Показано с 1 по 10 из 10.

Обнаружен "Trojan.Win32.BHO.abo" Help pls! (заявка № 15723)

  1. #1
    Junior Member Репутация
    Регистрация
    25.12.2007
    Сообщений
    6
    Вес репутации
    60

    Thumbs up Обнаружен "Trojan.Win32.BHO.abo" Help pls!

    У меня установлен Антивирус Касперского 6 ,он находит этот вирус (обнаружено: троянская программа Trojan.Win32.BHO.abo Файл: C:\WINDOWS\system32\adpti.dll/PE_Patch.UPX/UPX ), но лечить и удалить не может.
    Видел тему как вы помогали с этим трояном уже кому-то, поможите и мне пожалста!
    Best regards
    Sergio F.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Вот такой наборчик получился:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\drivers\eyprbyjv.dat','');
     QuarantineFile('C:\WINDOWS\system32\dllcache\winlogon.exe','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\lirsgt.sys','');
     QuarantineFile('C:\WINDOWS\system32\Mouse.dll','');
     QuarantineFile('C:\WINDOWS\system32\Mousexp.exe','');
     DelBHO('{262671F4-D2C8-44DD-865E-365E3B15BEF3}');
     QuarantineFile('C:\WINDOWS\system32\adpti.dll','');
     QuarantineFile('C:\Payment5\update.exe','');
     QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
     BC_DeleteFile('C:\WINDOWS\system32\ntos.exe');
     DeleteFile('C:\WINDOWS\system32\adpti.dll');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Выполнить скрипт, загрузить карантин по ссылке вверху темы.

    Сделать новые логи.
    Последний раз редактировалось drongo; 27.12.2007 в 16:34.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    25.12.2007
    Сообщений
    6
    Вес репутации
    60

    Не могу запустить его.Ошибки в синтаксисе.

    Написал как вы предложили скрипт, потом проверяю на синтаксис,а он ругается на запятые и закрывающую скобку в конце строк 4,5,6,7,8,10,11,12.
    Я их убрал,но он выдает новую фигню,мол "Not enough actual parameters в позиции 4:16"
    Что же мне дальше делать?

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    В скрипте ошибок нет. Попробуйте заново скопировать.
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    25.12.2007
    Сообщений
    6
    Вес репутации
    60

    Прошу прощения!

    Действительно все верно в скрипте.Только я забыл отключить Каспера когда выполнял скрипт.Вот файлы.

  7. #6
    Junior Member Репутация
    Регистрация
    25.12.2007
    Сообщений
    6
    Вес репутации
    60

    Карантин отправил, мои новые логи прикрепил сюда.

    Я надеюсь логи сами перезаписались,после очередной проверки,потому как сам я ничего не подчищал.
    Вложения Вложения

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    Rootkit.Win32.Agent.ql C:\WINDOWS\system32\drivers\eyprbyjv.dat
    Чистые:
    C:\WINDOWS\system32\Mouse.dll
    C:\WINDOWS\system32\DRIVERS\lirsgt.sys
    C:\WINDOWS\system32\Mousexp.exe
    C:\Payment5\update.exe
    Выполните
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('C:\WINDOWS\system32\drivers\eyprbyjv.dat');
     BC_ImportDeletedList;
     BC_DeleteFile('C:\WINDOWS\system32\drivers\eyprbyjv.dat');
     BC_DeleteSvc('hhdxcrom');
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    Последний раз редактировалось rubin; 27.12.2007 в 19:26. Причина: лишняя буква, спасибо PavelA :)

  9. #8
    Junior Member Репутация
    Регистрация
    25.12.2007
    Сообщений
    6
    Вес репутации
    60

    Спасибо!

    Вроде троян удалил.Но после выполнения скрипта система подвисла,пришлось через экстренное выключение компа перезагружаться.После перезагрузки Каспер выдал мессагу о "обнаружен троянская программа Rootkit.Win32.Agent.ql Файл: D:\avz4\Quarantine\2007-12-27\avz00002.dta" , я его удалил и все.
    Кстати, так должно быть,что файл карантина заражен был?

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    Карантин содержит в себе зловред, но модифицирует его таким образом, чтобы он не мог запуститься В общем - все нормально...

    Что из этого не нужно?
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику

  11. #10
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 21
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\drivers\\eyprbyjv.dat - Rootkit.Win32.Agent.tw (DrWEB: Trojan.NtRootKit.511)


  • Уважаемый(ая) Sergio F, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 2
      Последнее сообщение: 25.06.2011, 16:40
    2. "В системе обнаружен вирус: Trojan.Win32.Ddox.ci "
      От johnnyhey в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 23.06.2011, 22:02
    3. Ответов: 12
      Последнее сообщение: 23.06.2011, 03:32
    4. Trojan.Win32.Inject.aohy и блокировка "В контакте""
      От DIA_VR в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 23.03.2011, 21:56
    5. Ответов: 8
      Последнее сообщение: 14.02.2011, 23:09

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00462 seconds with 20 queries