Неистребимый mousehook.dll

Printable View

04.03.2009, 21:15
Ивпал

Неистребимый mousehook.dll

Ни в безопасном режиме ручками, ни Доктором, ни Касперским - никак не могу удалить Мауса (mousehook.dll). Подсобите, pls!
04.03.2009, 21:22
light59

[B]Обновите базы AVZ![/B] (файл- обновление баз)
Логи переделать...
05.03.2009, 12:41
Ивпал

После обновления баз AVZ

Повторные логи...
05.03.2009, 13:22
Гриша

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\Irina\LOCALS~1\Temp\ntdll64.dll','');
DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
QuarantineFile('c:\windows\system32\userinit.exe','');
QuarantineFile('C:\WINDOWS\SYSTEM32\winhelp32.exe','');
DeleteService('VIDEO');
QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.sys','');
DeleteService('systemntmi');
QuarantineFile('C:\WINDOWS\system32\drivers\systemntmi.sys','');
DeleteService('netsik');
QuarantineFile('C:\WINDOWS\system32\drivers\netsik.sys','');
DeleteService('huy32');
QuarantineFile('C:\WINDOWS\system32:huy32.sys','');
DeleteService('fanxctrld');
QuarantineFile('C:\WINDOWS\system32\fanxctrld.sys','');
DeleteFile('C:\WINDOWS\system32\fanxctrld.sys');
DeleteFile('C:\WINDOWS\system32:huy32.sys');
DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys');
DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys');
DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
DeleteFile('C:\DOCUME~1\Irina\LOCALS~1\Temp\ntdll64.dll');
DeleteFile('C:\System Volume Information\_restore{094A6EDE-C701-4379-A902-EF8887E40788}\RP143\A0026839.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('VIDEO');
BC_DeleteSvc('systemntmi');
BC_DeleteSvc('netsik');
BC_DeleteSvc('huy32');
BC_DeleteSvc('fanxctrld');
BC_Activate;
RebootWindows(true);
end.[/CODE]

Затем выполните [url]http://virusinfo.info/showpost.php?p=114778&postcount=1[/url] (настройки будут сброшены их нужно будет ввести заново)...

Пришлите карантин по правилам и повторите логи...
05.03.2009, 14:54
Ивпал

Вроде все чистенько, хотя сам [B]mousehook[/B], с которого всё началось, по-прежнему сидить в /Temp директории...

Новые логи после лечения...
05.03.2009, 14:56
Ивпал

Карантин выслал...
05.03.2009, 15:03
Гриша

userinit.exe-[B]Trojan-Downloader.Win32.Agent.bjuu [/B] его нужно заменить на чистый из дистрибутива...

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
ClearQuarantine;
SetAVZGuardStatus(True);
DeleteFile('abijmael.dll');
QuarantineFile('C:\Documents and Settings\Basil Pro\Local Settings\Temp\mousehook.dll ',' ');
QuarantineFile('C:\Documents and Settings\Irina\Irina.exe ',' ');
DeleteFile('C:\Documents and Settings\Irina\Irina.exe ');
DeleteFile('C:\WINDOWS\SYSTEM32\abijmael.dll');
DeleteFileMask('%tmp% ','*.* ',true );
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Пришлите карантин по правилам и повторите логи...
05.03.2009, 16:35
Ивпал

Карантин выслал.
Повторные логи...
05.03.2009, 16:50
Гриша

Подождем ответа аналитиков...
06.03.2009, 12:50
Гриша

mousehook.dll-[B]Trojan-Downloader.Win32.Agent.bjwj [/B]

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
ClearQuarantine;
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\Basil Pro\Local Settings\Temp\mousehook.dll');
DeleteFileMask('%tmp% ','*.* ',true );
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Повторите логи...
06.03.2009, 13:18
Ивпал

Логи от 6 марта...
06.03.2009, 13:43
Гриша

[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL]

[CODE]O20 - Winlogon Notify: abijmael - C:\WINDOWS\[/CODE]

В логах чисто, установите SP3+all updates...
07.03.2009, 13:43
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\basil pro\local settings\temp\mousehook.dll - [B]Trojan-Downloader.Win32.Agent.bjwj[/B]( BitDefender: Gen:Trojan.Heur.P1048B7F7F7 )[*] c:\system volume information\_restore{094a6ede-c701-4379-a902-ef8887e40788}\rp143\a0026839.exe - [B]Trojan.Win32.Agent.bsts[/B]( DrWEB: Trojan.MulDrop.30425 )[*] c:\windows\system32\userinit.exe - [B]Trojan-Downloader.Win32.Agent.bjuu[/B]( BitDefender: Trojan.Dropper.Agent.UKT )[/LIST][/LIST]