Trojan-Downloader.Win32.Zlob.eih

Printable View

17.01.2008, 17:32
BC0

Вложений: 2

Trojan-Downloader.Win32.Zlob.eih

Подозреваю что словил троянов
-Trojan-Downloader.Win32.Zlob.eih
and
- Backdoor
17.01.2008, 17:35
Макcим

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\vsnpstd3.exe','');
QuarantineFile('C:\WINDOWS\tsnpstd3.exe','');
QuarantineFile('C:\WINDOWS\system32\mllmm.exe','');
QuarantineFile('C:\WINDOWS\FixCamera.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\TVICHW32.SYS','');
QuarantineFile('C:\WINDOWS\system32\mllmm.dll','');
DeleteFile('C:\WINDOWS\system32\mllmm.dll');
DeleteFile('C:\WINDOWS\system32\DRIVERS\TVICHW32.SYS');
DeleteFile('C:\WINDOWS\FixCamera.exe');
DeleteFile('C:\WINDOWS\system32\mllmm.exe');
DeleteFile('C:\WINDOWS\tsnpstd3.exe');
DeleteFile('C:\WINDOWS\vsnpstd3.exe');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]Загрузите карантин согласно приложению №3 правил. Повторите логи.
17.01.2008, 22:12
BC0

Вложений: 2

Trojan-Downloader.Win32.Zlob.eih

- Повторите логи.
Yes!
17.01.2008, 22:20
BC0

- Загрузите карантин согласно приложению №3 правил.
Yes, quarantine was downloaded!
17.01.2008, 22:42
V_Bond

C:\WINDOWS\system32\mllmm.exe [B] Trojan-Dropper.Win32.agent.dqo[/B]
C:\WINDOWS\system32\mllmm.dll [B]Trojan.Vundo.DVD[/B]
пофиксите ...
[code]
O2 - BHO: (no name) - {88E60667-C86F-4BA0-AFD2-653B4134B95F} - C:\WINDOWS\system32\mllmm.dll (file missing)
[/code]
віполните скрипт ....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\mllmm.exe');
DeleteFile('C:\WINDOWS\system32\mllmm.dll');
DelBHO('{88E60667-C86F-4BA0-AFD2-653B4134B95F}');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи ...
18.01.2008, 01:06
BC0

Вложений: 2

- повторите логи ...
Yes!
18.01.2008, 01:08
BC0

- пофиксите ...
- віполните скрипт ....
Yes! Done!
18.01.2008, 01:18
V_Bond

выполните скрипт ....
[code]
begin
SysCleanAddFile('C:\WINDOWS\system32\mllmm.exe');
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
повторте лог .... стандартный скрипт 2 ....
18.01.2008, 01:44
BC0

Вложений: 1

выполните скрипт ....
повторте лог .... стандартный скрипт 2 ....
Yes! Done!
18.01.2008, 09:24
Макcим

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\mllmm.exe');
BC_ImportALL;
BC_Activate;
SysCleanAddFile('C:\WINDOWS\system32\mllmm.exe');
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]Повторите лог virusinfo_syscheck.zip.

Теперь советы по оптимизации.

Всё анти-adware и анти-spyware лучше удалить, пользы от них ни какой. Тоже самое по поводу тулбаров (Yahoo, Google).

В автозагрузке у Вас слишком много программ. Посмотрите, может некоторым необязательно загружаться при старте системы?[CODE]O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [btbb_wcm_McciTrayApp] C:\Program Files\btbb_wcm\McciTrayApp.exe
O4 - HKLM\..\Run: [YBrowser] C:\PROGRA~1\Yahoo!\browser\ybrwicon.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\BTBROA~2\SMARTB~1\BTHelpNotifier.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SpyHunter Security Suite] C:\Program Files\Enigma Software Group\SpyHunter\SpyHunter3.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?[/CODE]
18.01.2008, 17:35
BC0

Вложений: 1

[quote=Maxim;174239][URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\mllmm.exe');
BC_ImportALL;
BC_Activate;
SysCleanAddFile('C:\WINDOWS\system32\mllmm.exe');
ExecuteSysClean;
RebootWindows(true);
end.[/code]Повторите лог virusinfo_syscheck.zip.

[COLOR=red]Yes! Done![/COLOR]

Теперь советы по оптимизации.

Всё анти-adware и анти-spyware лучше удалить, пользы от них ни какой. Тоже самое по поводу тулбаров (Yahoo, Google).

В автозагрузке у Вас слишком много программ. Посмотрите, может некоторым необязательно загружаться при старте системы?[code]O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [btbb_wcm_McciTrayApp] C:\Program Files\btbb_wcm\McciTrayApp.exe
O4 - HKLM\..\Run: [YBrowser] C:\PROGRA~1\Yahoo!\browser\ybrwicon.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\BTBROA~2\SMARTB~1\BTHelpNotifier.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SpyHunter Security Suite] C:\Program Files\Enigma Software Group\SpyHunter\SpyHunter3.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?[/code][/quote]
---------------------------------------------------
[FONT=Arial][SIZE=2][COLOR=red]Thank you for your participation and Help![/COLOR]

[COLOR=red]Frankly, I am "чайник" ...absolutely! I read a lot and try to learn. [/COLOR]
[COLOR=red]So. Let me ask![/COLOR]
[COLOR=red]- What is the minimum set of programmes should be in start menu? and which program clean start up? [/COLOR]
[COLOR=red]- Ok! I will read your website from start to finish, but how do I live without Antivirus if everybody talks about installing them? [/COLOR]
[COLOR=red]- How do I delete toolbar ?[/COLOR]
[FONT=Arial][SIZE=2][COLOR=red]Yours faithfully Brian[/COLOR][/SIZE][/FONT]

[/SIZE][/FONT]
18.01.2008, 17:45
Макcим

Не понимаю ни слова по английски :(
18.01.2008, 18:01
V_Bond

1 в автозагрузке нужно оставить минимум программ .... только действительно необходимые ....
2 toolbar можно удалить через установку- удаление программ ....
3 кто -то из ваших антишпионов не дает достапа к реестру ... удалите их все ..они не нужны
4 выполните любой из последних двух скриптов в safe mode ///
19.01.2008, 00:56
BC0

Вложений: 1

выполните любой из последних двух скриптов в safe mode
[COLOR=red]yes![/COLOR]
19.01.2008, 01:04
V_Bond

1 этот скрипт выполнить в Safe mode
[code]
begin
DeleteFile('C:\WINDOWS\system32\mllmm.exe');
DelBHO('{88E60667-C86F-4BA0-AFD2-653B4134B95F}');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
2 virusinfo_syscheck.zip сделать в нормальном режиме ...
19.01.2008, 01:34
BC0

Вложений: 1

Yes! Done!
19.01.2008, 02:11
V_Bond

осталась одна запись в реестре ... которая не удаляется по вине ad-aware ....
больше ничего вредоносного ...
19.01.2008, 03:37
BC0

Вложений: 2

no ad-aware on computer!
19.01.2008, 03:54
BC0

Вложений: 1

I checked again!
19.01.2008, 06:12
Макcим

[QUOTE=BC0;174795]no ad-aware on computer![/QUOTE]Отлично! Выполняйте ещё раз скрипт[CODE]begin
SysCleanAddFile('C:\WINDOWS\system32\mllmm.exe');
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]Повторите лог virusinfo_syscheck.zip.
19.01.2008, 12:55
BC0

Вложений: 1

Повторите лог virusinfo_syscheck.zip.
Yes!
But....hm...
19.01.2008, 14:55
Bratez

Выполните такой скрипт:
[code]
begin
SetAVZGuardStatus(True);
DelBHO('{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}');
RegKeyParamDel('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Windows', 'Load');
RebootWindows(true);
end.[/code]
Посмотрите, нужно ли вам что-то из этого списка:
[code]
>> Services: potentially dangerous service allowed: TermService (Terminal Services)
>> Services: potentially dangerous service allowed: Schedule (Task Scheduler)
>> Services: potentially dangerous service allowed: mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Services: potentially dangerous service allowed: RDSessMgr (Remote Desktop Help Session Manager)
>> Security: disk drives' autorun is enabled
>> Security: administrative shares (C$, D$ ...) are enabled
>> Security: anonymous user access is enabled
>> Security: sending Remote Assistant queries is enabled
[/code]
Лишнее отключим.
19.01.2008, 15:20
BC0

Вложений: 1

[FONT=Arial][SIZE=2]Выполнено ![/SIZE][/FONT]
[FONT=Arial][SIZE=2]....результат тот же насколько я понимаю[/SIZE][/FONT]
....отключайте - они не говорят ни о чем мне!
19.01.2008, 15:34
Bratez

[quote]результат тот же насколько я понимаю[/quote]
Нет, упрямый параметр все-таки удалился.

Вот скрипт для отключения ненужных сервисов:
[code]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('TermService', 4);
RebootWindows(true);
end.[/code]
Если есть локальная сеть с общим доступом к файлам и принтерам, то уберите из скрипта первую строчку после begin.
19.01.2008, 19:09
BC0

Вложений: 3

[FONT=Arial][SIZE=2]зараза теперь перемещена в карантин насколько я понимаю[/SIZE][/FONT]
[FONT=Arial][SIZE=2]Жду заключительных указаний![/SIZE][/FONT]
19.01.2008, 21:24
BC0

[quote=V_Bond;174526]

1 в автозагрузке нужно оставить минимум программ .... только действительно необходимые ....

[COLOR=red]- was clean with prg - "Startup Inspector for Windows"[/COLOR]

2 toolbar можно удалить через установку- удаление программ ....
[FONT=Arial][COLOR=red]- они там отсутствуют - в том то и проблема![/COLOR][/FONT]
[COLOR=red]Все форумы забиты вопросами о их удалении потому как они не прописаны в [/COLOR][COLOR=red]через установку- удаление программ[/COLOR]

[COLOR=red]Ваш совет?[/COLOR]

3 кто -то из ваших антишпионов не дает достапа к реестру ... удалите их все ..они не нужны

[FONT=Arial][SIZE=2][COLOR=red]Вообще? И не устанавливать даже вообще? [/COLOR][/SIZE][/FONT]
19.01.2008, 22:23
V_Bond

1 по вашему усмотрению
2 можем удалить насильно нет проблем
3 при наличии антивируса конечно устанвливать не стоит ..
20.01.2008, 02:01
BC0

[I]2 можем удалить насильно нет проблем
[/I][B]yes!!! удалить насильно please![/B]

[size="1"][color="#666686"][B][I]Добавлено через 2 часа 11 минут[/I][/B][/color][/size]

antivirus Avira inform about virus- HTML/ADODB.Exploit.Gen - Exploit
Any idea?
20.01.2008, 09:36
Макcим

Вы можете разговаривать на русском?
20.01.2008, 12:01
V_Bond

у вас влючено получение новочте от Avira .... вы получили что-то похожее [url]http://www.avira.com/ru/threats/section/fulldetails/id_vir/3665/html_adodb.exploit.gen.html[/url] ?
20.01.2008, 12:29
BC0

- Вы можете разговаривать на русском?
я то могу.вот мой компьютер не может отсутствует руская клавиатура.:xmas:
- у вас влючено получение новочте от Avira .... вы получили что-то похожее [URL="http://www.avira.com/ru/threats/section/fulldetails/id_vir/3665/html_adodb.exploit.gen.html"]http://www.avira.com/ru/threats/sect...ploit.gen.html[/URL] ?

не вполне понимаю где отключить это но буду разбираться. спасибо.

последне я надеюсь помогите избавиться от этих.
toolbar нужно удалить
([I]можем удалить насильно нет проблем [/I][B]yes!!! удалить насильно please!)[/B]
20.01.2008, 17:41
V_Bond

удалим примочки от Yahoo!
пофиксите ...
[code]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://uk.red.clientapps.yahoo.com/customize/btyahoo/defaults/sb/*http://uk.docs .yahoo.com/info/bt_side.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://uk.rd.yahoo.com/customize/ycomp/defaults/su/*http://uk.yahoo.com
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file
O2 - BHO: Yahoo! IE Services Button - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\PROGRA~1\Yahoo!\Common\yiesrvc.dll
O2 - BHO: SidebarAutoLaunch Class - {F2AA9440-6328-4933-B7C9-A6CCDF9CBF6D} - C:\Program Files\Yahoo!\browser\YSidebarIEBHO.dll
[/code]
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Program Files\Yahoo!\browser\YSidebarIEBHO.dll');
DeleteFile('C:\PROGRA~1\Yahoo!\Common\yiesrvc.dll');
DeleteFile('C:\WINDOWS\system32\YPCSER~1.EXE');
DeleteFile('C:\PROGRA~1\Yahoo!\Common\ymmapi.dll');
BC_DeleteSvc('YPCService');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
23.01.2008, 01:41
BC0

Вложений: 2

мне кажется что заразу мы не вылечили все же
23.01.2008, 01:56
V_Bond

выполните скрипт ...
[code]
begin
ClearQuarantine;
QuarantineFile('C:\downloads\tool_en.com','');
QuarantineFile('c:\windows\tsnpstd3.exe','');
BC_Importall;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
24.01.2008, 15:35
BC0

Вложений: 1

Yes! Done!
24.01.2008, 16:01
V_Bond

оба присланных файла чисты ...
в чем проявляюся проблемы ?
22.02.2009, 03:31
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\mllmm.dll - [B]not-a-virus:AdWare.Win32.Virtumonde.dqi[/B] (DrWEB: Trojan.Virtumod.257)[*] c:\\windows\\system32\\mllmm.exe - [B]Virus.Win32.Trats.d[/B] (DrWEB: Trojan.MulDrop.11190)[/LIST][/LIST]