Junior Member
Вес репутации
62
достал ru.errorsafe.com
достал тороян или что он из чебя представляет...
выскакивает окно с адресом ru.errorsafe.com/*/2006 .....
вроде как сканирует систему наговорит что нашёл уязвимости и просит загрузить программу для очистки если закрыть при след выходе в инет выскакивает вновь
заглянул в лог фаервола непсредственно перед появлением наблюдается активность по адресам
просканировал как NOD32 так и drweb-cureit.exe нашёл последним в java-скрипте в кэше Opera тороян Trojan.MulDrop.5819
при скане HiJackThis_v2 показался подозрит файл nnnmmno.dll... но он не удалялся или появлялся вновь... с помощью Regmon отследил что nnnmmno.dll в реестр забивает winlogon и у него он висит в памяти...
но вычищать основательней пока не пробовал... жду совета
Вложения
Последний раз редактировалось Alex_Goodwin; 29.05.2007 в 05:28 .
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Не хватает лога п.8 правил, ну да ладно, пока и так обойдемся.
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\feosytle.dll','');
QuarantineFile('C:\Documents and Settings\ToT\Application Data\Microsoft\Installer\{32230531-F971-468F-9BD4-7C3369F3468B}\iconVCAdvertised.exe','');
QuarantineFile('\SystemRoot\system32\DRIVERS\rminiv3.sys','');
QuarantineFile('C:\WINDOWS\system32\pmkjh.dll','');
QuarantineFile('C:\WINDOWS\system32\nnnmmno.dll','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите содержимое карантина согласно приложению 3 правил.
I am not young enough to know everything...
Junior Member
Вес репутации
62
после завершения скрипта был зависон... всё как положено закрылся рабочий стол, но потом выдало что дисковод не готов и все дальше никуда не ушло (ждал 5-10 мин)
при загрузке выдало тоже самое...
по п.8 добавил
Вложения
Странная реакция Пока ничего не удалили ,это скрипты копирования. Или у вас новый класс вирусов с защитой от копирования или проблемы с железом.
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('H:\greylink0100\greylink.exe','');
QuarantineFile('c:\program files\rbtray\rbtray.exe','');
QuarantineFile('C:\Documents and Settings\ToT\Local Settings\Temp\wbrjmmni.dll','');
QuarantineFile('C:\WINDOWS\system32\PrxerDrv.dll','');
QuarantineFile('F:\autorun.inf ','');
QuarantineFile('C:\Program Files\RBTray\RBHook.dll','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.
Пришлите содержимое карантина согласно приложению 3 правил.
Удалить вот это: C:\Мои документы\PPC\30.04\tse2331b-2006-06-18.rar/ , в кряке по совместительству загрузчик троянов
Последний раз редактировалось drongo; 27.05.2007 в 09:29 .
Junior Member
Вес репутации
62
Сообщение от
drongo
Странная реакция
Пока ничего не удалили ,это скрипты копирования. Или у вас новый класс вирусов с защитой от копирования или проблемы с железом.
походу действительно как-то совпало флоп сдох..
Компьютер перезагрузится.
Пришлите содержимое карантина согласно приложению 3 правил.
greylink.exe - это DC++ его вариация
rbtray.exe и RBHook.dll - сворачивает окна в трей стоит давно месяца 4
autorun.inf - игра на диске
Удалить вот это: C:\Мои документы\PPC\30.04\tse2331b-2006-06-18.rar/ , в кряке по совместительству загрузчик троянов
знаю
Последний раз редактировалось ToT; 27.05.2007 в 10:40 .
feosytle.dll, pmkjh.dll, nnnmmno.dll - not-a-virus:AdWare.Win32.Virtumonde
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\feosytle.dll');
DeleteFile('C:\WINDOWS\system32\nnnmmno.dll');
DeleteFile('C:\WINDOWS\system32\pmkjh.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки пофиксите в HijackThis (если останется):
Код:
O2 - BHO: (no name) - {4B646AFB-9341-4330-8FD1-C32485AEE619} - C:\WINDOWS\system32\feosytle.dll
O2 - BHO: (no name) - {9A853E36-4A35-4DBF-9C03-AD9423798E35} - C:\WINDOWS\system32\nnnmmno.dll
O2 - BHO: (no name) - {FCF20EA1-616C-4A9A-8B4F-5A4DC703B97E} - C:\WINDOWS\system32\pmkjh.dll
O20 - Winlogon Notify: nnnmmno - C:\WINDOWS\SYSTEM32\nnnmmno.dll
O20 - Winlogon Notify: pmkjh - C:\WINDOWS\system32\pmkjh.dll
и сделайте новые логи.
I am not young enough to know everything...
Junior Member
Вес репутации
62
всё вроде удалилось!
Большое Вам спасибо! Хороший сайт
Вложения
Код:
Здравствуйте,
avz00001.dta, avz00002.dta, avz00004.dta, avz00005.dta, avz00006.dta, bcqr00001.dat, bcqr00002.dat, bcqr00003.dat, bcqr00004.dat, bcqr00007.dat, bcqr00008.dat, bcqr00011.dat, bcqr00012.dat
Вредоносный код в файлах не обнаружен.
avz00003.dta, bcqr00005.dat, bcqr00006.dat - Trojan-Spy.Win32.VBStat.h
Эти файлы определяются антивирусом. Обновите антивирусные базы.
bcqr00009.dat, bcqr00010.dat - not-a-virus:AdWare.Win32.Virtumonde.jp
Это файлы от рекламной системы. Такие файлы детектируются
расширенным набором баз. Подробная информация о
расширенных базах: http://www.kaspersky.ru/extraavupdates
Пожалуйста, при ответе включайте переписку целиком.
--
С уважением, Владимир Крылов
Вирусный аналитик Лаборатории Касперского.
e-mail: [email protected]
http://www.kaspersky.com/
http://www.kaspersky.ru/virusscanner - Онлайн тестирование самыми свежими KAV-базами.
http://www.kaspersky.com/helpdesk.html - техническая поддержка
> Attachment: 070527_103713_virus_4659271972c25.zip
> VirusInfo Из темы http://virusinfo.info/showthread.php?t=10032 070527_103713_virus_4659271972c25.zip
Код:
AVZ Quarantine files rename tool. v1.00
Scan folder: e:\ForTest\
avz00001.dta = "e:\ForTest\greylink0100\greylink.exe"
avz00002.dta = "e:\ForTest\program files\rbtray\rbtray.exe"
avz00003.dta = "e:\ForTest\Documents and Settings\ToT\Local Settings\Temp\wbrjmmni.dll"
avz00004.dta = "e:\ForTest\WINDOWS\system32\PrxerDrv.dll"
avz00005.dta = "e:\ForTest\autorun.inf"
avz00006.dta = "e:\ForTest\Program Files\RBTray\RBHook.dll"
bcqr00001.dta = "e:\ForTest\\H:\greylink0100\greylink.exe"
bcqr00002.dta = "e:\ForTest\\H:\greylink0100\greylink.exe"
bcqr00003.dta = "e:\ForTest\\c:\program files\rbtray\rbtray.exe"
bcqr00004.dta = "e:\ForTest\\c:\program files\rbtray\rbtray.exe"
bcqr00005.dta = "e:\ForTest\\C:\Documents and Settings\ToT\Local Settings\Temp\wbrjmmni.dll"
bcqr00006.dta = "e:\ForTest\\C:\Documents and Settings\ToT\Local Settings\Temp\wbrjmmni.dll"
bcqr00007.dta = "e:\ForTest\\C:\WINDOWS\system32\PrxerDrv.dll"
bcqr00008.dta = "e:\ForTest\\C:\WINDOWS\system32\PrxerDrv.dll"
bcqr00009.dta = "e:\ForTest\\F:\autorun.inf"
bcqr00010.dta = "e:\ForTest\\F:\autorun.inf"
bcqr00011.dta = "e:\ForTest\\C:\Program Files\RBTray\RBHook.dll"
bcqr00012.dta = "e:\ForTest\\C:\Program Files\RBTray\RBHook.dll"
надеюсь это сами ставили :
C:\WINDOWS\system32\rserver30\rserver3.exe
Последний раз редактировалось drongo; 27.05.2007 в 16:11 .
@drongo: Знать бы еще кто есть who в том карантине на почти 6MB
I am not young enough to know everything...
Сообщение от
Bratez
@drongo: Знать бы еще кто есть who в том карантине на почти 6MB
это он и есть
@ToT
Чтобы уменьшить шанс заражения советую на будущее :
1) работать за компьютером из под ограниченного пользователя.
2)Пользоваться для хождения по интернету другим браузером с отключёнными скриптами по умолчанию (Firefox и Opera это позволяют делать в отличии от IE 7 ,6....)
Сделайте следующее: http://virusinfo.info/showthread.php?t=3519
, чтобы в следующий раз вас не просили присылать те же самые файлы ( они должны стать зелёными в логе
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 33 В ходе лечения обнаружены вредоносные программы:
c:\\documents and settings\\tot\\local settings\\temp\\wbrjmmni.dll - Trojan-Spy.Win32.VBStat.h c:\\windows\\system32\\feosytle.dll - not-a-virus:AdWare.Win32.Virtumonde.kb (DrWEB: Trojan.Virtumod) c:\\windows\\system32\\nnnmmno.dll - not-a-virus:AdWare.Win32.Virtumonde.jp (DrWEB: Trojan.Virtumod) c:\\windows\\system32\\pmkjh.dll - not-a-virus:AdWare.Win32.Virtumonde.fp (DrWEB: Trojan.Virtumod) f:\\autorun.inf - not-a-virus:AdWare.Win32.Virtumonde.jp (DrWEB: Trojan.Virtumod)