Win32:VB-NPD [Drp]

Printable View

10.11.2009, 14:03
Yury_md

Win32:VB-NPD [Drp]

На рабочей машине однажды аваст стал ловить .tmp файлы с диагнозом Win32:VB-NPD [Drp]. Удалял, появлялись периодически снова. Никаких левых сайтов, софта или скриптов в последнее время не загружалось.
В безопасном режиме проверил полностью машину как авастом, там и cureit, были найдены и удалены некоторые файлы. Но сразу после перезагрузки аваст снова выловил завирусованные tmp.

Только что первый раз прошёлся AVZ, ушёл на перезагрузку, и с ходу аваст видит в windows\system32\inqk.hgo троян под именем Win32:Oficla-D [Trj].

логи прилагаются
10.11.2009, 14:22
DefesT

[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] в Hijackthis:[CODE]R3 - URLSearchHook: QIPBHO Class - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - C:\Documents and Settings\Eji\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll
R3 - URLSearchHook: (no name) - - (no file)[/CODE]
Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\ajc.exe','');
QuarantineFile('C:\WINDOWS\system32\3.tmp','');
QuarantineFile('C:\WINDOWS\system32\hash2.dll','');
QuarantineFile('C:\WINDOWS\system32\apihook.dll','');
QuarantineFile('C:\WINDOWS\system32\inqk.hgo','');
DeleteService('MEMSWEEP2');
DeleteFile('C:\WINDOWS\system32\inqk.hgo');
DeleteFile('C:\WINDOWS\system32\3.tmp');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!!!
Пришлите карантин по ссылке согласно правил [COLOR="DarkRed"][B]Прислать запрошенный карантин [/B][/COLOR]вверху темы. Сделайте новые логи по правилам
10.11.2009, 15:19
Yury_md

повторяю логи, карантин выслан
11.11.2009, 00:29
AndreyKa

Не видно ничего подозрительного. Проблема решена?
11.11.2009, 18:57
Yury_md

вот, пока сутки ничего не вылазит, спасибо за помощь! надеюсь больше не появятся.
на будущее, чтобы сюда не обращаться, откуда могли такие лезть вири, которые не убиваются ни др.вебом, ни авастом, ни avz в безопасном режиме?
11.11.2009, 19:18
AndreyKa

Из Интернета через дыры в Windows, браузерах и плагинах к ним.
11.11.2009, 23:14
Yury_md

ясно. ну, слава нло, пока всё тихо. спасибо ещё раз.
12.11.2009, 23:14
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]13[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]