вирус или остатки

Printable View

17.03.2009, 19:32
Блохастик

Вложений: 3

вирус или остатки

стоял симантек энд пойнт, полезли окна в браузере ИЕ, в мозилле перестала работать часть кнопок. Поставил аваст - убил пару A0243326.dll inficirovan virusom Win32:Trojan-gen {Other}, но проблема осталась. Есть подозрение что с работы нахватался >< через флэш.
17.03.2009, 19:46
light59

[URL="http://www.virusinfo.info/showthread.php?t=4491"]"Пофиксите"[/URL] в HijackThis
[CODE]
O20 - AppInit_DLLs: kvqgjg.dll
[/CODE]

[URL="http://virusinfo.info/showthread.php?t=7239"]В AVZ -> файл-> Выполнить скрипт[/URL]

[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{D655306F-F0AC-4D06-86F3-92C4AF4D75CF}');
DelBHO('{CCDA680F-5F7E-4962-9900-B3DEC0DCD50B}');
DelBHO('{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}');
DelBHO('{572ba28f-df4c-4955-ad18-c31fc0bd8799}');
QuarantineFile('C:\WINDOWS\system32\rsdsblbu.dll','');
QuarantineFile('C:\WINDOWS\system32\pmnoljIX.dll','');
QuarantineFile('C:\WINDOWS\system32\mlJBTkLb.dll','');
QuarantineFile('C:\WINDOWS\system32\lyqudost.dll','');
QuarantineFile('C:\WINDOWS\system32\kvqgjg.dll','');
QuarantineFile('C:\WINDOWS\system32\eunwgf.dll','');
QuarantineFile('C:\WINDOWS\system32\etsgvbnd.dll','');
DeleteFile('C:\WINDOWS\system32\etsgvbnd.dll');
DeleteFile('C:\WINDOWS\system32\eunwgf.dll');
DeleteFile('C:\WINDOWS\system32\kvqgjg.dll');
DeleteFile('C:\WINDOWS\system32\lyqudost.dll');
DeleteFile('C:\WINDOWS\system32\mlJBTkLb.dll');
DeleteFile('C:\WINDOWS\system32\pmnoljIX.dll');
DeleteFile('C:\WINDOWS\system32\rsdsblbu.dll');
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
Пришлите карантин согласно правил по ссылке [URL="http://virusinfo.info/upload_virus.php?tid=41913"]http://virusinfo.info/upload_virus.php?tid=41913[/URL]
Повторите логи по правилам.

Логи делать с запущенными браузерами.
P.S. [URL="http://virusinfo.info/showthread.php?t=16459"]Отключение автозапуска с разных носителей[/URL].
17.03.2009, 20:19
Блохастик

Вложений: 3

сделал, только в отчете hijak this теперь pmnoljIX.dll под 20 его фиксить снова?

3 скрипт делал при отключенной сети и инета, перезагрузка 2- с включенным инетом и выключеным антивирусом правильно?
17.03.2009, 20:28
light59

Правильно.
В правилах это и написано.

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

[URL="http://www.virusinfo.info/showthread.php?t=4491"]"Пофиксите"[/URL] в HijackThis
[CODE]
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\pmnoljIX.dll (file missing)
O2 - BHO: (no name) - {C4460363-06B6-4C91-B14C-D106BC78C8BC} - C:\WINDOWS\system32\mlJBTkLb.dll (file missing)
O20 - Winlogon Notify: pmnoljIX - pmnoljIX.dll (file missing)
[/CODE]

Пункты 2 и 3 диагностики повторяем.
17.03.2009, 20:32
Блохастик

Спасибо за помощь ! 20 сточку править в хайджэк? или оставить?

ЗЫ завтра для коллекции попробую снять логи с 1 машины- там заблочены все браузеры и весь выход в инет ( пинг и трассировка зарубается сразу). Однако аваст как- то обновляется ><. Лечил всем что было аваст/нод/авг/симантек. Пойманы кидо, конфикер и другие, сейчас работает стабильно, но доступа в инет на обновления и прочее нету.
17.03.2009, 20:41
light59

Я ж писал, что фиксить.

[quote]1) Если у Вас несколько инфицированных операционных систем или компьютеров, то Вам следует оформлять каждую систему отдельным запросом.[/quote]
17.03.2009, 20:51
Блохастик

Вложений: 3

Я пока писал, не видел Ваш ответ.:yu:
17.03.2009, 20:55
light59

чисто.
17.03.2009, 23:40
Блохастик

Спасибо ) Завтра отдельно выложу другую машину. Там я хз как и чем ее лечить, а "убивать" нельзя /

[size="1"][color="#666686"][B][I]Добавлено через 2 часа 43 минуты[/I][/B][/color][/size]

Посмотрел по логам, теперь думаю часть сам смогу " отлавливать " не напрягая форум. Есть руководство по составлению скрипта? Как начать и добавлять увидел, теоретически как находить тоже. Не совсем ясно откуда в 1 скрипте сразу выпал ВНО, дальше вроде видно. Если инфа не сугубо секретная. LF руководство) если секретная - сотрите сообщение ))) Спасибо.
17.03.2009, 23:44
light59

Почитайте. [URL="http://virusinfo.info/showthread.php?t=15090"]http://virusinfo.info/showthread.php?t=15090[/URL]
18.03.2009, 23:44
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]22[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\etsgvbnd.dll - [B]HEUR:Trojan.Win32.Generic[/B]( BitDefender: Gen:Trojan.Heur.Vundo.7018E7D7D7 )[*] c:\windows\system32\eunwgf.dll - [B]HEUR:Trojan.Win32.Generic[/B]( BitDefender: Gen:Trojan.Heur.Vundo.7018E7D7D7 )[*] c:\windows\system32\kvqgjg.dll - [B]HEUR:Trojan.Win32.Generic[/B]( BitDefender: Gen:Trojan.Heur.Vundo.7018E7D7D7 )[*] c:\windows\system32\lyqudost.dll - [B]HEUR:Trojan.Win32.Generic[/B]( BitDefender: Gen:Trojan.Heur.Vundo.7018E7D7D7 )[*] c:\windows\system32\mljbtklb.dll - [B]HEUR:Trojan.Win32.Generic[/B]( BitDefender: Gen:Trojan.Heur.Vundo.2149B68686 )[*] c:\windows\system32\pmnoljix.dll - [B]HEUR:Trojan.Win32.Generic[/B]( BitDefender: Gen:Trojan.Heur.Vundo.2048B78787 )[*] c:\windows\system32\rsdsblbu.dll - [B]HEUR:Trojan.Win32.Generic[/B]( BitDefender: Gen:Trojan.Heur.Vundo.4028D7E7E7 )[/LIST][/LIST]