-
Вложений: 3
Win32:TratBHO
avast! нашел вирус Win32:TratBHO [Trj] в файлах
C:\WINDOWS\system32\geedd.dll
C:\WINDOWS\system32\pmnnl.dll
C:\WINDOWS\system32\ctfmon.exe\[Embedded#049b0]
C:\WINDOWS\system32\dlidok.exe\[Embedded#20d98]
C:\WINDOWS\system32\dvysevr.exe\[Embedded#20d98]
C:\WINDOWS\system32\gebcb.exe\[Embedded#00cdc]
C:\WINDOWS\system32\hieejphke.exe\[Embedded#20d98]
C:\WINDOWS\system32\julxcgaqbcl.exe\[Embedded#20d98]
C:\WINDOWS\system32\pmnnl.dll
и еще большом кол-ве файлов.
при этом мой компьютер начал рассылать спам (аваст сообщает о огромном кол-ве отправляемых писем, хотя я ничего не отправляю) вот пример:
Слишком много идентичных электронных писем в определенное время
Отправитель: "Jamaal Craft" <[email protected]>
Получатель: <[email protected]>; <[email protected]>,<[email protected],<[email protected],<[email protected]
Тема: lose 20 lbs in 3 weeks
-
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
StopService('uoarioqh');
QuarantineFile('C:\WINDOWS\vsnpstd.exe','');
QuarantineFile('C:\WINDOWS\system32\uhmxoux.exe','');
QuarantineFile('C:\WINDOWS\system32\julxcgaqbcl.exe','');
QuarantineFile('C:\WINDOWS\system32\hieejphke.exe','');
QuarantineFile('C:\WINDOWS\system32\gebcb.exe','');
QuarantineFile('C:\WINDOWS\system32\dlidok .exe','');
QuarantineFile('C:\WINDOWS\system32\tuvuvvs.dll','');
QuarantineFile('C:\WINDOWS\system32\ssqrpqq.dll','');
QuarantineFile('C:\WINDOWS\system32\pmnopoo.dll','');
QuarantineFile('C:\WINDOWS\system32\msgnlive.exe','');
QuarantineFile('C:\WINDOWS\system32\mljhhhf.dll','');
QuarantineFile('C:\WINDOWS\system32\gebcb.dll','');
QuarantineFile('C:\WINDOWS\system32\fccawur.dll','');
QuarantineFile('C:\WINDOWS\system32\dvysevr.exe','');
QuarantineFile('C:\WINDOWS\system32\dsnpstd.ax','');
QuarantineFile('C:\WINDOWS\system32\cbxxvsr.dll','');
QuarantineFile('C:\WINDOWS\system32\cbxwvvt.dll','');
QuarantineFile('c:\windows\system32\yncit.exe','');
QuarantineFile('c:\windows\system32\yncit .exe','');
QuarantineFile('c:\windows\system32\msgnlive.exe','');
QuarantineFile('c:\windows\system32\dvysevr.exe','');
QuarantineFile('c:\windows\system32\ctfmon.exe','');
DeleteFile('c:\windows\system32\dvysevr.exe');
DeleteFile('c:\windows\system32\msgnlive.exe');
DeleteFile('c:\windows\system32\yncit .exe');
DeleteFile('c:\windows\system32\yncit.exe');
DeleteFile('C:\WINDOWS\system32\cbxwvvt.dll');
DeleteFile('C:\WINDOWS\system32\cbxxvsr.dll');
DeleteFile('C:\WINDOWS\system32\dvysevr.exe');
DeleteFile('C:\WINDOWS\system32\fccawur.dll');
DeleteFile('C:\WINDOWS\system32\gebcb.dll');
DeleteFile('C:\WINDOWS\system32\mljhhhf.dll');
DeleteFile('C:\WINDOWS\system32\msgnlive.exe');
DeleteFile('C:\WINDOWS\system32\pmnopoo.dll');
DeleteFile('C:\WINDOWS\system32\ssqrpqq.dll');
DeleteFile('C:\WINDOWS\system32\tuvuvvs.dll');
DeleteFile('C:\WINDOWS\system32\dlidok .exe');
DeleteFile('C:\WINDOWS\system32\gebcb.exe');
DeleteFile('C:\WINDOWS\system32\hieejphke.exe');
DeleteFile('C:\WINDOWS\system32\julxcgaqbcl.exe');
DeleteFile('C:\WINDOWS\system32\uhmxoux.exe');
DeleteFile('C:\WINDOWS\vsnpstd.exe');
DeleteService('uoarioqh');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
ExecuteRepair(16);
RebootWindows(true);
end.[/CODE]Загрузите карантин согласно приложению №3 правил. Повторите логи.
-
А какие файлы из карантина присылать?
-
Вложений: 2
-
Пофиксите в HijackThis:
[code]
R3 - URLSearchHook: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll (file missing)
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {838063B6-43F9-44D6-97CB-8A213AF54B27} - C:\WINDOWS\system32\pmnopoo.dll (file missing)
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll (file missing)
O3 - Toolbar: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Documents and Settings\Администратор\Application Data\Mail.Ru\Agent\magent.exe (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Documents and Settings\Администратор\Application Data\Mail.Ru\Agent\magent.exe (file missing) (HKCU)
O20 - Winlogon Notify: pmnopoo - pmnopoo.dll (file missing)
[/code]
Выполните скрипт в AVZ:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\ASPMonitor\ASMonitor.exe','');
QuarantineFile('C:\WINDOWS\CameraFixer .exe','');
QuarantineFile('C:\Program Files\Common Files\Nero\Lib\NMBgMonitor .exe','');
DeleteFile('C:\WINDOWS\system32\dlidok .exe');
DeleteFile('C:\WINDOWS\system32\dlidok.exe');
DeleteFile('C:\WINDOWS\system32\dvysevr .exe');
DeleteFile('C:\WINDOWS\system32\gebcb.exe');
DeleteFile('C:\WINDOWS\system32\uuqwlco.exe');
DeleteFile('C:\WINDOWS\CameraFixer .exe');
DeleteFile('C:\Program Files\Common Files\Nero\Lib\NMBgMonitor .exe');
BC_ImportALL;
DeleteService('uoarioqh');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил
-
скрипты выполнил, карантин выслал
-
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Program Files\ASPMonitor\ASMonitor.exe');
DeleteFile('C:\Program Files\ASPMonitor\hk.dll');
DeleteFile('C:\Program Files\ASPMonitor\hprog.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Сделайте новые логи.
-
Вложений: 2
-
Что-то странное у вас происходит в системе... Первый раз такое вижу.
Скачайте свежий CureIt ([url]http://www.drweb.ru/download/1028/[/url]) и сделайте [b]полную[/b] проверку в безопасном режиме. После этого повторите логи.
-
[QUOTE]410 Ссылка больше не используется[/QUOTE]
p.s. после каждой перезагрузки в систем32 появляется зараженный файл gebcb.dll
-
Пардон, вот свежая ссылка:
[url]http://www.drweb.ru/download/51/[/url]
-
Вложений: 2
вот логи после проверки в безопасном режиме.
-
пофиксите ...
[code]
O4 - HKLM\..\Run: [Windows Live Messages] msgnlive.exe
[/code]
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\gebcb.exe');
BC_DeleteFile('C:\WINDOWS\system32\gebcb.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи .
-
Вложений: 2
-
выполните:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DelBHO('02478D38-C3F9-4efb-9B51-7695ECA05670');
SysCleanAddFile('C:\WINDOWS\system32\gebcb.exe');
ExecuteSysClean;
RebootWindows(true);
end.[/code]
Лог virusinfo_syscheck повторите
-
В дополнение к скрипту [b]rubin[/b]'a еще такой:
[code]
begin
RegKeyParamDel('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Windows', 'Load');
RebootWindows(true);
end.[/code]
И посмотрите, нужно ли вам что-то из этого:
[code]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
>> Безопасность: разрешен автоматический вход в систему
[/code]
Лишнее отключим для профилактики.
-
Вложений: 1
это пусть останется
[QUOTE]>> Безопасность: разрешен автоматический вход в систему
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
[/QUOTE]
-
Чисто.
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ для отключения не нужных служб[CODE]begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
end.[/CODE]
-
[SIZE="4"][FONT="Arial Black"]Спасибо! всем "+"[/FONT][/SIZE]
-
Итог лечения
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]75[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\program files\\aspmonitor\\asmonitor.exe - [B]not-a-virus:Monitor.Win32.ActualSpy.30[/B][*] c:\\program files\\aspmonitor\\hk.dll - [B]not-a-virus:Monitor.Win32.ActualSpy.30[/B][*] c:\\program files\\aspmonitor\\hk2.dll - [B]not-a-virus:Monitor.Win32.ActualSpy.30[/B] (DrWEB: Trojan.ActualSpy)[*] c:\\program files\\aspmonitor\\hprog.dll - [B]not-a-virus:Monitor.Win32.ActualSpy.30[/B] (DrWEB: Trojan.ActualSpy)[*] c:\\windows\\system32\\cbxwvvt.dll - [B]not-a-virus:AdWare.Win32.Virtumonde.dnj[/B] (DrWEB: Trojan.Virtumod.240)[*] c:\\windows\\system32\\cbxxvsr.dll - [B]not-a-virus:AdWare.Win32.Virtumonde.dnj[/B] (DrWEB: Trojan.Virtumod.240)[*] c:\\windows\\system32\\dlidok .exe - [B]Trojan.Win32.Pakes.bzq[/B] (DrWEB: Trojan.Packed.560)[*] c:\\windows\\system32\\dvysevr.exe - [B]Virus.Win32.Trats.d[/B] (DrWEB: Trojan.MulDrop.11190)[*] c:\\windows\\system32\\fccawur.dll - [B]not-a-virus:AdWare.Win32.Virtumonde.dnj[/B] (DrWEB: Trojan.Virtumod.240)[*] c:\\windows\\system32\\gebcb.dll - [B]not-a-virus:AdWare.Win32.Virtumonde.dyx[/B] (DrWEB: Trojan.Virtumod.257)[*] c:\\windows\\system32\\gebcb.exe - [B]Virus.Win32.Trats.d[/B] (DrWEB: Trojan.MulDrop.11190)[*] c:\\windows\\system32\\hieejphke.exe - [B]Virus.Win32.Trats.d[/B] (DrWEB: Trojan.MulDrop.11190)[*] c:\\windows\\system32\\julxcgaqbcl.exe - [B]Virus.Win32.Trats.d[/B] (DrWEB: Trojan.MulDrop.11190)[*] c:\\windows\\system32\\mljhhhf.dll - [B]not-a-virus:AdWare.Win32.Virtumonde.dnj[/B] (DrWEB: Trojan.Virtumod.240)[*] c:\\windows\\system32\\msgnlive.exe - [B]Backdoor.Win32.IRCBot.bbn[/B] (DrWEB: BackDoor.Tiny.origin)[*] c:\\windows\\system32\\pmnopoo.dll - [B]not-a-virus:AdWare.Win32.Virtumonde.dnj[/B] (DrWEB: Trojan.Virtumod.240)[*] c:\\windows\\system32\\ssqrpqq.dll - [B]not-a-virus:AdWare.Win32.Virtumonde.dnj[/B] (DrWEB: Trojan.Virtumod.240)[*] c:\\windows\\system32\\tuvuvvs.dll - [B]not-a-virus:AdWare.Win32.Virtumonde.dnj[/B] (DrWEB: Trojan.Virtumod.240)[*] c:\\windows\\system32\\uhmxoux.exe - [B]Virus.Win32.Trats.d[/B] (DrWEB: Trojan.MulDrop.11190)[*] c:\\windows\\system32\\yncit .exe - [B]Trojan.Win32.Pakes.bzq[/B] (DrWEB: Trojan.Packed.560)[*] c:\\windows\\system32\\yncit.exe - [B]Virus.Win32.Trats.d[/B] (DrWEB: Trojan.MulDrop.11190)[*] c:\\windows\\vsnpstd.exe - [B]Virus.Win32.Trats.d[/B] (DrWEB: Trojan.MulDrop.11190)[/LIST][/LIST]
Page generated in 0.00110 seconds with 10 queries