Trojan-Downloader.Win32.Murlo.nn

Printable View

Показывать 40 сообщений этой темы на одной странице

27.06.2008, 14:39
nbserg

Trojan-Downloader.Win32.Murlo.nn

обнаружено: троянская программа Trojan-Downloader.Win32.Murlo.nn URL: [URL]http://root.***.com/root.gif[/URL]
27.06.2008, 14:56
Kuzz

А вот ссылку на трояна уберите (или деактивируйте)

1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\AppPatch\Jview.dll','');
QuarantineFile('C:\WINDOWS\AppPatch\AcXtrnel.dll','');
QuarantineFile('C:\WINDOWS\system32\wups.dll','');
QuarantineFile('C:\WINDOWS\system32\wups2.dll','');
QuarantineFile('C:\WINDOWS\system32\gpprefcl.dll','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ape2ptgn.SYS','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
QuarantineFile('C:\WINDOWS\TEMP\wmsetup.dll','');
QuarantineFile('C:\WINDOWS\system32\actxprxy.dll','');
QuarantineFile('C:\DOCUME~1\NBSerG\LOCALS~1\Temp\wmsetup.dll','');
DeleteFile('C:\DOCUME~1\NBSerG\LOCALS~1\Temp\wmsetup.dll');
DeleteFile('C:\WINDOWS\TEMP\wmsetup.dll');
DeleteFile('C:\WINDOWS\AppPatch\Jview.dll');
DeleteFile('C:\WINDOWS\AppPatch\AcXtrnel.dll');
DeleteFile('C:\Documents and Settings\MANAGER\Local Settings\Temp\wmsetup.dll');
DeleteFile('C:\Documents and Settings\NETWORKSERVICE\Local Settings\Temp\wmsetup.dll');
DeleteFile('C:\Documents and Settings\LOCALSERVICE\Local Settings\Temp\wmsetup.dll');
DeleteFile('C:\WINDOWS\Temp\wmsetup.dll');
DeleteFile('C:\WINDOWS\AppPatch\AcSpecf.dll');
DeleteFile('c:\windows\apppatch\acplugin.dll');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=25431[/url]

Почистите временные файлы (например так: [url]http://virusinfo.info/showthread.php?t=10025[/url])

Повторите логи.
27.06.2008, 15:38
nbserg

мде

я офигиваю где они берутся после удаления
все сделал вост системі віключено вот логи
27.06.2008, 15:59
Kuzz

Отключитесь от сети.

Прогоните предидущий скрипт.

Прогоните еще раз CureIt (я надеюсь, выполняя правила Вы не поленились, скачали и сканировали систему ним.)

Перезагрузитесь.

Сделайте логи.
27.06.2008, 20:24
nbserg

вырубил сеть по 2 раза проверил авз куром и каспером вроде все убил вот логи
27.06.2008, 20:29
nbserg

только 3 мин полазил в нете опять обнаружено: троянская программа Trojan-Downloader.Win32.Murlo.nn URL: [url]http://root.5**.com/root.gif[/url]
27.06.2008, 20:44
Kuzz

Опять выключить сеть (так, чтобы после перезагузки она самостоятельно не включилась. Напр. в свойствах подключения поставить "Отключено") .

1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\gpprefcl.dll','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\nvmini.sys','');
DeleteService('cdralw');
StopService('cdralw');
DeleteFile('C:\WINDOWS\system32\DRIVERS\nvmini.sys');
DeleteFile('asfjthj.dll');
DeleteFile('awef.dll');
DeleteFile('bjrvm.dll');
DeleteFile('bnxnb.dll');
DeleteFile('cdxbfxdb.dll');
DeleteFile('chmfcmh.dll');
DeleteFile('crugd.dll');
DeleteFile('dbfb.dll');
DeleteFile('dfhsh.dll');
DeleteFile('dger.dll');
DeleteFile('dnteh.dll');
DeleteFile('drghszd.dll');
DeleteFile('dscef.dll');
DeleteFile('ektvm.dll');
DeleteFile('ethsh.dll');
DeleteFile('fgthde.dll');
DeleteFile('fhjfg.dll');
DeleteFile('fjnbv.dll');
DeleteFile('fjyjy.dll');
DeleteFile('fngn.dll');
DeleteFile('frntrn.dll');
DeleteFile('fxgnfx.dll');
DeleteFile('fxnfnh.dll');
DeleteFile('gfcfg.dll');
DeleteFile('ghjkdr.dll');
DeleteFile('ghjyer.dll');
DeleteFile('ghkrg.dll');
DeleteFile('ghthhh.dll');
DeleteFile('gjkhj.dll');
DeleteFile('gmnait.dll');
DeleteFile('gnfctt.dll');
DeleteFile('hfjg.dll');
DeleteFile('hfther.dll');
DeleteFile('hgfhk.dll');
DeleteFile('hjaiq.dll');
DeleteFile('hkfgh.dll');
DeleteFile('hmsdvf.dll');
DeleteFile('hrergh.dll');
DeleteFile('ijatnaw.dll');
DeleteFile('ilkyu.dll');
DeleteFile('jkjkll.dll');
DeleteFile('jrhhh.dll');
DeleteFile('jwlah.dll');
DeleteFile('jyjlt.dll');
DeleteFile('jzijj.dll');
DeleteFile('kduy.dll');
DeleteFile('kergt.dll');
DeleteFile('lariytrz.dll');
DeleteFile('losdf.dll');
DeleteFile('mgmgmm.dll');
DeleteFile('mrjhtjd.dll');
DeleteFile('njritc.dll');
DeleteFile('oqrthc.dll');
DeleteFile('qrhhb.dll');
DeleteFile('reger.dll');
DeleteFile('rgghjj.dll');
DeleteFile('rhs.dll');
DeleteFile('rthkyuk.dll');
DeleteFile('sdrfh.dll');
DeleteFile('sehhter.dll');
DeleteFile('serger.dll');
DeleteFile('serghjm.dll');
DeleteFile('setrhes.dll');
DeleteFile('stehs.dll');
DeleteFile('sthth.dll');
DeleteFile('thsddh.dll');
DeleteFile('thurh.dll');
DeleteFile('tuker.dll');
DeleteFile('ujkwet.dll');
DeleteFile('vhsdfg.dll');
DeleteFile('wfhyt.dll');
DeleteFile('xbcvxb.dll');
DeleteFile('xdfntt.dll');
DeleteFile('xdhdg.dll');
DeleteFile('xdndn.dll');
DeleteFile('xfgnfx.dll');
DeleteFile('xfgnhcgfm.dll');
DeleteFile('xfgnxfn.dll');
DeleteFile('xfng.dll');
DeleteFile('xgnfn.dll');
DeleteFile('ydgn.dll');
DeleteFile('yjrfe.dll');
DeleteFile('yukevg.dll');
DeleteFile('zdbdb.dll');
DeleteFile('zdbfbd.dll');
DeleteFile('zfdzb.dll');
DeleteFile('C:\WINDOWS\linkinfo.dll');
DeleteFile('C:\DOCUME~1\NBSerG\LOCALS~1\Temp\wmsetup.dll');
DeleteFile('C:\WINDOWS\TEMP\wmsetup.dll');
DeleteFile('C:\WINDOWS\AppPatch\Jview.dll');
DeleteFile('C:\WINDOWS\AppPatch\AcXtrnel.dll');
DeleteFile('C:\Documents and Settings\MANAGER\Local Settings\Temp\wmsetup.dll');
DeleteFile('C:\Documents and Settings\NETWORKSERVICE\Local Settings\Temp\wmsetup.dll');
DeleteFile('C:\Documents and Settings\LOCALSERVICE\Local Settings\Temp\wmsetup.dll');
DeleteFile('C:\WINDOWS\Temp\wmsetup.dll');
DeleteFile('C:\WINDOWS\AppPatch\AcSpecf.dll');
DeleteFile('c:\windows\apppatch\acplugin.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.

2.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE]O16 - DPF: {D27CDB6E-AE6D-0000-0000-000000000000} -
O20 - AppInit_DLLs: jkjkll.dll,ghjyer.dll,ilkyu.dll,yukevg.dll,ghkrg.dll,tuker.dll,ujkwet.dll,asfjthj.dll,hmsdvf.dll,jrhhh.dll,sdrfh.dll,vhsdfg.dll,dger.dll,losdf.dll,kergt.dll,gfcfg.dll,reger.dll,hrergh.dll,frntrn.dll,qrhhb.dll,drghszd.dll,fngn.dll,gnfctt.dll,xgnfn.dll,xfgnhcgfm.dll,serger.dll,bnxnb.dll,fxgnfx.dll,jzijj.dll,xfgnfx.dll,serghjm.dll,thsddh.dll,xbcvxb.dll,zfdzb.dll,xdndn.dll,xdfntt.dll,hgfhk.dll,dnteh.dll,xfng.dll,njritc.dll,chmfcmh.dll,jwlah.dll,gmnait.dll,hfjg.dll,thurh.dll,mgmgmm.dll,oqrthc.dll,fgthde.dll,jyjlt.dll,ijatnaw.dll,sehhter.dll,fhjfg.dll,zdbdb.dll,ydgn.dll,dbfb.dll,fjnbv.dll,rthkyuk.dll,setrhes.dll,cdxbfxdb.dll,xfgnxfn.dll,gjkhj.dll,xdhdg.dll,rhs.dll,mrjhtjd.dll,zdbfbd.dll,fjyjy.dll,fxnfnh.dll,bjrvm.dll,ektvm.dll,ghthhh.dll,yjrfe.dll,dscef.dll,crugd.dll,lariytrz.dll,hjaiq.dll,kduy.dll,hkfgh.dll,awef.dll,dfhsh.dll,ethsh.dll,stehs.dll,sthth.dll,wfhyt.dll,rgghjj.dll,ghjkdr.dll,hfther.dll,[/CODE]

3. Опять прогнать CureIt.
Очень желательно после этого провести проверку штатным антивирусом.

Перезагрузиться.

Лишь после этого можно включить сеть.

Логи еще раз сделать.
27.06.2008, 22:11
nbserg

после скрипта удалил в хайджаке только О16, О20 исчезла сама
курИт удалил файл cdralw.sys КИСа ничего не нашла
28.06.2008, 15:19
nbserg

опять опять обнаружено: троянская программа Trojan-Downloader.Win32.Murlo.nn URL: [url]http://root.5**.com/root.gif[/url]

[size="1"][color="#666686"][B][I]Добавлено через 11 часов 37 минут[/I][/B][/color][/size]

хм

[size="1"][color="#666686"][B][I]Добавлено через 5 часов 19 минут[/I][/B][/color][/size]

хелп
28.06.2008, 19:01
Rene-gad

[QUOTE=nbserg;247821]опять опять обнаружено: троянская программа Trojan-Downloader.Win32.Murlo.nn URL[/QUOTE]Ну заблокировал Каспер эту страницу- чего ж Вы кричите? 8) И В логах сейчас ничего зловредного не видно.
29.06.2008, 10:55
nbserg

[quote=Rene-gad;248096]Ну заблокировал Каспер эту страницу- чего ж Вы кричите? 8) И В логах сейчас ничего зловредного не видно.[/quote]
а того что
28.06.2008 23:40:36 Блокировать IN TCP 222.216.28.100 80 192.168.0.131 1952 SYN ACK Blocked by IP Blocklist
28.06.2008 23:40:30 Блокировать IN TCP 222.216.28.100 80 192.168.0.131 1952 SYN ACK Blocked by IP Blocklist
28.06.2008 23:40:27 Блокировать IN TCP 222.216.28.100 80 192.168.0.131 1952 SYN ACK Blocked by IP Blocklist
28.06.2008 14:39:45 Блокировать IN TCP 222.216.28.100 80 192.168.0.131 2421 SYN ACK Blocked by IP Blocklist
28.06.2008 14:39:39 Блокировать IN TCP 222.216.28.100 80 192.168.0.131 2421 SYN ACK Blocked by IP Blocklist
28.06.2008 14:39:36 Блокировать IN TCP 222.216.28.100 80 192.168.0.131 2421 SYN ACK Blocked by IP Blocklist
28.06.2008 14:35:13 Блокировать IN TCP 222.216.28.100 80 192.168.0.131 1865 SYN ACK Blocked by IP Blocklist
28.06.2008 14:35:07 Блокировать IN TCP 222.216.28.100 80 192.168.0.131 1865 SYN ACK Blocked by IP Blocklist
28.06.2008 14:35:04 Блокировать IN TCP 222.216.28.100 80 192.168.0.131 1865 SYN ACK Blocked by IP Blocklist

сайт root.51113.com уже 3 раза при мне сменил айпи адресс за 1 день и неизвестно сколько я невидел и ломится он мне как видно из лога аутпоста достаточно активно
29.06.2008, 11:06
Rene-gad

[QUOTE=nbserg;248253]а того что
28.06.2008 23:40:36 Блокировать IN TCP 222.216.28.100 80 192.168.0.131 1952 SYN ACK Blocked by IP Blocklist[/QUOTE]
Я лично никакими прибаутками типа файрвола не пользуюсь, но мне кажется, что кто-то с адреса 222.216.28.100 просто сканирует Ваш ПК. Вы ничего , кроме как блокировать этот скан, предпринять не можете.
[CODE]inetnum: 222.216.0.0 - 222.218.255.255
netname: CHINANET-GX
descr: CHINANET Guangxi province network
descr: China Telecom
descr: No1,jin-rong Street
descr: Beijing 100032
country: CN[/CODE]
29.06.2008, 11:30
nbserg

проследите айпи адресас сайта root.51113.com
он был 116.252.185.15
222.216.28.100
60.191.223.11
если сайту дать запустить рут гиф то на компе вирус что описан в начале поста
29.06.2008, 11:53
Rene-gad

Так не давайте ему запуститься и не ходите на этот сайт. См. еще тут: [url]http://forum.kaspersky.com/index.php?showtopic=73834[/url]
29.06.2008, 11:59
nbserg

1. на этот сайт я не хожу
2. мне достаточно просто подключиться к сети чтоб вылетело это сообщение, я даже не говорю о запуске браузера
29.06.2008, 12:04
Rene-gad

[QUOTE=nbserg;248272]1. на этот сайт я не хожу[/QUOTE]Ну и прекрасно :)
[QUOTE=nbserg;248272]2. мне достаточно просто подключиться к сети чтоб вылетело это сообщение, я даже не говорю о запуске браузера[/QUOTE]Отлключите [U][I]нафик[/I][/U] Ваш файрвол - и Вы не будете получать сообщений, от которых все равно толку нет. Вы же не поедете в Китай с маленькой бомбой, чтобы взорвать этот сервер?
29.06.2008, 14:32
nbserg

сообщения вылетали в каспере при подключении к нету еще до фаервола
обнаружено: троянская программа Trojan-Downloader.Win32.Murlo.nn URL: [url]http://root.***.com/root.gif[/url]
если я втыкал и не блокировал доступ то получался вирус.
когда включил фаервол и заблокировал некоторые его айпи и порты даже в каспере они перестали вылетать. но всеравно по фаерволу вижу что он пытается ломиться

[size="1"][color="#666686"][B][I]Добавлено через 2 часа 20 минут[/I][/B][/color][/size]

вот вырубил на 5 мин фаервол опять :-(
29.06.2008, 14:34
Rene-gad

Вы темп-папки и кэш браузера чистили?
29.06.2008, 17:03
nbserg

раз 10 ATF-Cleaner ом
01.07.2008, 17:52
nbserg

up

Показывать 40 сообщений этой темы на одной странице