достал ru.errorsafe.com

[ToT]

достал тороян или что он из чебя представляет...
выскакивает окно с адресом ru.errorsafe.com/*/2006.....
вроде как сканирует систему наговорит что нашёл уязвимости и просит загрузить программу для очистки если закрыть при след выходе в инет выскакивает вновь

заглянул в лог фаервола непсредственно перед появлением наблюдается активность по адресам

просканировал как NOD32 так и drweb-cureit.exe нашёл последним в java-скрипте в кэше Opera тороян Trojan.MulDrop.5819

при скане HiJackThis_v2 показался подозрит файл nnnmmno.dll... но он не удалялся или появлялся вновь... с помощью Regmon отследил что nnnmmno.dll в реестр забивает winlogon и у него он висит в памяти...

но вычищать основательней пока не пробовал... жду совета

[Bratez]

Не хватает лога п.8 правил, ну да ладно, пока и так обойдемся.

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\feosytle.dll','');
 QuarantineFile('C:\Documents and Settings\ToT\Application Data\Microsoft\Installer\{32230531-F971-468F-9BD4-7C3369F3468B}\iconVCAdvertised.exe','');
 QuarantineFile('\SystemRoot\system32\DRIVERS\rminiv3.sys','');
 QuarantineFile('C:\WINDOWS\system32\pmkjh.dll','');
 QuarantineFile('C:\WINDOWS\system32\nnnmmno.dll','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите содержимое карантина согласно приложению 3 правил.

[ToT]

после завершения скрипта был зависон... всё как положено закрылся рабочий стол, но потом выдало что дисковод не готов и все дальше никуда не ушло (ждал 5-10 мин)
при загрузке выдало тоже самое...

по п.8 добавил

[drongo]

Странная реакция Пока ничего не удалили ,это скрипты копирования. Или у вас новый класс вирусов с защитой от копирования или проблемы с железом.
Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine; 
 QuarantineFile('H:\greylink0100\greylink.exe','');
 QuarantineFile('c:\program files\rbtray\rbtray.exe','');
 QuarantineFile('C:\Documents and Settings\ToT\Local Settings\Temp\wbrjmmni.dll','');
 QuarantineFile('C:\WINDOWS\system32\PrxerDrv.dll','');
 QuarantineFile('F:\autorun.inf ','');
 QuarantineFile('C:\Program Files\RBTray\RBHook.dll','');
 BC_ImportQuarantineList;
 BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.
Пришлите содержимое карантина согласно приложению 3 правил.

Удалить вот это: C:\Мои документы\PPC\30.04\tse2331b-2006-06-18.rar/ , в кряке по совместительству загрузчик троянов

[ToT]

Странная реакция Пока ничего не удалили ,это скрипты копирования. Или у вас новый класс вирусов с защитой от копирования или проблемы с железом.

походу действительно как-то совпало флоп сдох..

Компьютер перезагрузится.
Пришлите содержимое карантина согласно приложению 3 правил.

greylink.exe - это DC++ его вариация
rbtray.exe и RBHook.dll - сворачивает окна в трей стоит давно месяца 4
autorun.inf - игра на диске

Удалить вот это: C:\Мои документы\PPC\30.04\tse2331b-2006-06-18.rar/ , в кряке по совместительству загрузчик троянов

знаю

[Bratez]

feosytle.dll, pmkjh.dll, nnnmmno.dll - not-a-virus:AdWare.Win32.Virtumonde
Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\system32\feosytle.dll');
 DeleteFile('C:\WINDOWS\system32\nnnmmno.dll');
 DeleteFile('C:\WINDOWS\system32\pmkjh.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки пофиксите в HijackThis (если останется):

Код:

O2 - BHO: (no name) - {4B646AFB-9341-4330-8FD1-C32485AEE619} - C:\WINDOWS\system32\feosytle.dll
O2 - BHO: (no name) - {9A853E36-4A35-4DBF-9C03-AD9423798E35} - C:\WINDOWS\system32\nnnmmno.dll
O2 - BHO: (no name) - {FCF20EA1-616C-4A9A-8B4F-5A4DC703B97E} - C:\WINDOWS\system32\pmkjh.dll
O20 - Winlogon Notify: nnnmmno - C:\WINDOWS\SYSTEM32\nnnmmno.dll
O20 - Winlogon Notify: pmkjh - C:\WINDOWS\system32\pmkjh.dll

и сделайте новые логи.

[ToT]

всё вроде удалилось!
Большое Вам спасибо! Хороший сайт

[drongo]

Код:

Здравствуйте,

avz00001.dta, avz00002.dta, avz00004.dta, avz00005.dta, avz00006.dta, bcqr00001.dat, bcqr00002.dat, bcqr00003.dat, bcqr00004.dat, bcqr00007.dat, bcqr00008.dat, bcqr00011.dat, bcqr00012.dat

Вредоносный код в файлах не обнаружен.

avz00003.dta, bcqr00005.dat, bcqr00006.dat - Trojan-Spy.Win32.VBStat.h

Эти файлы определяются антивирусом. Обновите антивирусные базы.

bcqr00009.dat, bcqr00010.dat - not-a-virus:AdWare.Win32.Virtumonde.jp

Это файлы от рекламной системы. Такие файлы детектируются
расширенным набором баз. Подробная информация о
расширенных базах: http://www.kaspersky.ru/extraavupdates

Пожалуйста, при ответе включайте переписку целиком.

--
С уважением, Владимир Крылов
Вирусный аналитик Лаборатории Касперского.
e-mail: [email protected]
http://www.kaspersky.com/

http://www.kaspersky.ru/virusscanner - Онлайн тестирование самыми свежими KAV-базами.
http://www.kaspersky.com/helpdesk.html - техническая поддержка



> Attachment: 070527_103713_virus_4659271972c25.zip

>  VirusInfo Из темы http://virusinfo.info/showthread.php?t=10032 070527_103713_virus_4659271972c25.zip

Код:

AVZ Quarantine files rename tool. v1.00
Scan folder: e:\ForTest\
avz00001.dta = "e:\ForTest\greylink0100\greylink.exe"
avz00002.dta = "e:\ForTest\program files\rbtray\rbtray.exe"
avz00003.dta = "e:\ForTest\Documents and Settings\ToT\Local Settings\Temp\wbrjmmni.dll"
avz00004.dta = "e:\ForTest\WINDOWS\system32\PrxerDrv.dll"
avz00005.dta = "e:\ForTest\autorun.inf"
avz00006.dta = "e:\ForTest\Program Files\RBTray\RBHook.dll"
bcqr00001.dta = "e:\ForTest\\H:\greylink0100\greylink.exe"
bcqr00002.dta = "e:\ForTest\\H:\greylink0100\greylink.exe"
bcqr00003.dta = "e:\ForTest\\c:\program files\rbtray\rbtray.exe"
bcqr00004.dta = "e:\ForTest\\c:\program files\rbtray\rbtray.exe"
bcqr00005.dta = "e:\ForTest\\C:\Documents and Settings\ToT\Local Settings\Temp\wbrjmmni.dll"
bcqr00006.dta = "e:\ForTest\\C:\Documents and Settings\ToT\Local Settings\Temp\wbrjmmni.dll"
bcqr00007.dta = "e:\ForTest\\C:\WINDOWS\system32\PrxerDrv.dll"
bcqr00008.dta = "e:\ForTest\\C:\WINDOWS\system32\PrxerDrv.dll"
bcqr00009.dta = "e:\ForTest\\F:\autorun.inf"
bcqr00010.dta = "e:\ForTest\\F:\autorun.inf"
bcqr00011.dta = "e:\ForTest\\C:\Program Files\RBTray\RBHook.dll"
bcqr00012.dta = "e:\ForTest\\C:\Program Files\RBTray\RBHook.dll"

надеюсь это сами ставили :
C:\WINDOWS\system32\rserver30\rserver3.exe

[Bratez]

@drongo: Знать бы еще кто есть who в том карантине на почти 6MB

[drongo]

@drongo: Знать бы еще кто есть who в том карантине на почти 6MB

это он и есть

[drongo]

@ToT
Чтобы уменьшить шанс заражения советую на будущее :
1) работать за компьютером из под ограниченного пользователя.
2)Пользоваться для хождения по интернету другим браузером с отключёнными скриптами по умолчанию (Firefox и Opera это позволяют делать в отличии от IE 7 ,6....)
Сделайте следующее: http://virusinfo.info/showthread.php?t=3519

, чтобы в следующий раз вас не просили присылать те же самые файлы ( они должны стать зелёными в логе

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 33
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\documents and settings\\tot\\local settings\\temp\\wbrjmmni.dll - Trojan-Spy.Win32.VBStat.h
  2. c:\\windows\\system32\\feosytle.dll - not-a-virus:AdWare.Win32.Virtumonde.kb (DrWEB: Trojan.Virtumod)
  3. c:\\windows\\system32\\nnnmmno.dll - not-a-virus:AdWare.Win32.Virtumonde.jp (DrWEB: Trojan.Virtumod)
  4. c:\\windows\\system32\\pmkjh.dll - not-a-virus:AdWare.Win32.Virtumonde.fp (DrWEB: Trojan.Virtumod)
  5. f:\\autorun.inf - not-a-virus:AdWare.Win32.Virtumonde.jp (DrWEB: Trojan.Virtumod)