Висит в авторане зараза BMf7cdec79 Rundll32.exe \system32\ofmwyluf.dll,s
После удаления восстанавливает себя.
Проверял DrWeb со всеми обновлениями - ничего. Помогите.
Printable View
Висит в авторане зараза BMf7cdec79 Rundll32.exe \system32\ofmwyluf.dll,s
После удаления восстанавливает себя.
Проверял DrWeb со всеми обновлениями - ничего. Помогите.
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('E:\!legs\utils\sms.exe','');
QuarantineFile('E:\WINNT\system32\wvuutttr.dll','');
QuarantineFile('E:\WINNT\system32\ohslbtle.dll','');
QuarantineFile('E:\WINNT\system32\ofmwyluf.dll','');
QuarantineFile('E:\WINNT\system32\nnnmmjki.dll','');
DeleteFile('E:\WINNT\system32\nnnmmjki.dll');
DeleteFile('E:\WINNT\system32\ofmwyluf.dll');
DeleteFile('E:\WINNT\system32\ohslbtle.dll');
DeleteFile('E:\WINNT\system32\wvuutttr.dll');
DelBHO('{d7ed7f9e-0fd5-4b85-a80e-024984dae9db}');
DelBHO('{7275A7E5-1E98-4F55-AF9C-78BAB11E306B}');
DelBHO('{4D53CEE9-96A2-43F4-AE93-607EF544451C}');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
В авторане нет.
virus.zip - необходимо грузить
[url]http://virusinfo.info/upload_virus.php?tid=19881[/url]
Удалите из сообщения это вложение
virus.zip - из темы убрать !!! прислать согласно приложения 3 правил ...
E:\WINNT\system32\nnnmmjki.dll [B]not-a-virus:AdWare.Win32.Virtumonde.gen[/B]
E:\WINNT\system32\ofmwyluf.dll [B]not-a-virus:AdWare.Win32.Virtumonde.gen[/B]
E:\WINNT\system32\wvuutttr.dll [B]not-a-virus:AdWare.Win32.Virtumonde.gen[/B]
E:\WINNT\system32\ohslbtle.dll [B]not-a-virus:AdWare.Win32.Virtumonde.gen[/B]
E:\!legs\utils\sms.exe [B]Trojan.StartPage[/B]
пофиксите ....
[code]
O2 - BHO: (no name) - {7275A7E5-1E98-4F55-AF9C-78BAB11E306B} - E:\WINNT\system32\wvuutttr.dll (file missing)
O2 - BHO: (no name) - {72FB648B-BA77-4C64-988F-2F851433AF5E} - E:\WINNT\system32\nnnmmjki.dll (file missing)
O2 - BHO: Gamburg provider - {D8E11460-0D64-4a20-BED9-BA68BED58342} - (no file)
O20 - Winlogon Notify: wvuutttr - wvuutttr.dll (file missing)
[/code]
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{D8E11460-0D64-4a20-BED9-BA68BED58342}');
DelBHO('{72FB648B-BA77-4C64-988F-2F851433AF5E}');
DelBHO('{7275A7E5-1E98-4F55-AF9C-78BAB11E306B}');
DeleteFile('E:\!legs\utils\sms.exe');
DeleteFile('E:\WINNT\system32\wvuutttr.dll');
DeleteFile('E:\WINNT\system32\nnnmmjki.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи начиная с пункта 10 правил ...
Прошу прощения за невнимательность.
пофиксите ...
[code]
O20 - Winlogon Notify: wvuutttr - wvuutttr.dll (file missing)
[/code]
повторите hijackthis.log
.
Ничего вредоносного.
Какие проблемы еще остались?
Ничего видимого.
Огромное спасибо за уделенное время и оперативность.
PS: Что это было? Действительно "клавиатурный шпион"?
Нам интересно ваше [url=http://virusinfo.info/showthread.php?t=19883]мнение[/url], будем очень благодарны за ответ.
Советуем прочитать [url=http://security-advisory.virusinfo.info/]электронную книгу[/url] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
По поводу кто был, [b]V_Bond[/b], в сообщении 5, описал кто попал в карантин, попробуйте поискать в интернете описение врагов.