ТроЯн!!! Помогите!!!!

Printable View

14.12.2007, 20:42
Любава

Вложений: 3

ТроЯн!!! Помогите!!!!

У меня стоял НОД32, находил вирус Trojan.Win32.BHO.abo (ссылался на файл c:\windows\system32\ocmanag.dll)
Пробовала удалить этот файл руками, через безопасный режим, через реестр.... ничего не помогло...
Снесла НОД32, поставила касперского - все равно не помагает :'(

-----------

Правила выполнила, как видите =)))

Помогите, пож-та =)))))
14.12.2007, 20:49
rubin

1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\drivers\fnjkkmym.dat','');
QuarantineFile('C:\WINDOWS\system32\drivers\fnjkkmym.sys','');
QuarantineFile('C:\WINDOWS\system32\ocmanag.dll','');
BC_ImportQuarantineList;
BC_QrFile('C:\WINDOWS\system32\drivers\fnjkkmym.sys');
BC_QrFile('C:\WINDOWS\system32\drivers\fnjkkmym.dat');
BC_DeleteFile('C:\WINDOWS\system32\drivers\fnjkkmym.sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\fnjkkmym.dat');
BC_DeleteSvc('dvdkwahx');
BC_DeleteSvc('fnjkkmym');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=15292[/url]
14.12.2007, 21:04
Любава

Я все сделала и отправила....
14.12.2007, 21:10
rubin

Сделайте повторные логи для контроля

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

[b]Trojan.Win32.BHO.abo[/b] C:\WINDOWS\system32\ocmanag.dll
[b]Rootkit.Win32.Agent.ql[/b] C:\WINDOWS\system32\drivers\fnjkkmym.dat
[b]Trojan.Win32.BHO.qy[/b] C:\WINDOWS\system32\drivers\fnjkkmym.sys
14.12.2007, 21:26
Любава

сделала.....
14.12.2007, 21:28
rubin

Их нужно прикрепить к сообщению...
14.12.2007, 21:29
Любава

=))))

так?

=)))
14.12.2007, 21:35
rubin

Опять не вышло :)
Логи hijackthis.log, virusinfo_syscheck.zip, virusinfo_syscure.zip
virus.zip - это карантин, уберите...
14.12.2007, 21:36
Любава

=)))) сейчас........
14.12.2007, 21:43
Любава

Вложений: 3

вот! =))
14.12.2007, 21:52
rubin

Первый скрипт:
[code]begin
RegKeyDel('HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\','dvdkwahx');
RegKeyDel('HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\','fnjkkmym');
BC_DeleteSvc('dvdkwahx');
BC_DeleteSvc('fnjkkmym');
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\ocmanag.dll');
BC_ImportDeletedList;
BC_DeleteFile('C:\WINDOWS\system32\Drivers\fnjkkmym.dat');
BC_DeleteSvc('dvdkwahx');
BC_Activate;
RebootWindows(true);
end.[/code]
Пофиксьте в HiJackThis:
[code]O2 - BHO: (no name) - {E48EDC8C-0F2D-4EA1-8CC4-81D08B8B971C} - C:\WINDOWS\system32\ocmanag.dll[/code]

Повторите лог virusinfo_syscheck
14.12.2007, 22:02
Любава

Вложений: 1

у меня ошибка какая-то :'(((
14.12.2007, 22:03
rubin

Исправил - опечатка
14.12.2007, 22:14
Любава

Вложений: 1

вот...........
14.12.2007, 22:18
rubin

Выполните в Safe mode (при загрузке нажимайте F8 - Выбираете Safe mode\безопасный режим)
[code]begin
RegKeyDel('HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\','dvdkwahx');
BC_DeleteSvc('dvdkwahx');
BC_Activate;
RebootWindows(true);
end.[/code]
И
[code]begin
BC_DeleteFile('C:\WINDOWS\system32\Drivers\fnjkkmym.dat');
BC_DeleteSvc('dvdkwahx');
BC_Activate;
RebootWindows(true);
end.[/code]
Сделайте лог virusinfo_syscure.zip после этого...
14.12.2007, 22:34
Любава

Вложений: 1

лог virusinfo_syscure.zip делала тоже в безопасном режиме....
14.12.2007, 23:16
vaber

Выполните скрипт в обычном режиме:

[CODE]
begin
SearchRootkit(false, true);
DeleteFile('C:\WINDOWS\system32\Drivers\fnjkkmym.dat');
ExecuteSysClean;
RebootWindows(true);
end.
[/CODE]
и повторите логи, тоже в обычном режиме.
15.12.2007, 13:20
Любава

Вложений: 1

посмотрите, пож-та....
15.12.2007, 13:40
V_Bond

выполните скрипт ...
[code]
begin
DeleteFile('C:\WINDOWS\system32\ocmanag.dll');
DelBHO('{E48EDC8C-0F2D-4EA1-8CC4-81D08B8B971C}');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
15.12.2007, 13:50
Любава

Вложений: 1

выполнила..
15.12.2007, 13:59
Макcим

Сделайте ещё один лог как написано [url="http://virusinfo.info/showthread.php?t=10387"]здесь[/url].

AVZ - Сервис - Модули пространства ядра, выделите мышкой модуль [B].sys[/B], и нажмите кнопочку "снять дамп памяти текущего модуля". Прикрепите дамп к сообщению как лог.
15.12.2007, 14:56
Любава

Вложений: 2

вот.....
15.12.2007, 16:00
Макcим

Сделайте три лога как в начале темы.
23.12.2007, 21:02
Любава

Вложений: 3

я вернулась

:pray: извените за долгое отсутствие.....
23.12.2007, 21:24
V_Bond

в логах не видно ничего зловредного ....
23.12.2007, 22:04
Любава

ой, спасибки!!!!! =)))) я каспером проверила - тоже ничего не нашел =))))) спасибо! спасибо! спасибо! =))))) всех с наступающим :xmas:
22.02.2009, 03:04
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]22[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\drivers\\fnjkkmym.dat - [B]Rootkit.Win32.Agent.tw[/B] (DrWEB: Trojan.NtRootKit.511)[*] c:\\windows\\system32\\drivers\\fnjkkmym.sys - [B]Trojan.Win32.BHO.gy[/B] (DrWEB: Trojan.Sentinel)[*] c:\\windows\\system32\\ocmanag.dll - [B]Rootkit.Win32.Podnuha.y[/B] (DrWEB: Trojan.DownLoader.37561)[/LIST][/LIST]