-
Вложений: 3
Trojan.Downloader
Доброго дня. Сотрудница открыла письмо с вложениями и как я понял подхватила Trojan.Downloader. После дня проведенного мной за этим компом мне удалось удалить все, кроме самого даунлоадера. NOD32 3.0 на него молчит, только когда тот опять что то скачает находит и удаляет. CureIt в безопасном режиме нашел две dll-ки и удалил, корень зла остался. Автозапуск чист от лишних програм, но этот вирус каким то образом запускает себя через rundll32. Еще на сменные носители при вставке записываются autorun.inf и папка RESTORE. Уже третий день временно возвращаю работоспособность компу. Помогите плиз.
-
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe','');
DelBHO('{A7A4DFC1-32C7-4A3C-BFAC-21B526A00347}');
DelBHO('{23CDFC38-D9E9-4BB0-A085-B985F8733CEB}');
DelBHO('{18a2a4c2-eacd-48e8-8738-4b220be7270a}');
DelBHO('{005695C9-26D4-4CBB-A7A3-62BE2721E53C}');
QuarantineFile('C:\WINDOWS\system32\ssqrpmMc.dll','');
QuarantineFile('taskmon.exe','');
QuarantineFile('C:\Program Files\AV9\av2009.exe','');
DeleteService('Clirapp');
QuarantineFile('Clirapp.sys','');
QuarantineFile('C:\WINDOWS\system32\wvUkHBUl.dll','');
QuarantineFile('C:\WINDOWS\system32\sdgwit.dll','');
QuarantineFile('C:\WINDOWS\system32\oiuxvujs.dll','');
QuarantineFile('C:\WINDOWS\system32\kmwjraxg.dll','');
QuarantineFile('C:\WINDOWS\system32\khfDtRKd.dll','');
DeleteFile('C:\WINDOWS\system32\khfDtRKd.dll');
DeleteFile('C:\WINDOWS\system32\kmwjraxg.dll');
DeleteFile('C:\WINDOWS\system32\oiuxvujs.dll');
DeleteFile('C:\WINDOWS\system32\sdgwit.dll');
DeleteFile('C:\WINDOWS\system32\wvUkHBUl.dll');
DeleteFile('Clirapp.sys');
DeleteFile('C:\Program Files\AV9\av2009.exe');
DeleteFile('khfDtRKd.dll');
DeleteFile('C:\WINDOWS\system32\ssqrpmMc.dll');
DeleteFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');
DelCLSID('28ABC5C0-4FCB-11CF-AAX5-81CX1C635612');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ....
повторите логи ....
-
Вложений: 3
-
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL]
[CODE]O2 - BHO: (no name) - {7AA96A0B-C597-412C-BAD2-B23F9F4503B5} - C:\WINDOWS\system32\wvUkHBUl.dll (file missing)
O2 - BHO: (no name) - {A7A4DFC1-32C7-4A3C-BFAC-21B526A00347} - C:\WINDOWS\system32\khfDtRKd.dll (file missing)
O20 - Winlogon Notify: khfDtRKd - C:\WINDOWS\[/CODE]
Повторите лог HJT...
-
Вложений: 1
Пофиксил. Лог вложил.
Если на другом компе есть подозрение на такой-же вирус на нем надо выполнить другой скрипт? Ведь как я понял имена вирусных dll генерируются случайным образом?
-
В логах чисто,да скрипты будут другие,каждый случай уникален...
-
Спасибо огромное, мои надежды на ваш ресурс оправдались. Я могу выложить в эту же тему логи с другого компа?
-
Для каждого компьютера-отдельная тема...
-
Итог лечения
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\restore\\s-1-5-21-1482476501-1644491937-682003330-1013\\ise32.exe - [B]Trojan.Win32.Pakes.jzt[/B] (DrWEB: BackDoor.IRC.Flood.8)[*] c:\\windows\\system32\\kmwjraxg.dll - [B]Trojan.Win32.Monder.eqo[/B] (DrWEB: Trojan.Virtumod.based.23)[*] c:\\windows\\system32\\oiuxvujs.dll - [B]Trojan.Win32.Monder.epx[/B] (DrWEB: Trojan.Virtumod.based.23)[*] c:\\windows\\system32\\sdgwit.dll - [B]not-a-virus:AdWare.Win32.SuperJuan.cju[/B] (DrWEB: Trojan.Virtumod.based.23)[*] c:\\windows\\system32\\wvukhbul.dll - [B]Trojan.Win32.Monder.erv[/B] (DrWEB: Trojan.Virtumod.based.23)[/LIST][/LIST]
Page generated in 0.01633 seconds with 10 queries