trojan.muldrop1.3316

Printable View

26.02.2010, 01:03
tekhnlog

trojan.muldrop1.3316

Здравствуйте.
Придя с работы обнаружил, постоянно выскакивающие окна Dr.Web с сообщением, что обнаружен вирус trojan.muldrop1.3316. Вылечить не удавалось, только удаление, после удаления тут же появлялось окно Windows с сообщением, типа "Для нормального функционирования Windows необходим диск Windows SP 3" Нажатие кнопки "Отмена" приводило к появлению еще одного окна, с сообщением типа: "Системные файлы Windows будут заменены, бла-бла", нажатие кнопки "Отмена" возвращало к первому сообщению, где надо вставить диск. Нажатие "ОК" приводило к появлению сообщения Dr.Web о вирусе trojan.muldrop1.3316. Заражены были файлы ctfmon.exe, ctfmon.exe.new и еще один с таким же названием, но были еще буквы .dll, не помню где. Папка Windows\system32.
Я оключил восстановление системы, проверился Dr.Web - он нашел те же три зараженных файла. До конца проверку пройти не удалось - Dr.Web завис на 98 %.
За время проверки скачал все необходимое по вашей инструкции, посмотрите пожалуйста логи.
26.02.2010, 01:33
Alex Plutoff

- [URL="http://virusinfo.info/showthread.php?t=7239"]выполните в AVZ скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('F:\INSTALL\GMSIPCI.SYS','');
QuarantineFile('C:\DOCUME~1\Mikusya\LOCALS~1\Temp\esihdrv.sys','');
QuarantineFile('C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll','');
DeleteFile('C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll');
BC_DeleteFile('C:\DOCUME~1\Mikusya\LOCALS~1\Temp\esihdrv.sys');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
ExecuteWizard('PRT', 2, 2, true);
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]...после перезагрузки пришлите карантин, воспользовавшись ссылкой вверху темы - [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B]
26.02.2010, 08:55
tekhnlog

Карантин отправил.
П.С. Почему-то пропала языковая панель в правом нижнем углу, хотя галочка в Панели инструментов напротив стоит...
26.02.2010, 09:46
Alex Plutoff

- это из-за того, что Док прибил ctfmon.exe.

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

- проверить и заменить исходными версиями системные файлы Windows XP [CODE]sfc.exe /scannow[/CODE]...возможно, [URL="http://support.microsoft.com/kb/310747/ru"]потребуется доступ к установочным файлам Windows[/URL](установочный диск)

З.Ы. если не поможет, то скопируйте из аналогичной системы [B]C:\WINDOWS\system32\ctfmon.exe[/B] на свой компьютер

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

- сделайте свежие логи, согласно [URL="http://virusinfo.info/showthread.php?t=1235"][B][COLOR="RoyalBlue"][COLOR="Blue"]правил[/COLOR][/COLOR][/B][/URL], начиная с пункта 2 раздела [B][COLOR="Sienna"]Диагностика[/COLOR][/B]
26.02.2010, 16:50
tekhnlog

Уточните пожалуйста, куда вводить код sfc.exe /scannow ? В AVZ? Или командная строка (Пуск\Выполнить)?
П.С. Все, понял - Командная строка, надо было сразу перейти по ссылке, там все расписано.
26.02.2010, 23:08
tekhnlog

Проверку и замену файлов Виндоус не сделал - не могу найти диск. Сделал логи, начиная со 2 пункта. Вот они.
27.02.2010, 14:03
tekhnlog

Ауууу!!! Посмотрите мои логи, пожалуйста....
03.03.2010, 12:16
AndreyKa

[url]http://punto.yandex.ru/[/url]

Обновите базы AVZ
Проведите процедуру, описанную в первом сообщении тут: [url]http://virusinfo.info/showthread.php?t=3519[/url]
04.03.2010, 12:16
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]