Найдены вирусы

**Bone** · 19.11.2007, 23:28

Недавно просканировал систему утилитой AVZ4. Просканировал только Documents and Settings и уже нашёл подозрения на вредоносные объекты. Вот отчёт (он прикреплён к сообщению). 3 из 4 были найдены при обычном сканировании запущенных процессов. Скажите, пожалуйста, есть ли эти файлы вредоносными и если да, то их удаление не повлияет как-то плохо на систему?

Ещё: у меня иногда такие глюки бывают: набираю что-нить в ворде, или эксплорере и мне заполняет несколько строк какими-то буквами. Например, fthfthfthfthfthfthfthtfhfthfthfthfthtfhfth.

Но меня мучают пароблемы побольше, нежели эти глюки. У меня стоит Avast!, но он ничего не видит (он обновляеться регулярно). А порставил Spyware Terminator, то он у меня понаходил купу разного. Некоторые файлы из этих выдалил, но вот не знаю, что делать с dll файлами в системе. Подскажите, можно ли доверять этой программе, или лучше её выдалить?

Получаеться, у меня два равнозначных вопроса.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**V_Bond** · 19.11.2007, 23:36

правила

**PavelA** · 20.11.2007, 10:02

1."Восст. системы" отключить.
2.connectionservices деинсталлировать.
3."Правила" выполнить.
4.Spyware Terminator надо проверить, надежен ли он.

**Bone** · 21.11.2007, 20:09

Тоесть удалить connectionservices.dll удалить? А этот файл в темпе?

**V_Bond** · 21.11.2007, 20:14

в установке удалении программ ... и выполняйте правила ...

**Bone** · 22.11.2007, 16:47

Простите, но скажите, где я нарушил правила? И ещё: у меня нету connectionservices в списке установки и удаления программ.

**Bratez** · 22.11.2007, 16:53

где я нарушил правила?

По правилам к теме должны быть прикреплены логи, сделанные вами в соответствии с п.8-13 правил. Иначе помочь вам мы не сможем.

**PavelA** · 22.11.2007, 17:10

Сообщение от Bone

И ещё: у меня нету connectionservices в списке установки и удаления программ.

Нету, это конечно плохо, но не смертельно. Сделаешь логи, удалим всю гадость.

**Bone** · 24.11.2007, 15:51

Простите, есть connection services в установке и удалении. Я 2 раза смотрел и не видел, а сейчас просмотрел - есть. Ещё один глюк: у меня где-то раз в полчаса выскакивает, как бы задача, из System32 cmd.exe. Оно мне мешает работать. Я не знаю, что мне с ним делать. Когда был Spyware Terminator такого не было, да и AVZ не видит в нём вирусов. Но оно появилось где-то неделю назад - раньше не было. Может кто знает что с этим делать?

**V_Bond** · 24.11.2007, 15:59

Сообщение от V_Bond

правила

выполните ....

**Shu_b** · 24.11.2007, 16:02

процитирую, и закрою.

Сообщение от pig

Правила придуманы не от балды, а чтобы не повторять сто раз одно и то же. Поэтому:
- внимательно прочитать
- аккуратно выполнить

открыл, ждём логи.

**Bone** · 01.12.2007, 13:32

Хех... Просканировал. Удалил три вируса DownloaderZlob в System Volume Inforamation. Логи прикрепил. Кажеться, всё сделал правильно. Жду ответа.

**Bone** · 01.12.2007, 13:46

Я не выключал восстановление системы, так как у меня действительно есть важные файлы. И я не хотел рисковать ними. Если это обязательно, то скажите, отключу и ещё проверю.

**Bratez** · 01.12.2007, 14:42

Отключите восстановление обязательно. Ваши файл не пострадают.
Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\sysdx.dll','');
 QuarantineFile('C:\WINDOWS\nopctrl.dll','');
 QuarantineFile('C:\DOCUME~1\Andriy\LOCALS~1\Temp\winlogon.exe','');
 QuarantineFile('C:\WINDOWS\oprevtdp.dll','');
 QuarantineFile('C:\WINDOWS\ddkret.dll','');
 QuarantineFile('C:\WINDOWS\bndsrkfq.dll','');
 DeleteFile('C:\DOCUME~1\Andriy\LOCALS~1\Temp\winlogon.exe');
 DeleteFile('C:\WINDOWS\ddkret.dll');
 DeleteFile('C:\WINDOWS\nopctrl.dll');
 DeleteFile('C:\WINDOWS\sysdx.dll');
 DeleteFile('C:\WINDOWS\bndsrkfq.dll');
 DeleteFile('C:\WINDOWS\oprevtdp.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
Сделайте новые логи.

**Bone** · 01.12.2007, 15:16

Спасибо. Загрузил карантин. Проведу сканирование немного позже, так как должен идти. Может завтра. Спасибо.

**rubin** · 01.12.2007, 15:52

Trojan-Downloader.Win32.Zlob.eih C:\Documents and Settings\Andriy\Local Settings\Temp\decsysqvf.exe
AdWare.Win32.BHO.if C:\System Volume Information\_restore{E55522BC-68E3-4B7D-BB54-E5472BC81EF0}\RP47\A0007092.dll
Trojan.Win32.Agent.chh C:\System Volume Information\_restore{E55522BC-68E3-4B7D-BB54-E5472BC81EF0}\RP59\A0009323.ocx
Trojan.Win32.Pakes.bmk C:\System Volume Information\_restore{E55522BC-68E3-4B7D-BB54-E5472BC81EF0}\RP67\A0010322.exe
AdWare.Win32.BHO.kj C:\System Volume Information\_restore{E55522BC-68E3-4B7D-BB54-E5472BC81EF0}\RP74\A0011264.dll
AdWare.Win32.Agent.nr C:\WINDOWS\bndsrkfq.dll

Добавлено через 16 минут

Выполните скрипт:

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFile('C:\Documents and Settings\Andriy\Local Settings\Temp\decsysqvf.exe');
 BC_ImportDeletedList;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

Затем ждем новых логов

**Bone** · 01.12.2007, 16:45

Сообщение от Bratez

DeleteFile('C:\DOCUME~1\Andriy\LOCALS~1\Temp\winlo gon.exe');

Я уже, было пробовал выдалить этот файл, несколько раз выдалял, а он где-то опять брался.

**rubin** · 01.12.2007, 16:46

Одно дело вручную, другое дело скриптом

**Bratez** · 01.12.2007, 16:50

Свежие адварки, только что добавлены в базы KAV:
C:\WINDOWS\sawkip.exe - not-a-virus:AdWare.Win32.Vapsup.ps
C:\WINDOWS\oprevtdp.dll - not-a-virus:AdWare.Win32.Agent.wh
C:\WINDOWS\ddkret.dll - not-a-virus:AdWare.Win32.Vapsup.pt

Надо еще такой скрипт выполнить:

Код:

begin
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\sawkip.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('ICF');
BC_Activate;
RebootWindows(true);
end.

и пофиксить в HijackThis:

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: MSVPS System - {15272B08-F6FE-4E71-B2BD-A59AD23EBE3C} - C:\WINDOWS\bndsrkfq.dll
O2 - BHO: MSVPS System - {2D42D689-4B94-4734-92C2-606FC5F4C15D} - C:\WINDOWS\oprevtdp.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O21 - SSODL: sysdx - {93D01942-6CCC-4FB1-8210-07405BD4FE90} - C:\WINDOWS\sysdx.dll (file missing)
O21 - SSODL: nopctrl - {36BF6259-58AA-4206-8A87-814860C465E6} - C:\WINDOWS\nopctrl.dll (file missing)
O21 - SSODL: ddkret - {6ABD9D3A-3E1A-4D53-B52E-00C81E331188} - C:\WINDOWS\ddkret.dll

А потом уже и новые логи.

**Bone** · 01.12.2007, 16:50

Я удалял через Spyware Terminator, потом через avast!, ну а потом вручную...

И к стати: Spyware Terminator все эти злостные вещи видел уже давно.

Но он ещё многое видит. Может вам логи от него потом прислать? Заодно и увидете, можно ли ему доверять

Найдены вирусы (заявка № 14336)

Опции темы