-
Junior Member
- Вес репутации
- 60
Trojan.Win32.BHO.abo против NOD32
Привет! Нужна помощьСитуация аналогична тем, которые возникли у юзеров из соседних веток.Появилась зараза недели 3 назад, стал глючить эксплорер. Через раз при открытии ссылок кидает на чтото типа_http://201.218.196.152/click.php?c=bb23182b042ef07ad06f4004&r=1или_http://64.111.196.162/click.php?c=4cfcb38903562da2c46f4001&r=1и дико возрос траффик.Поставил НОД32 (до этого ДокторВэб стоял - грил, все путем, все чисто) - он завалил 3 штучки вирей в системных папках, принялся за C:\WINDOWS\system32\dplayk.dll » UPX v12_m2_dll - Win32/BHO.ABO trojanИ сказал, что удалить не получается. Пробовал убить ручками его и ссылки в реестре - не дается. Тоже и в сейфмоде.ТАКЖЕ при модемном соединении, стабильно вылезаетC:\WINDOWS\TEMP\2097796.exe Win32/Wigon.AG trojan;cleaned by deleting - quarantined NT AUTHORITY\SYSTEM ;Event occurred on a new file created by the application: C:\WINDOWS\system32\svchost.exe.илиC:\WINDOWS\syst em32\drivers\ip6fw.sys Win32/Rootkit.Agent.DP trojan cleaned by deleting - quarantined(Посменно, троян с руткиком, но НОД32 их обезвреживает).ВОПРОС: че делать? Искать и ставить Касперского или можно своими силами повалить гадину?ПС winXP SP2
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Правила выполните, повалим.
-
-
Junior Member
- Вес репутации
- 60
Ща сделаем ) Нуб, че попишеш
-
Junior Member
- Вес репутации
- 60
-
Отключите восстановление системы!!
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\runtime2.sys','');
QuarantineFile('C:\WINDOWS\system32\ksys.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\yvdovndg.dat','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Jxm17.sys','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\dplayk.dll','');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\Drivers\Jxm17.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\yvdovndg.dat');
DeleteFile('C:\WINDOWS\system32\ksys.sys');
DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('C:\WINDOWS\system32\dplayk.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки пришлите карантин согласно приложению 3 правил.
Пофиксите в HijackThis если останется:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: (no name) - {AD725C75-9317-407F-A8DB-408A07A79BA3} - C:\WINDOWS\system32\dplayk.dll
Повторите логи.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 60
Да! Я убил его! Вот этими руками! Как куклу-пупсика! Как Билл Мюррей из охотников за привидениями! Трепещите вирусописатели , Фулл Троттл идет!
Гхм, извините
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
===
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDO WS\system32\ntos.exe,
O2 - BHO: (no name) - {AD725C75-9317-407F-A8DB-408A07A79BA3} - C:\WINDOWS\system32\dplayk.dll
===
Первого не было, второй слился без писка
-
выполните скрипт ...
Код:
begin
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
-
-
Лечение прошло успешно. Осталось "пыльцу смахнуть".
Выполните скрипт:
Код:
begin
DelBHO('{44627E97-789B-40d4-B5C2-58BD171129A1}');
DelBHO('{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F}');
DelBHO('{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F}');
end.
Посмотрите, нужно ли вам что-то из этого:
Код:
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Лишнее отключим.
Добавлено через 2 минуты
Для справки:
В карантине обнаружены экземпляры
Trojan-Spy.Win32.Zbot.dy и Rootkit.Win32.Agent.ql
Последний раз редактировалось Bratez; 13.12.2007 в 17:11.
Причина: Добавлено
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 60
Карантин ушуршал, пыльца сдута
Все 8 пунктов не нужны
-
вашу бы энергию на поднятие нашей оценки - > жать на 5 всегда http://www.eaward.ru/listprojs.php?w...at=1&proj=2038
Дабы отключить, выполнить скрипт:
Код:
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
RebootWindows(true);
end.
Чтобы уменьшить шанс заражения, на будущее :
1) Работать за компьютером с правами ограниченного пользователя.
2) Пользоваться для хождения по интернету альтернативным браузером с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты (Firefox это позволяeт делать в отличии от IE 7 ,6....)
3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": http://security-advisory.newmail.ru
-
-
Junior Member
- Вес репутации
- 60
Спасибо тебе, мил человек из израиля. Дай бог тебе жену-стюардессу.
Пятерку поставил при регистрации )
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 32
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\drivers\\yvdovndg.dat - Rootkit.Win32.Agent.tw (DrWEB: Trojan.NtRootKit.511)
- c:\\windows\\system32\\ntos.exe - Trojan-Spy.Win32.Zbot.adj (DrWEB: Trojan.Proxy.2486)
-