Trojan.Win32.BHO.abo

Printable View

06.12.2007, 17:25
LoMo

Вложений: 3

Trojan.Win32.BHO.abo

Здравствуйте. При проверке Касперским выдало что заражён этим вирусом "[SIZE=2]Trojan.Win32.BHO.abo" однако удалить его с помощью Касперского нельзя ... и в ручную(безопасном режиме тоже ) при попытке удаления пишет " прав нету " он лежит тут "[SIZE=2]Файл: c:\windows\system32\atmf.dll/PE_Patch.UPX/UPX" вот собственно как от него избавиться... Помогите пожалуйста а то я вижу тока одно решение... формат с... но очень не хочется этого делать...а вот собственно файлы как по инструкции.[/SIZE][/SIZE]
[SIZE=2][SIZE=2]Спасибо за внимание.
[/SIZE][/SIZE]
06.12.2007, 17:32
Bratez

Скачайте свежую версию AVZ - 4.27 и обновите ее базы.
Выполните в AVZ такой скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\system32\drivers\mlinidtw.dat','');
QuarantineFile('C:\Windows\system32\drivers\Elt58.sys','');
DeleteFile('C:\Windows\system32\drivers\Elt58.sys');
DeleteFile('C:\Windows\system32\drivers\mlinidtw.dat');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Поищите через AVZ - Сервис - Поиск файлов на диске файл ccjft.exe и добавьте его в карантин. Пришлите весь карантин согласно приложению 3 правил.
Сделайте новые логи.
06.12.2007, 18:37
LoMo

Вложений: 3

[B][COLOR=#0000ff]Спасибо вот они
[/B][/COLOR]
06.12.2007, 18:45
V_Bond

Восстановление системы: включено /отключить....
пофиксите..
[code]
O2 - BHO: (no name) - {7ABC9437-7C7C-48FF-A65F-BAB0F8844956} - C:\WINDOWS\System32\atmf.dll (file missing)
O4 - HKLM\..\Run: [Windows haz Layer] ccjft.exe
O4 - HKLM\..\RunServices: [Windows haz Layer] ccjft.exe
O4 - HKCU\..\Run: [Windows haz Layer] ccjft.exe
[/code]
віполните скрипт...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
BC_QrFile('C:\Windows\system32\drivers\Elt58.sys');
BC_DeleteFile('C:\Windows\system32\drivers\Elt58.sys');
BC_DeleteSvc('Elt58');
BC_DeleteSvc('Microsoft Inet Service');
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин как положено ....
согласно приложения 3 правил .......
повторите логи ....
06.12.2007, 18:46
Макcим

Карантин не нужно прикреплять к сообщению.
06.12.2007, 19:33
LoMo

[quote=V_Bond;157585]Восстановление системы: включено /отключить....
пофиксите..
[code]
O2 - BHO: (no name) - {7ABC9437-7C7C-48FF-A65F-BAB0F8844956} - C:\WINDOWS\System32\atmf.dll (file missing)
O4 - HKLM\..\Run: [Windows haz Layer] ccjft.exe
O4 - HKLM\..\RunServices: [Windows haz Layer] ccjft.exe
O4 - HKCU\..\Run: [Windows haz Layer] ccjft.exe
[/code]
віполните скрипт...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
BC_QrFile('C:\Windows\system32\drivers\Elt58.sys');
BC_DeleteFile('C:\Windows\system32\drivers\Elt58.sys');
BC_DeleteSvc('Elt58');
BC_DeleteSvc('Microsoft Inet Service');
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин как положено ....
согласно приложения 3 правил .......
повторите логи ....[/quote]
[COLOR=black]Пофиксил , сделал скрипт , при попытке сделать логи машина уходит в ребут... Делал все по инструкции... Что делать подскажите?[/COLOR]

[quote=Maxim;157586]Карантин не нужно прикреплять к сообщению.[/quote] [FONT='Times New Roman']Извините первый раз тут не сразу разобрался, [/FONT]
06.12.2007, 19:37
V_Bond

при попытке выполнить скрипт ... или сделать логи машина ребутится ?
06.12.2007, 19:43
LoMo

После того как пофиксил и сделал скрипт машина ушла в перегруз и все нормально, потом при выполнение лога машина сама уходит в ребут и при входе в виндовс пишет "виндовс был восстановлен после серьёзной ошибке " пробовал 2 раза одно и тоже...
P.S. Восстановление системы отключено.
06.12.2007, 19:45
V_Bond

выполните скрипт ...
[code]
begin
SearchRootkit(false, true);
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Elt58', 'Start');
RebootWindows(true);
end.
[/code]
затем скрипт из поста 4 .... и попробуйте выполнить логи ...
06.12.2007, 20:06
LoMo

[quote=V_Bond;157600]выполните скрипт ...
[code]
begin
SearchRootkit(false, true);
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Elt58', 'Start');
RebootWindows(true);
end.
[/code]
затем скрипт из поста 4 .... и попробуйте выполнить логи ...[/quote]
Зделал этот скрипт машина ушлав ребут и все нормально , потому зделал скрипт из 4 поста , при попытке уйти в афтоматический ребут после выполнения скрипта она виснет ( тока в ручную ее приходиться отправлять ) потом попробывал зделать лог ( дошло до середине и машина ушла в ребут сама ) потом попробывал заного зделать скрипт из 4 поста (опять так же повисто при попытке уйти в ребут после тока как ехспловер и проги закрились - висит фото рабочего стола и больше нечиго ) ... что подскажете ?
06.12.2007, 20:07
rubin

Сделайте [url="http://virusinfo.info/showthread.php?t=10387"]дополнительный лог[/url]
06.12.2007, 20:18
LoMo

Вложений: 1

воть
06.12.2007, 20:25
V_Bond

что хотели убить убили ....
ccjft.exe - поищите через AVZ... сервис- поиск файлов нп диске ... если найдется пришлите по правилам ....
06.12.2007, 20:35
LoMo

Поискал Ненашел... вот вы тогда просили карантин ..я его закачал как надо
[B]Результат загрузки[/B]

Файл сохранён как071206_113126_virus_475831ee61135.zipРазмер файла2184MD5bb89274e886601bd5a039a4d06a25049[B]Файл закачан, спасибо![/B]

когда делал архив карантина Касперский выдавал все как вирус ....но я не стал удалять ...что делать подскажите?
06.12.2007, 20:37
rubin

Антивирус не просто орал, он все-таки все удалил :)
06.12.2007, 20:41
LoMo

Всем кто помог большое спасибо :) Тему я думаю можно закрывать :)
06.12.2007, 20:42
rubin

Проблемы исчезли?
Что не нужно?
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
06.12.2007, 20:47
LoMo

Изначяльно была проблема убить "Trojan.Win32.BHO.abo" ее решили... если хотите можете помочь и с этим :)
06.12.2007, 20:48
rubin

А что из этого не нужно?
06.12.2007, 20:55
LoMo

По идее не чего :) ПК домашний...
06.12.2007, 20:56
rubin

[code]begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('Alerter', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
end.[/code]
06.12.2007, 20:58
V_Bond

начсчет логов сделайте логи стандартный скрипт2 .... должен пройти ...
и hijackthis ....
06.12.2007, 21:57
LoMo

Вложений: 3

rubin Спасибо сделал :)
V_Bond на удивление все 3 прошло выкладываю.
06.12.2007, 22:02
rubin

[code]Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)[/code]
Ставьте SP2 + все обновления...
Выполните скрипт:
[code]begin
RegKeyParamDel('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run', 'Windows haz Layer');
SysCleanAddFile('ccjft.exe');
ExecuteSysClean;
RebootWindows(true);
end.[/code]
Сделайте повторно virusinfo_syscheck
06.12.2007, 22:04
V_Bond

во время выполнения скрипта не забудьте отключить антивирус ...
06.12.2007, 22:27
LoMo

Вложений: 1

[quote=rubin;157645][code]Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)[/code]
Ставьте SP2 + все обновления...
Выполните скрипт:
[code]begin
RegKeyParamDel('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run', 'Windows haz Layer');
SysCleanAddFile('ccjft.exe');
ExecuteSysClean;
RebootWindows(true);
end.[/code]
Сделайте повторно virusinfo_syscheck[/quote]
Неполучиться поставить SP2 так как у меня нету желание его ставить...уж извеняйте...

V_Bond ок , я просто забыл...
06.12.2007, 22:29
rubin

В логе все почистилось...
06.12.2007, 22:29
V_Bond

все чисто ... можно выписываться ...
чтобы уменьшить шанс заражения старайтесь по возможности не пользоваться Internet Explorer, использовать альтернативные браузеры, Firefox,Opera(с отключёнными скриптами)
прочитате [URL="http://security-advisory.newmail.ru/"]электронную книгу[/URL] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
06.12.2007, 22:34
LoMo

Спасибо доктора :)

а я IE не пользуюсь... пользуюсь MYiE2 RU это вроде и есть альтернатива...
07.12.2007, 01:40
pig

MyIE - это тот же IE, только в другой шкурке.
07.12.2007, 23:07
LoMo

V_Bond Спасибо за книгу :)

pig ясно... сменил на оперу :))

З.Ы. тему можно закрывать...
22.02.2009, 03:03
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]