Помгите убить троян

Printable View

10.03.2007, 04:22
LindeMaN

Вложений: 3

Помгите убить троян

Пару дней назад в Firefox стало вылезать окно errorsafe. Я так понял это распространенный троян. Скачал Касперыча, нашел несколько троянов, поубивал. Окно продолжает выскакивать. Поставил Dr.Web, нашел еще несколько троянов, прибил. Остались 2 самых живучих, удаляться не хотели. Начал качать все подряд анти-трояны, кое-как с помощью TrojanRemover удалил один, но остался последний. Лежит в папке system32, называется ssqrp.dll Бессмертный гад. Проги его видят, а удалить не могут. Окно errorsafe как ни странно уже не вылезает. Помогите пожалуйста справиться с этим зверем.
10.03.2007, 05:42
Кто?

[url=http://virusinfo.info/showthread.php?t=7239]Выполнить скрипт[/url]:
[code]begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\Program Files\Common Files\System\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\ddcbcaa.dll','');
QuarantineFile('C:\WINDOWS\system32\ssqrp.dll','');
end.[/code]
И прислать пополненный карантин согласно приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]Правил[/url].
10.03.2007, 16:28
LindeMaN

Прислал. Троян опять начал кидать на страницу с каким-то WinAntiVirusPro 2006. Задолбал гад :'-(
10.03.2007, 23:31
AndreyKa

C:\WINDOWS\system32\ssqrp.dll - Trojan.Virtumod
C:\Program Files\Common Files\System\svchost.exe - Backdoor.Win32.IRCBot.aac

Закройте все программы.
Запустите AVZ.
Выполните скрипт через меню Файл:
[code]
begin
ClearQuarantine;
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\ssqrp.dll');
DeleteFile('C:\Program Files\Common Files\System\svchost.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(True);
end.
[/code]
Компьютер перезагрузится.
Сделайте новые логи начиная с 10-го пункта Правил и приложите их к своей теме вместе с файлом boot_clr.log из папки AVZ.
10.03.2007, 23:54
LindeMaN

Вложений: 3

Сделал.
Кстати, тут неожиданно активизировался Касперыч, нашел пачку троянов и в числе прочих предложил удалить файлы ssqrp.dll и svchost.exe Странно, во время прошлой проверки ему было пофиг на ssqrp.dll, в то время, как Dr.Web видел в этом файле трояна :-\
11.03.2007, 00:18
AndreyKa

[url=http://virusinfo.info/showthread.php?t=4491]Пофиксте[/url] в HijackThis следующие строки:
[quote]
O2 - BHO: (no name) - {27D684A1-D392-4432-AB02-C369DB82F2C0} - C:\WINDOWS\system32\ddcbcaa.dll (file missing)
O2 - BHO: (no name) - {D75F84B8-58F2-4222-AC7D-B1EE26E68900} - C:\WINDOWS\system32\ssqrp.dll (file missing)
O20 - Winlogon Notify: ssqrp - C:\WINDOWS\
[/quote]

Насчет активности Касперского - в этом нет ничего странного. Их лаборатория несколько часов назад ваши файлы проанализировала.
11.03.2007, 00:59
LindeMaN

Большое спасибо за помощь. Вроде в system32 файл больше не появляется. Надеюсь все будет ок.
22.02.2009, 01:39
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\program files\\common files\\system\\svchost.exe - [B]Backdoor.Win32.IRCBot.aac[/B] (DrWEB: BackDoor.IRC.Sdbot.1131)[*] c:\\windows\\system32\\ssqrp.dll - [B]not-a-virus:AdWare.Win32.Virtumonde.fp[/B] (DrWEB: Trojan.Virtumod)[/LIST][/LIST]