в настройки ;)не думаю что кто-то это делает ;)
Проще поставить на firefox шкурку аля експлорер7 ;)Сказать папе :эксплорер обновился ;) a айкон explorer с рабочего стола сотри .
В фаэрволe запрети выход explorer в сеть кроме сайта обновлений винды;)а настройки правил под пароль ;)
P.s скрипт выполнить в AVZ- дабы закрыть дырки, не забудь пофиксить строку.:
O20 - Winlogon Notify: cyhgiapx - dgnetn.dll (file missing)[/QUOTE]
оки, спасибо большое еще раз! вы молодцы - помогаете простым юзерам, просто РЕСПЕКТ! =)
поставлю фаерфокс )
удачи!

строку пофиксил, в АВЗ все сделал. все пашет )
22.02.2009, 02:29
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]10[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] d:\\windows\\system32\\dgnetn.dll - [B]Trojan-Clicker.Win32.Delf.in[/B] (DrWEB: Trojan.Click.4444)[*] d:\\windows\\system32\\drivers\\aliymqbd.sys - [B]Rootkit.Win32.Agent.iy[/B] (DrWEB: Trojan.NtRootKit.394)[/LIST][/LIST]