Junior Member
Вес репутации
62
Нашла у себя в компе Троян. Как быть?
Помогите,пожалуйста,удалить этот вирус,а то ну совсем не знаю что делать. Я нашала у себя, Win32.Pinfy и Trojan.IRC и еще в system32 появилась какая-то программа IEXPLORER и это программа распространяет какие-то файлы, которые я удалаю, а при запуске компьютера они заново появляются и Symantec оповещает о вирусах.Я удаляю и все повторяется.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('uhkzm.exe','');
QuarantineFile('sxvgr.exe','');
QuarantineFile('svhddas.exe','');
QuarantineFile('sagj.exe','');
QuarantineFile('phqghumea.exe','');
QuarantineFile('msq32.exe','');
QuarantineFile('irdsdnfbe.exe','');
QuarantineFile('c:\windows\system32\systemac.dll','');
QuarantineFile('C:\WINDOWS\System32\sslms.exe','');
QuarantineFile('c:\windows\system32\dllcache\qxchost.exe','');
QuarantineFile('c:\windows\system32\psycho.exe','');
QuarantineFile('c:\windows\system32\iexplorer.exe','');
QuarantineFile('c:\windows\system32\ie5.exe','');
QuarantineFile('c:\windows\system32\fixin.exe','');
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
I am not young enough to know everything...
Junior Member
Вес репутации
62
Хороший букет вырисовывается:
psycho.exe - not-a-virus:Client-IRC.Win32.mIRC.603
iexplorer.exe - not-a-virus:Client-IRC.Win32.mIRC.591
sslms.exe - Backdoor.Win32.Akbot.e
fixin.exe - Backdoor.Win32.Rbot.gen
Сейчас разберусь с остальными, напишу скрипт.
Пока попытайтесь вручную поискать файлы:
uhkzm.exe
sxvgr.exe
svhddas.exe
sagj.exe
phqghumea.exe
msq32.exe
irdsdnfbe.exe
что найдется - пришлите (см. приложение 2 правил).
I am not young enough to know everything...
Начнем пожалуй
1. Пофиксите в HijackThis:
Код:
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [Windo Servic Agent 32] sagj.exe
O4 - HKLM\..\Run: [Windows Servicer Agents] sxvgr.exe
O4 - HKLM\..\Run: [Windo Servic Agents 32] uhkzm.exe
O4 - HKLM\..\Run: [win sms system] phqghumea.exe
O4 - HKLM\..\Run: [Internet Security Service] msq32.exe
O4 - HKLM\..\Run: [Windows Service Agent] fixin.exe
O4 - HKLM\..\Run: [Fire Well serviceer] irdsdnfbe.exe
O4 - HKLM\..\Run: [Service Monitor] svhddas.exe
O4 - HKLM\..\Run: [WinDLL (sslms.exe)] rundll32.exe C:\WINDOWS\System32\sslms.exe,start
O4 - HKLM\..\Run: [ISPSERVICE] C:\WINDOWS\System32\psycho.exe
O4 - HKLM\..\Run: [movies] c:\windows\system32\IE5.exe
O4 - HKLM\..\RunServices: [Windo Servic Agent 32] sagj.exe
O4 - HKLM\..\RunServices: [Windows Servicer Agents] sxvgr.exe
O4 - HKLM\..\RunServices: [Windo Servic Agents 32] uhkzm.exe
O4 - HKLM\..\RunServices: [win sms system] phqghumea.exe
O4 - HKLM\..\RunServices: [Internet Security Service] msq32.exe
O4 - HKLM\..\RunServices: [Windows Service Agent] fixin.exe
O4 - HKLM\..\RunServices: [Fire Well serviceer] irdsdnfbe.exe
O4 - HKLM\..\RunServices: [Service Monitor] svhddas.exe
O4 - HKCU\..\Run: [Windo Servic Agent 32] sagj.exe
O4 - HKCU\..\Run: [Windows Servicer Agents] sxvgr.exe
O4 - HKCU\..\Run: [Windo Servic Agents 32] uhkzm.exe
O4 - HKCU\..\Run: [win sms system] phqghumea.exe
O4 - HKCU\..\Run: [Internet Security Service] msq32.exe
O4 - HKCU\..\Run: [Windows Service Agent] fixin.exe
2. Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\windows\system32\systemac.dll');
DeleteFile('C:\WINDOWS\System32\sslms.exe');
DeleteFile('c:\windows\system32\dllcache\qxchost.exe');
DeleteFile('c:\windows\system32\psycho.exe');
DeleteFile('c:\windows\system32\iexplorer.exe');
DeleteFile('c:\windows\system32\ie5.exe');
DeleteFile('c:\windows\system32\fixin.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
3. Сделайте новые логи.
I am not young enough to know everything...
Junior Member
Вес репутации
62
Вложения
Все благополучно удалилось, только немножко мусора в реестре осталось.
Выполните такой скрипт:
Код:
begin
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','Windows Service Agent');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','Internet Security Service');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','Windo Servic Agent 32');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','Windows Servicer Agents');
end.
А файлы те вручную не нашлись?
Junior Member
Вес репутации
62
я попробовала все перчисленные способы, но ничего, к сожалению,не нашла.
Junior Member
Вес репутации
62
Для контроля сделайте еще раз лог по п.10 правил.
Junior Member
Вес репутации
62
Еще раз проверила. И там пишут о каких-то прехватчиках клавиатуры.Что это?
Вложения
Похоже чисто. Перехватчик от вашей беспроводной мышки
Чтобы уменьшить шанс заражения советую на будущее :
1) Работать за компьютером с правами ограниченного пользователя.
2) Пользоваться для хождения по интернету альтернативным браузером с отключёнными скриптами по умолчанию (Firefox и Opera это позволяют делать в отличии от IE 7 ,6....)
3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": http://security-advisory.newmail.ru
Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов : http://virusinfo.info/showthread.php?t=3519
Мы будем Вам очень благодарны!
Удачи!
Junior Member
Вес репутации
62
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 16 В ходе лечения обнаружены вредоносные программы:
c:\\windows\\system32\\fixin.exe - Backdoor.Win32.Rbot.gen (DrWEB: Win32.HLLW.MyBot.based) c:\\windows\\system32\\iexplorer.exe - not-a-virus:Client-IRC.Win32.mIRC.591 (DrWEB: Program.mIRC.591) c:\\windows\\system32\\psycho.exe - not-a-virus:Client-IRC.Win32.mIRC.603 (DrWEB: Program.mIRC.603) c:\\windows\\system32\\sslms.exe - Backdoor.Win32.Akbot.e (DrWEB: BackDoor.IRC.Akbot)