Junior Member
Вес репутации
64
NOD обнаруживает трояны, и никак не может их удалить
Последнее время, браузер Internet Explorer после загрузки компа, выдает окошко, что не может подключиться к сети.
Проверила avast ничего не обнаружил, снесла его, поставила NOD32.
После загрузки компа, NOD выдает сообщение что найдены подозрительные файлы sstqn.dll, khfeeda.dll подозрение на троян, удалить он их не может. Сейчас вообще комп начал виснуть после получаса нахождения в сети. Не знаю, что мне делать. Вы не могли бы помочь?
Вложения
[FONT="Comic Sans MS"][COLOR="#0000ff"]Appearances are deceptive. Viruses too[/COLOR][/FONT]
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
@bzyaka
Выполните скрипт
Код:
begin
QuarantineFile('C:\W','');
QuarantineFile('winuqw32.dll','');
QuarantineFile('C:\WINDOWS\system32\j4291833.dll','');
QuarantineFile('C:\WINDOWS\system32\khfeeda.dll','');
QuarantineFile('C:\WINDOWS\system32\awtsp.dll','');
QuarantineFile('C:\WINDOWS\system32\geebx.dll','');
QuarantineFile('C:\WINDOWS\system32\sstqn.dll','');
QuarantineFile('C:\WINDOWS\system32\uivfnavl.dll','');
end.
карантин - в студию
Junior Member
Вес репутации
64
Код:
begin
QuarantineFile('C:\W','');
QuarantineFile('winuqw32.dll','');
QuarantineFile('C:\WINDOWS\system32\j4291833.dll','');
QuarantineFile('C:\WINDOWS\system32\awtsp.dll','');
QuarantineFile('C:\WINDOWS\system32\geebx.dll','');
QuarantineFile('C:\WINDOWS\system32\uivfnavl.dll','');
end.
выше указанные файлы не были найдены, только khfeeda.dll, sstqn.dll,
которые уже Вам отправлены
Добавлено через 35 минут
скрипт выполнила, чего дальше то делать?
Последний раз редактировалось bzyaka; 17.08.2007 в 19:43 .
Причина: Добавлено
[FONT="Comic Sans MS"][COLOR="#0000ff"]Appearances are deceptive. Viruses too[/COLOR][/FONT]
Пофиксите в HijackThis:
Код:
O9 - Extra button: Быстрая настройка Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\PROGRA~1\Agnitum\OUTPOS~1\Plugins\BrowserBar\ie_bar.dll (file missing)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe (file missing)
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe (file missing)
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\Program Files\Agnitum\Outpost Firewall\TRASH.EXE (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\Program Files\Agnitum\Outpost Firewall\TRASH.EXE (file missing) (HKCU)
Выполните следующий скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\uivfnavl.dll','');
QuarantineFile('winuqw32.dll','');
QuarantineFile('C:\W','');
QuarantineFile('C:\WINDOWS\system32\j4291833.dll','');
QuarantineFile('C:\WINDOWS\system32\geebx.dll','');
QuarantineFile('C:\WINDOWS\system32\awtsp.dll','');
QuarantineFile('C:\WINDOWS\system32\gsyglgtd.exe','');
DeleteFile('C:\W');
DeleteFile('C:\WINDOWS\system32\awtsp.dll');
DeleteFile('C:\WINDOWS\system32\geebx.dll');
DeleteFile('C:\WINDOWS\system32\j4291833.dll');
DeleteFile('C:\WINDOWS\system32\khfeeda.dll');
DeleteFile('C:\WINDOWS\system32\sstqn.dll');
DeleteFile('winuqw32.dll');
DeleteFile('C:\WINDOWS\system32\uivfnavl.dll');
DeleteFile('C:\WINDOWS\system32\gsyglgtd.exe');
DeleteFile('C:\Documents and Settings\admin\Local Settings\Temp\*.*');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Netlogon');
BC_DeleteSvc('NtLmSsp');
BC_DeleteSvc('PolicyAgent');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите содержимое карантина согласно приложению 3 правил.
Сделайте новые логи.
Последний раз редактировалось Bratez; 18.08.2007 в 03:19 .
I am not young enough to know everything...
Junior Member
Вес репутации
64
сделала, как вы сказали
Добавлено через 6 минут
вот
Последний раз редактировалось bzyaka; 18.08.2007 в 09:52 .
Причина: Добавлено
[FONT="Comic Sans MS"][COLOR="#0000ff"]Appearances are deceptive. Viruses too[/COLOR][/FONT]
логи забыли?
Junior Member
Вес репутации
64
Вложения
[FONT="Comic Sans MS"][COLOR="#0000ff"]Appearances are deceptive. Viruses too[/COLOR][/FONT]
1. Пофиксить
O2 - BHO: (no name) - {128D90D9-0F31-4ED8-9D94-1DC7B615B50C} - C:\WINDOWS\system32\sstqn.dll (file missing)
O2 - BHO: Ofb1 - {3E1500AC-87A5-416b-A211-82E848649DA9} - (no file)
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O2 - BHO: (no name) - {AA6CD9C3-EDC7-4A55-8F93-F9F308B95983} - C:\WINDOWS\system32\geebx.dll (file missing)
O2 - BHO: (no name) - {CBAB8744-0360-4C78-9742-8E50DF36CDAE} - C:\WINDOWS\system32\awtsp.dll (file missing)
O2 - BHO: (no name) - {D72DA88A-B9B4-42CF-AB16-8349C8B80A39} - C:\WINDOWS\system32\khfeeda.dll (file missing)
O20 - Winlogon Notify: khfeeda - khfeeda.dll (file missing)
2. Выполните скрипт, карантин по правилам.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\khfeeda.dll','');
QuarantineFile('C:\WINDOWS\system32\awtsp.dll','');
QuarantineFile('C:\WINDOWS\system32\geebx.dll','');
QuarantineFile('C:\WINDOWS\system32\sstqn.dll','');
QuarantineFile('C:\WINDOWS\system32\vucokmvy.dll','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
Выполните такой скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\admin\Local Settings\Temp\*.dll');
DeleteFile('C:\Documents and Settings\admin\Local Settings\Temp\*.tmp');
DeleteFile('C:\WINDOWS\system32\xtehcsmo.dll');
DeleteFile('C:\WINDOWS\system32\vucokmvy.dll');
BC_ImportDeletedList;
BC_DeleteSvc('DomainService');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки пофиксите в HijackThis:
Код:
O2 - BHO: (no name) - {CF46BFB3-2ACC-441b-B82B-36B9562C7FF1} - C:\WINDOWS\system32\vucokmvy.dll
O20 - Winlogon Notify: awtsp - C:\WINDOWS\
O20 - Winlogon Notify: geebx - C:\WINDOWS\
O20 - Winlogon Notify: sstqn - C:\WINDOWS\
O20 - Winlogon Notify: winuqw32 - C:\WINDOWS\
и сделайте новые логи.
I am not young enough to know everything...
Junior Member
Вес репутации
64
Вложения
[FONT="Comic Sans MS"][COLOR="#0000ff"]Appearances are deceptive. Viruses too[/COLOR][/FONT]
Теперь в системе чисто, только не удалось скриптом почистить временную папку C:\Documents and Settings\admin\Local Settings\Temp\ . В ней нужно удалить все полностью.
Сделайте это вручную в проводнике, только предварительно включите показ скрытых и системных файлов и папок (Сервис - Свойства папки - Вид).
I am not young enough to know everything...
Junior Member
Вес репутации
64
Спасибо всем за помощь.
[FONT="Comic Sans MS"][COLOR="#0000ff"]Appearances are deceptive. Viruses too[/COLOR][/FONT]
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 5 Обработано файлов: 25 В ходе лечения обнаружены вредоносные программы:
c:\\documents and settings\\admin\\local settings\\temp\\cacqjojo.dll - Trojan-Spy.Win32.VBStat.h c:\\documents and settings\\admin\\local settings\\temp\\jtmjiivy.dll - Trojan-Spy.Win32.VBStat.h c:\\documents and settings\\admin\\local settings\\temp\\lnhufbak.dll - Trojan-Spy.Win32.VBStat.h c:\\documents and settings\\admin\\local settings\\temp\\nfbhyrlo.dll - Trojan-Spy.Win32.VBStat.h c:\\documents and settings\\admin\\local settings\\temp\\oxnwflgm.dll - Trojan-Spy.Win32.VBStat.h c:\\documents and settings\\admin\\local settings\\temp\\rhracxke.dll - Trojan-Spy.Win32.VBStat.h c:\\documents and settings\\admin\\local settings\\temp\\uunoiqde.dll - Trojan-Spy.Win32.VBStat.h c:\\documents and settings\\admin\\local settings\\temp\\wehnwube.dll - Trojan-Spy.Win32.VBStat.h c:\\documents and settings\\admin\\local settings\\temp\\wnd154.tmp - Trojan.Win32.Dialer.qn (DrWEB: Trojan.Mezzia) c:\\documents and settings\\admin\\local settings\\temp\\wnd174.tmp - Trojan.Win32.Dialer.qn (DrWEB: Trojan.Mezzia) c:\\windows\\system32\\sstqn.dll - not-a-virus:AdWare.Win32.Virtumonde.wi (DrWEB: Trojan.Virtumod) c:\\windows\\system32\\vucokmvy.dll - Trojan.Win32.BHO.bd (DrWEB: Trojan.Virtumod) \\khfeeda.dll - not-a-virus:AdWare.Win32.Virtumonde.jp (DrWEB: Trojan.Virtumod) \\sstqn.dll - not-a-virus:AdWare.Win32.Virtumonde.wi (DrWEB: Trojan.Virtumod)