Не удается удалить зараженную dll, открываются порносайты [Trojan.Win32.Agent.aywp, Trojan.Win32.Monderd.gen ]

Printable View

02.01.2009, 17:05
Medyanka

Вложений: 3

Не удается удалить зараженную dll, открываются порносайты [Trojan.Win32.Agent.aywp, Trojan.Win32.Monderd.gen ]

Добрый день.
Мне не удается ничем удалить вирус :Trojan.Win32.Agent.aywp C:\WINDOWS\system32\fccbXnnk.dll
При открывании IE открываются порносайты,затем предлагается установить Антивирус2009
02.01.2009, 17:23
Aleksandra

1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}');
DelBHO('{C42E7A67-5B94-49B7-B04D-5311150FC846}');
QuarantineFile('C:\WINDOWS\system32\xxyvvVLC.dll','');
QuarantineFile('C:\DOCUME~1\Home\LOCALS~1\Temp\Setup_ver1.1400.0.exe','');
QuarantineFile('C:\WINDOWS\system32\fccbXnnk.dll','');
QuarantineFile('C:\Documents and Settings\Home\Local Settings\Temporary Internet Files\Content.IE5\VH16RPTR\apstpldr.dll[1].htm','');
QuarantineFile('C:\Documents and Settings\Никита\Local Settings\Temporary Internet Files\Content.IE5\G130FACO\apstpldr.dll[1].htm','');
QuarantineFile('C:\WINDOWS\system32\wvUmnOgf.dll','');
QuarantineFile('C:\WINDOWS\Installer\MSI11.tmp','');
QuarantineFile('C:\WINDOWS\system32\ugyhmfuj.dll','');
DeleteFile('C:\WINDOWS\system32\xxyvvVLC.dll');
DeleteFile('\systemroot\system32\drivers\msqpdxhrhcjalr.sys');
DeleteFile('C:\DOCUME~1\Home\LOCALS~1\Temp\Setup_ver1.1400.0.exe');
DeleteFile('C:\WINDOWS\system32\fccbXnnk.dll');
DeleteFile('C:\Documents and Settings\Home\Local Settings\Temporary Internet Files\Content.IE5\VH16RPTR\apstpldr.dll[1].htm');
DeleteFile('C:\Documents and Settings\Никита\Local Settings\Temporary Internet Files\Content.IE5\G130FACO\apstpldr.dll[1].htm');
DeleteFile('C:\WINDOWS\system32\wvUmnOgf.dll');
DeleteFile('C:\WINDOWS\system32\ugyhmfuj.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно [B]приложению 3[/B] [URL="http://virusinfo.info/showthread.php?t=1235"]правил.[/URL]
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=36611[/url]

3. Очистите временные файлы, кеш браузера и повторите логи...
02.01.2009, 23:09
Medyanka

Вложений: 3

Все сделала. Высылаю логи
02.01.2009, 23:52
light59

[URL="http://www.virusinfo.info/showthread.php?t=4491"]"Пофиксите"[/URL] в HijackThis
[CODE]
O20 - Winlogon Notify: fccbXnnk - fccbXnnk.dll (file missing)
[/CODE]
[URL="http://virusinfo.info/showthread.php?t=7239"]В AVZ -> файл-> Выполнить скрипт[/URL]

[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{4758F49D-51B4-4203-B84D-AE8630EA4E9E}');
DeleteFile('C:\WINDOWS\system32\wvUmnOgf.dll');
DeleteFile('C:\WINDOWS\system32\xxyvvVLC.dll');
DeleteFile('C:\DOCUME~1\Home\LOCALS~1\Temp\sony_ssm.sys');
DeleteFile('fccbXnnk.dll');
DeleteService('sony_ssm.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
Повторите логи по правилам.
03.01.2009, 11:20
Medyanka

Вложений: 3

Все сделала.
Вот логи.
03.01.2009, 11:30
Aleksandra

Ничего зловредного в логах нет.

[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в HijackThis:[/URL]

[QUOTE]O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\fccbXnnk.dll (file missing)[/QUOTE]
03.01.2009, 17:05
Medyanka

Пофиксила. Логи новые делать не надо?
03.01.2009, 17:09
light59

Если жалоб нет, то ненужно.
03.01.2009, 23:29
Medyanka

Вложений: 3

Жалобы есть.:sad:
KAV находит вирусы : Trojan.Win32.Agent.bbyr c:\WINDOWS\system32\paxksblv.dll
Доктор веб тоже- скрытые файлы в Temp.
Проблема довольно давно у меня- не отображаются скрытые файлы. Я галку ставлю, но не помогает.
Подготовила свежие логи
03.01.2009, 23:39
V_Bond

выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ExecuteRepair(6);
ExecuteRepair(8);
DeleteFileMask('%Tmp%', '*.*', true);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи
04.01.2009, 00:29
Medyanka

Вложений: 3

Повторяю логи
04.01.2009, 10:18
V_Bond

выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{dfbeb35b-444d-4f25-8d7d-eb2683c206ec}');
QuarantineFile('C:\Program Files\MyPlayCityRU\tbMyPl.dll','');
DeleteFile('C:\Program Files\MyPlayCityRU\tbMyPl.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
hijackthis.log повторите ...
04.01.2009, 12:49
Medyanka

Вложений: 1

Карантин закачала.
04.01.2009, 13:05
V_Bond

пофиксите
[code]
R3 - URLSearchHook: MyPlayCityRU Toolbar - {dfbeb35b-444d-4f25-8d7d-eb2683c206ec} - C:\Program Files\MyPlayCityRU\tbMyPl.dll (file missing)
[/code]
что с проблемами ?
04.01.2009, 17:47
Medyanka

Проблемы вроде исчезли. Скрытые файлы теперь отображаются.
Ругается на приложение. [B][SIZE=1]NMIndexStoreSvr.exe . Обнаружена ошибка.

[/B][/SIZE]Это связано с вирусами?? Мне кажется, что нет
04.01.2009, 17:59
Aleksandra

Это от Nero.
22.02.2009, 09:43
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]28[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\fccbxnnk.dll - [B]Trojan.Win32.Agent.aywp[/B] (DrWEB: Trojan.DownLoad.25698)[*] c:\\windows\\system32\\ugyhmfuj.dll - [B]Trojan.Win32.Monder.aguq[/B] (DrWEB: Trojan.Virtumod.854)[*] c:\\windows\\system32\\xxyvvvlc.dll - [B]Trojan.Win32.Monder.agvu[/B] (DrWEB: Trojan.Virtumod.855)[/LIST][/LIST]