Tbh28.sys

Printable View

23.05.2008, 14:14
StepIn

Tbh28.sys

При подключении Интернета пытается отправить почту.
Есть подозрение на файл C:\WINDOWS\system32\Drivers\Tbh28.sys.
Вот Логи.
Проверьте, пожалуйста!
23.05.2008, 14:22
Bratez

[b]Отключите восстановление системы![/b]
Пофиксите в HijackThis:
[code]
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('Tbh28');
SetServiceStart('Tbh28', 4);
QuarantineFile('C:\Documents and Settings\lbs.MULTIMED\Local Settings\Temporary Internet Files\Content.IE5\GXMBW167\xloader[1].exe','');
QuarantineFile('C:\WINDOWS\system32\D1733.tmp','');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Ryf74.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\msY28.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\krX28.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Tbh28.sys','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Tbh28.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\krX28.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\msY28.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ryf74.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\system32\D1733.tmp');
DeleteFile('C:\Documents and Settings\lbs.MULTIMED\Local Settings\Temporary Internet Files\Content.IE5\GXMBW167\xloader[1].exe');
BC_ImportDeletedList;
BC_DeleteSvc('msY28');
BC_DeleteSvc('krX28');
BC_DeleteSvc('Tbh28');
BC_DeleteSvc('tcpsr');
BC_DeleteSvc('Ryf74');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=23284[/url]).
Очистите временные файлы IE через "Свойства обозревателя".
Сделайте новые логи, начиная с п.10 правил.
23.05.2008, 15:43
StepIn

Карантин выслал. Вот новые логи.
23.05.2008, 15:52
Bratez

1. [b]Отключите восстановление системы![/b]

2. Скачайте Ice Sword: [url]http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip[/url], распакуйте, запустите, нажмите слева внизу File, найдите следующие файлы:
C:\WINDOWS\SYSTEM32\WinNt32.dll
C:\WINDOWS\system32\Drivers\Tbh28.sys
нажмите на каждый правой кнопкой мыши и выберите Force Delete.

3. Пофиксите в HijackThis:
[code]
O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\SYSTEM32\WinNt32.dll
[/code]
4. Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Tbh28.sys');
BC_ImportDeletedList;
BC_DeleteSvc('Pdr37');
BC_DeleteSvc('Tbh28');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Сделайте новые логи.
23.05.2008, 16:44
StepIn

Восстановление системы отключил.
Вот новые логи.
23.05.2008, 16:50
V_Bond

нмчего плохого в логах ...
23.05.2008, 18:07
StepIn

Спасибо большое!
Все работает!
27.05.2008, 15:02
StepIn

[FONT=Times New Roman][SIZE=3]Еще раз добрый день.[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]После лечения все работало хорошо. Но вчера вечером зашел с IE на сайт, и снова началась попытка рассылки писем. Сайт вроде нормальный, но точно не помню какой, так как было открыто несколько. В IE стоит блокировка всплывающих окон.[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]Стал лечить, удалил WinNt32.dll, Pdr37, Djp30.sys.[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]Посмотрите, пожалуйста, логи.[/SIZE][/FONT]
27.05.2008, 15:21
Bratez

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\lbs.MULTIMED\Local Settings\Temporary Internet Files\Content.IE5\E8JSMNXN\load[1].exe');
DeleteFile('C:\Documents and Settings\lbs.MULTIMED\Local Settings\Temporary Internet Files\Content.IE5\GXMBW167\load[1].exe');
DeleteFile('C:\WINDOWS\Temp\BN2.tmp');
BC_ImportDeletedList;
BC_ DeleteSvc('Djp30');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Очистите временные файлы IE через Свойства обозревателя.
Очистите папку C:\WINDOWS\Temp.
Сделайте новые логи.
27.05.2008, 16:13
StepIn

[SIZE=3][FONT=Times New Roman]Скрипт выполнил.[/FONT][/SIZE]
[COLOR=black][FONT=Verdana]Очистил временные файлы IE и папку C:\WINDOWS\Temp.
Вот новые логи.[/FONT][/COLOR]
27.05.2008, 16:22
Bratez

Выполните такой скрипт:
[code]begin
BC_DeleteSvc('Djp30');
BC_Activate;
RebootWindows(true);
end.[/code]
Больше ничего плохого нет.
27.05.2008, 16:25
StepIn

Лог
27.05.2008, 16:33
kps

Пуск - Выполнить - напишите sc delete Djp30 - нажмите ОК.
Перезагрузите компьютер.
Сделайте новый лог по пунтку 8 правил.
27.05.2008, 17:44
StepIn

Похоже, что больше нет ничего подозрительного.
Вот новые логи.
Подскажите, каким образом я набрался всего этого?
27.05.2008, 18:22
kps

Больше ничего подозрительного в логах нет. Какие-то проблемы остались ?
28.05.2008, 15:23
StepIn

Все хорошо работает. Большое спасибо!
28.05.2008, 15:43
kps

Нам интересно [url=http://virusinfo.info/showthread.php?t=19883]Ваше мнение[/url] о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.

Советуем прочитать электронную [url=http://security-advisory.virusinfo.info/]книгу[/url] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".