Одолел троян ErrorSafe

Printable View

29.01.2007, 19:47
VINCE

Вложений: 2

Одолел троян ErrorSafe

Здравствуйте!
с недавнего времени после подключения к интернету стало выскакивать такое сообщение:
---------------------------
Microsoft Internet Explorer
---------------------------
Предупреждение: Если на Вашем компьютере имеются ошибки в базе реестра или файловой системе, это может стать причиной некорректной работы, зависаний и сбоев.
Устранение этих ошибок улучшит производительность Вашего компьютера и предотвратит потерю данных.
Вы хотите установить ErrorSafe, чтобы проверить Ваш компьютер абсолютно бесплатно (рекомендуется)?
---------------------------
ОК Отмена
---------------------------
если нажать отмена, то браузер всё равно переходит по ссылке: [url]http://ru.errorsafe.com/download/2006/index.php?aid=nm_ik_opera_mplx_ru_ru_lng_ed1&lid=keyin&affid=nm_862_7d7a3086937211dbbb7200167647fa98_9c60a2de%20cba1cebd631f41b7b3ec230dc251b934&ex=1&ax=1[/url]

Запустил утилиту от DrWeb - CureIT!, она нашла троян в файле aokgcyxc.dll и удалила его. Теперь после перезагрузки выскакивает сообщение:
---------------------------
RUNDLL
---------------------------
Ошибка при загрузке C:\WINDOWS\system32\aokgcyxc.dll
Не найден указанный модуль.
---------------------------
ОК
---------------------------

далее запустил AVZ и выполнил скрипты.
также запустил HijackThis
логи прикрепляю ниже.

Помогите пожалуйста советом, что делать дальше.
29.01.2007, 20:40
pig

Чтобы не ругалась, пофиксите вот это:
[code]O4 - HKLM\..\Run: [DllRunning] rundll32.exe "C:\WINDOWS\system32\aokgcyxc.dll",setvm[/code]

Далее: AVZ - Файл - Выполнить скрипт:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\hbekemwj.dll','');
QuarantineFile('winjrs32.dll','');
QuarantineFile('C:\WINDOWS\system32\vturo.dll','');
QuarantineFile('C:\Documents and Settings\ALEX™\Application Data\Mra\Update\menu.dll','');
RebootWindows(true);
end.[/code]
Система перезагрузится. Карантин AVZ пришлите в соответствии с Приложением 2, начиная с пункта 5. Ссылка на тему: [url]http://virusinfo.info/showthread.php?t=7701[/url]
Список файлов:
[code]C:\Documents and Settings\ALEX™\Application Data\Mra\Update\menu.dll
C:\WINDOWS\system32\vturo.dll
winjrs32.dll
C:\WINDOWS\system32\hbekemwj.dll[/code]
29.01.2007, 21:29
VINCE

Спасибо. Карантин выслал согласно инструкции.
29.01.2007, 21:45
Shu_b

Из присланного Trojan.Virtumod (Drweb):
C:\WINDOWS\system32\qiysljhr.dll
C:\WINDOWS\system32\vbfydlql.dll
C:\WINDOWS\system32\vturo.dll
29.01.2007, 21:56
pig

AVZ - Файл - Выполнить скрипт:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\qiysljhr.dll');
DeleteFile('C:\WINDOWS\system32\vbfydlql.dll');
DeleteFile('C:\WINDOWS\system32\vturo.dll');
ExecuteSysClean;
RebootWindows(true);
end.[/code]
И делайте новые логи, надо посмотреть, что получилось.
30.01.2007, 21:41
VINCE

Вложений: 2

Скрипты выплнил. логи прикрепляю.

только DrWeb - CureIT всё равно находит С:\windows\system32\dlvbinxv.dll инфицирован Trojan.Virtumod
30.01.2007, 22:08
Alex Plutoff

-этот скрипт выполнить в AVZ и прислать карантин:[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\SystemRoot\system32\DRIVERS\asuskbnt.sys','');
QuarantineFile('C:\Program Files\TrafficCompressor\TCompLsp.dll','');
QuarantineFile('C:\WINDOWS\winjrs32.dll','');
DeleteFile('C:\WINDOWS\system32\vturo.dll');
DeleteFile('C:\WINDOWS\system32\dlvbinxv.dll');
DeleteFile('C:\WINDOWS\system32\hbekemwj.dll');
DeleteFile('C:\WINDOWS\winjrs32.dll');
ExecuteSysClean;
RebootWindows(true);
end.[/code]
-это пофиксить:[code]O2 - BHO: (no name) - {1B9EE8CE-2A17-4F86-9CC7-4BB8EA656CAF} - C:\WINDOWS\system32\vturo.dll (file missing)
O2 - BHO: (no name) - {7DA39570-5FD2-4f18-94B4-20730CB3F727} - C:\WINDOWS\system32\hbekemwj.dll (file missing)
O4 - HKLM\..\Run: [DllRunning] rundll32.exe "C:\WINDOWS\system32\dlvbinxv.dll",setvm
O20 - Winlogon Notify: winjrs32 - winjrs32.dll (file missing)[/code]
31.01.2007, 20:02
VINCE

Выполнил скрипт, пофиксил, отправил карантин.

После этого проверил утилитой DrWeb - CureIT, ничего не обнаружено.
Перезагрузился.
Проверил ещё раз компьютер ативирусником AVAST! он обнаружил 2 зараженных файла трояном в папке C:\WINDOWS\system32\
я их удалил.

Теперь пока ниодин антивирусник ничего ненаходит :) жду когда выскочит "приглашение установить ErrorSafe" :)

Скажите пожалуйста, AVAST! хороший антивирусник, или лучше(надежнее) использовать другие программы?
31.01.2007, 20:14
PavelA

Лучше другое. Смотри у хелперов в подписи.
04.02.2007, 18:03
VINCE

Прошло несколько дней, ErrorSafe, больше не выскакивал. Видимо искоренили заразу :)

Спасибо огромное всем, кто отозвался и помог.
22.02.2009, 01:36
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]