Junior Member
Вес репутации
63
Win32:TratBHO
avast! нашел вирус Win32:TratBHO [Trj] в файлах
C:\WINDOWS\system32\geedd.dll
C:\WINDOWS\system32\pmnnl.dll
C:\WINDOWS\system32\ctfmon.exe\[Embedded#049b0]
C:\WINDOWS\system32\dlidok.exe\[Embedded#20d98]
C:\WINDOWS\system32\dvysevr.exe\[Embedded#20d98]
C:\WINDOWS\system32\gebcb.exe\[Embedded#00cdc]
C:\WINDOWS\system32\hieejphke.exe\[Embedded#20d98]
C:\WINDOWS\system32\julxcgaqbcl.exe\[Embedded#20d98]
C:\WINDOWS\system32\pmnnl.dll
и еще большом кол-ве файлов.
при этом мой компьютер начал рассылать спам (аваст сообщает о огромном кол-ве отправляемых писем, хотя я ничего не отправляю) вот пример:
Слишком много идентичных электронных писем в определенное время
Отправитель: "Jamaal Craft" <[email protected] >
Получатель: <[email protected] >; <[email protected] >,<[email protected] ,<prenault@ go2uti.com,<[email protected]
Тема: lose 20 lbs in 3 weeks
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
StopService('uoarioqh');
QuarantineFile('C:\WINDOWS\vsnpstd.exe','');
QuarantineFile('C:\WINDOWS\system32\uhmxoux.exe','');
QuarantineFile('C:\WINDOWS\system32\julxcgaqbcl.exe','');
QuarantineFile('C:\WINDOWS\system32\hieejphke.exe','');
QuarantineFile('C:\WINDOWS\system32\gebcb.exe','');
QuarantineFile('C:\WINDOWS\system32\dlidok .exe','');
QuarantineFile('C:\WINDOWS\system32\tuvuvvs.dll','');
QuarantineFile('C:\WINDOWS\system32\ssqrpqq.dll','');
QuarantineFile('C:\WINDOWS\system32\pmnopoo.dll','');
QuarantineFile('C:\WINDOWS\system32\msgnlive.exe','');
QuarantineFile('C:\WINDOWS\system32\mljhhhf.dll','');
QuarantineFile('C:\WINDOWS\system32\gebcb.dll','');
QuarantineFile('C:\WINDOWS\system32\fccawur.dll','');
QuarantineFile('C:\WINDOWS\system32\dvysevr.exe','');
QuarantineFile('C:\WINDOWS\system32\dsnpstd.ax','');
QuarantineFile('C:\WINDOWS\system32\cbxxvsr.dll','');
QuarantineFile('C:\WINDOWS\system32\cbxwvvt.dll','');
QuarantineFile('c:\windows\system32\yncit.exe','');
QuarantineFile('c:\windows\system32\yncit .exe','');
QuarantineFile('c:\windows\system32\msgnlive.exe','');
QuarantineFile('c:\windows\system32\dvysevr.exe','');
QuarantineFile('c:\windows\system32\ctfmon.exe','');
DeleteFile('c:\windows\system32\dvysevr.exe');
DeleteFile('c:\windows\system32\msgnlive.exe');
DeleteFile('c:\windows\system32\yncit .exe');
DeleteFile('c:\windows\system32\yncit.exe');
DeleteFile('C:\WINDOWS\system32\cbxwvvt.dll');
DeleteFile('C:\WINDOWS\system32\cbxxvsr.dll');
DeleteFile('C:\WINDOWS\system32\dvysevr.exe');
DeleteFile('C:\WINDOWS\system32\fccawur.dll');
DeleteFile('C:\WINDOWS\system32\gebcb.dll');
DeleteFile('C:\WINDOWS\system32\mljhhhf.dll');
DeleteFile('C:\WINDOWS\system32\msgnlive.exe');
DeleteFile('C:\WINDOWS\system32\pmnopoo.dll');
DeleteFile('C:\WINDOWS\system32\ssqrpqq.dll');
DeleteFile('C:\WINDOWS\system32\tuvuvvs.dll');
DeleteFile('C:\WINDOWS\system32\dlidok .exe');
DeleteFile('C:\WINDOWS\system32\gebcb.exe');
DeleteFile('C:\WINDOWS\system32\hieejphke.exe');
DeleteFile('C:\WINDOWS\system32\julxcgaqbcl.exe');
DeleteFile('C:\WINDOWS\system32\uhmxoux.exe');
DeleteFile('C:\WINDOWS\vsnpstd.exe');
DeleteService('uoarioqh');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
ExecuteRepair(16);
RebootWindows(true);
end.
Загрузите карантин согласно приложению №3 правил. Повторите логи.
Junior Member
Вес репутации
63
А какие файлы из карантина присылать?
Junior Member
Вес репутации
63
Вложения
Пофиксите в HijackThis:
Код:
R3 - URLSearchHook: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll (file missing)
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {838063B6-43F9-44D6-97CB-8A213AF54B27} - C:\WINDOWS\system32\pmnopoo.dll (file missing)
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll (file missing)
O3 - Toolbar: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Documents and Settings\Администратор\Application Data\Mail.Ru\Agent\magent.exe (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Documents and Settings\Администратор\Application Data\Mail.Ru\Agent\magent.exe (file missing) (HKCU)
O20 - Winlogon Notify: pmnopoo - pmnopoo.dll (file missing)
Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\ASPMonitor\ASMonitor.exe','');
QuarantineFile('C:\WINDOWS\CameraFixer .exe','');
QuarantineFile('C:\Program Files\Common Files\Nero\Lib\NMBgMonitor .exe','');
DeleteFile('C:\WINDOWS\system32\dlidok .exe');
DeleteFile('C:\WINDOWS\system32\dlidok.exe');
DeleteFile('C:\WINDOWS\system32\dvysevr .exe');
DeleteFile('C:\WINDOWS\system32\gebcb.exe');
DeleteFile('C:\WINDOWS\system32\uuqwlco.exe');
DeleteFile('C:\WINDOWS\CameraFixer .exe');
DeleteFile('C:\Program Files\Common Files\Nero\Lib\NMBgMonitor .exe');
BC_ImportALL;
DeleteService('uoarioqh');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил
I am not young enough to know everything...
Junior Member
Вес репутации
63
скрипты выполнил, карантин выслал
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Program Files\ASPMonitor\ASMonitor.exe');
DeleteFile('C:\Program Files\ASPMonitor\hk.dll');
DeleteFile('C:\Program Files\ASPMonitor\hprog.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Сделайте новые логи.
I am not young enough to know everything...
Junior Member
Вес репутации
63
Вложения
Что-то странное у вас происходит в системе... Первый раз такое вижу.
Скачайте свежий CureIt (http://www.drweb.ru/download/1028/ ) и сделайте полную проверку в безопасном режиме. После этого повторите логи.
I am not young enough to know everything...
Junior Member
Вес репутации
63
410 Ссылка больше не используется
p.s. после каждой перезагрузки в систем32 появляется зараженный файл gebcb.dll
I am not young enough to know everything...
Junior Member
Вес репутации
63
вот логи после проверки в безопасном режиме.
Вложения
пофиксите ...
Код:
O4 - HKLM\..\Run: [Windows Live Messages] msgnlive.exe
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\gebcb.exe');
BC_DeleteFile('C:\WINDOWS\system32\gebcb.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
повторите логи .
Junior Member
Вес репутации
63
Вложения
выполните:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DelBHO('02478D38-C3F9-4efb-9B51-7695ECA05670');
SysCleanAddFile('C:\WINDOWS\system32\gebcb.exe');
ExecuteSysClean;
RebootWindows(true);
end.
Лог virusinfo_syscheck повторите
В дополнение к скрипту rubin 'a еще такой:
Код:
begin
RegKeyParamDel('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Windows', 'Load');
RebootWindows(true);
end.
И посмотрите, нужно ли вам что-то из этого:
Код:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
>> Безопасность: разрешен автоматический вход в систему
Лишнее отключим для профилактики.
I am not young enough to know everything...
Junior Member
Вес репутации
63
это пусть останется
>> Безопасность: разрешен автоматический вход в систему
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Вложения
Чисто.
Выполните скрипт в AVZ для отключения не нужных служб
Код:
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
end.
Junior Member
Вес репутации
63
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 75 В ходе лечения обнаружены вредоносные программы:
c:\\program files\\aspmonitor\\asmonitor.exe - not-a-virus:Monitor.Win32.ActualSpy.30 c:\\program files\\aspmonitor\\hk.dll - not-a-virus:Monitor.Win32.ActualSpy.30 c:\\program files\\aspmonitor\\hk2.dll - not-a-virus:Monitor.Win32.ActualSpy.30 (DrWEB: Trojan.ActualSpy) c:\\program files\\aspmonitor\\hprog.dll - not-a-virus:Monitor.Win32.ActualSpy.30 (DrWEB: Trojan.ActualSpy) c:\\windows\\system32\\cbxwvvt.dll - not-a-virus:AdWare.Win32.Virtumonde.dnj (DrWEB: Trojan.Virtumod.240) c:\\windows\\system32\\cbxxvsr.dll - not-a-virus:AdWare.Win32.Virtumonde.dnj (DrWEB: Trojan.Virtumod.240) c:\\windows\\system32\\dlidok .exe - Trojan.Win32.Pakes.bzq (DrWEB: Trojan.Packed.560) c:\\windows\\system32\\dvysevr.exe - Virus.Win32.Trats.d (DrWEB: Trojan.MulDrop.11190) c:\\windows\\system32\\fccawur.dll - not-a-virus:AdWare.Win32.Virtumonde.dnj (DrWEB: Trojan.Virtumod.240) c:\\windows\\system32\\gebcb.dll - not-a-virus:AdWare.Win32.Virtumonde.dyx (DrWEB: Trojan.Virtumod.257) c:\\windows\\system32\\gebcb.exe - Virus.Win32.Trats.d (DrWEB: Trojan.MulDrop.11190) c:\\windows\\system32\\hieejphke.exe - Virus.Win32.Trats.d (DrWEB: Trojan.MulDrop.11190) c:\\windows\\system32\\julxcgaqbcl.exe - Virus.Win32.Trats.d (DrWEB: Trojan.MulDrop.11190) c:\\windows\\system32\\mljhhhf.dll - not-a-virus:AdWare.Win32.Virtumonde.dnj (DrWEB: Trojan.Virtumod.240) c:\\windows\\system32\\msgnlive.exe - Backdoor.Win32.IRCBot.bbn (DrWEB: BackDoor.Tiny.origin) c:\\windows\\system32\\pmnopoo.dll - not-a-virus:AdWare.Win32.Virtumonde.dnj (DrWEB: Trojan.Virtumod.240) c:\\windows\\system32\\ssqrpqq.dll - not-a-virus:AdWare.Win32.Virtumonde.dnj (DrWEB: Trojan.Virtumod.240) c:\\windows\\system32\\tuvuvvs.dll - not-a-virus:AdWare.Win32.Virtumonde.dnj (DrWEB: Trojan.Virtumod.240) c:\\windows\\system32\\uhmxoux.exe - Virus.Win32.Trats.d (DrWEB: Trojan.MulDrop.11190) c:\\windows\\system32\\yncit .exe - Trojan.Win32.Pakes.bzq (DrWEB: Trojan.Packed.560) c:\\windows\\system32\\yncit.exe - Virus.Win32.Trats.d (DrWEB: Trojan.MulDrop.11190) c:\\windows\\vsnpstd.exe - Virus.Win32.Trats.d (DrWEB: Trojan.MulDrop.11190)