Трояны

Printable View

29.06.2008, 13:55
PoiMeloVo

Вложений: 3

Трояны

Здравствуйте. Периодически вылазил ssrssc.exe инициируемая каждый раз разной прогой с именем из набора нескольких цифр, удаление из автозагрузки и prefetch не помогают, иниц. прога вылазит просто новая с др именем. По выполнению проверки др вебом, avz утилитами произведено удаление набора вредительских и подозрительных файликов: fos.dll и т.д. с длинными названиями. Скрипты выполнил посмотрите плиз что там.
29.06.2008, 14:06
Bratez

Пофиксите в HijackThis:
[code]
F3 - REG:win.ini: run=
O2 - BHO: (no name) - {B5AC49A2-94F2-42BD-F434-2604812C897D} - (no file)
O2 - BHO: (no name) - {C8A3B994-E27A-42f5-A053-C63799E621FB} - (no file)
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O20 - Winlogon Notify: WinCtrl32 - D:\WINDOWS\SYSTEM32\WinCtrl32.dll
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\WINDOWS\system32\clbdll.dll','');
QuarantineFile('D:\WINDOWS\herjek.exe','');
QuarantineFile('D:\WINDOWS\fastsmell.exe','');
QuarantineFile('D:\WINDOWS\system32\sysrest.sys','');
QuarantineFile('D:\WINDOWS\system32\Drivers\Winxb47.sys','');
QuarantineFile('D:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('D:\WINDOWS\system32\userinit.exe','');
QuarantineFile('D:\Program Files\Internet Explorer\SETUPAPI.dll','');
DeleteFile('D:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('D:\WINDOWS\system32\Drivers\Winxb47.sys');
DeleteFile('D:\WINDOWS\system32\sysrest.sys');
DeleteFile('D:\WINDOWS\herjek.exe');
DeleteFile('D:\WINDOWS\system32\clbdll.dll');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('sysrest.sys');
BC_DeleteSvc('Mqt55');
BC_DeleteSvc('Winxb47');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=25516[/url]).
Сделайте новые логи, начиная с п.10 правил.
29.06.2008, 23:45
PoiMeloVo

Вложений: 2

Выполнил скипты avz, пофиксил строки. Параллельно возникла проблема: пропало свободное место на системном диске до 30 мб. Восстановление системы отключено, вирт памяти на этом диске нет. Пришлось восстановить систему, проблема исчезла. Карантин отправил по ссылке.
30.06.2008, 12:08
PavelA

Профиксить:
O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)

Выполнить скрипт:
[CODE]begin
ExecuteRepair(17);
ExecuteRepair(6);
ExecuteRepair(8);
end.[/CODE]
22.02.2009, 06:13
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]29[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] d:\\program files\\internet explorer\\setupapi.dll - [B]Trojan.Win32.Agent.gol[/B] (DrWEB: Trojan.PWS.Webmonier.109)[*] d:\\windows\\fastsmell.exe - [B]Email-Worm.Win32.Zhelatin.zt[/B] (DrWEB: Trojan.DownLoader.62867)[*] d:\\windows\\herjek.exe - [B]Email-Worm.Win32.Zhelatin.zb[/B] (DrWEB: Trojan.Packed.468)[*] d:\\windows\\system32\\userinit.exe - [B]Trojan.Win32.Pakes.ddu[/B] (DrWEB: Trojan.PWS.FTPlich.2)[*] d:\\windows\\system32\\winctrl32.dll - [B]Trojan-Downloader.Win32.Mutant.aij[/B] (DrWEB: Trojan.DownLoader.63553)[*] \\2007-06-29\\bcqr00005.dta - [B]Email-Worm.Win32.Zhelatin.zt[/B] (DrWEB: Trojan.DownLoader.62867)[*] \\2007-06-29\\bcqr00006.dta - [B]Email-Worm.Win32.Zhelatin.zt[/B] (DrWEB: Trojan.DownLoader.62867)[*] \\2007-06-29\\bcqr00009.dta - [B]Trojan-Downloader.Win32.Mutant.aim[/B] (DrWEB: Trojan.Rntm.10)[*] \\2007-06-29\\bcqr00010.dta - [B]Trojan-Downloader.Win32.Mutant.aim[/B] (DrWEB: Trojan.Rntm.10)[*] \\2007-06-29\\bcqr00013.dta - [B]Trojan.Win32.Pakes.ddu[/B] (DrWEB: Trojan.PWS.FTPlich.2)[*] \\2007-06-29\\bcqr00014.dta - [B]Trojan.Win32.Pakes.ddu[/B] (DrWEB: Trojan.PWS.FTPlich.2)[*] \\2007-06-29\\bcqr00015.dta - [B]Trojan.Win32.Agent.gol[/B] (DrWEB: Trojan.PWS.Webmonier.109)[*] \\2007-06-29\\bcqr00016.dta - [B]Trojan.Win32.Agent.gol[/B] (DrWEB: Trojan.PWS.Webmonier.109)[/LIST][/LIST]