Показано с 1 по 20 из 20.

Win32:TratBHO (заявка № 16530)

  1. #1
    Junior Member Репутация
    Регистрация
    20.02.2007
    Сообщений
    16
    Вес репутации
    63

    Thumbs up Win32:TratBHO

    avast! нашел вирус Win32:TratBHO [Trj] в файлах
    C:\WINDOWS\system32\geedd.dll
    C:\WINDOWS\system32\pmnnl.dll
    C:\WINDOWS\system32\ctfmon.exe\[Embedded#049b0]
    C:\WINDOWS\system32\dlidok.exe\[Embedded#20d98]
    C:\WINDOWS\system32\dvysevr.exe\[Embedded#20d98]
    C:\WINDOWS\system32\gebcb.exe\[Embedded#00cdc]
    C:\WINDOWS\system32\hieejphke.exe\[Embedded#20d98]
    C:\WINDOWS\system32\julxcgaqbcl.exe\[Embedded#20d98]
    C:\WINDOWS\system32\pmnnl.dll
    и еще большом кол-ве файлов.

    при этом мой компьютер начал рассылать спам (аваст сообщает о огромном кол-ве отправляемых писем, хотя я ничего не отправляю) вот пример:
    Слишком много идентичных электронных писем в определенное время

    Отправитель: "Jamaal Craft" <[email protected]>
    Получатель: <[email protected]>; <[email protected]>,<[email protected],<prenault@ go2uti.com,<[email protected]
    Тема: lose 20 lbs in 3 weeks
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     StopService('uoarioqh');
     QuarantineFile('C:\WINDOWS\vsnpstd.exe','');
     QuarantineFile('C:\WINDOWS\system32\uhmxoux.exe','');
     QuarantineFile('C:\WINDOWS\system32\julxcgaqbcl.exe','');
     QuarantineFile('C:\WINDOWS\system32\hieejphke.exe','');
     QuarantineFile('C:\WINDOWS\system32\gebcb.exe','');
     QuarantineFile('C:\WINDOWS\system32\dlidok .exe','');
     QuarantineFile('C:\WINDOWS\system32\tuvuvvs.dll','');
     QuarantineFile('C:\WINDOWS\system32\ssqrpqq.dll','');
     QuarantineFile('C:\WINDOWS\system32\pmnopoo.dll','');
     QuarantineFile('C:\WINDOWS\system32\msgnlive.exe','');
     QuarantineFile('C:\WINDOWS\system32\mljhhhf.dll','');
     QuarantineFile('C:\WINDOWS\system32\gebcb.dll','');
     QuarantineFile('C:\WINDOWS\system32\fccawur.dll','');
     QuarantineFile('C:\WINDOWS\system32\dvysevr.exe','');
     QuarantineFile('C:\WINDOWS\system32\dsnpstd.ax','');
     QuarantineFile('C:\WINDOWS\system32\cbxxvsr.dll','');
     QuarantineFile('C:\WINDOWS\system32\cbxwvvt.dll','');
     QuarantineFile('c:\windows\system32\yncit.exe','');
     QuarantineFile('c:\windows\system32\yncit .exe','');
     QuarantineFile('c:\windows\system32\msgnlive.exe','');
     QuarantineFile('c:\windows\system32\dvysevr.exe','');
     QuarantineFile('c:\windows\system32\ctfmon.exe','');
     DeleteFile('c:\windows\system32\dvysevr.exe');
     DeleteFile('c:\windows\system32\msgnlive.exe');
     DeleteFile('c:\windows\system32\yncit .exe');
     DeleteFile('c:\windows\system32\yncit.exe');
     DeleteFile('C:\WINDOWS\system32\cbxwvvt.dll');
     DeleteFile('C:\WINDOWS\system32\cbxxvsr.dll');
     DeleteFile('C:\WINDOWS\system32\dvysevr.exe');
     DeleteFile('C:\WINDOWS\system32\fccawur.dll');
     DeleteFile('C:\WINDOWS\system32\gebcb.dll');
     DeleteFile('C:\WINDOWS\system32\mljhhhf.dll');
     DeleteFile('C:\WINDOWS\system32\msgnlive.exe');
     DeleteFile('C:\WINDOWS\system32\pmnopoo.dll');
     DeleteFile('C:\WINDOWS\system32\ssqrpqq.dll');
     DeleteFile('C:\WINDOWS\system32\tuvuvvs.dll');
     DeleteFile('C:\WINDOWS\system32\dlidok .exe');
     DeleteFile('C:\WINDOWS\system32\gebcb.exe');
     DeleteFile('C:\WINDOWS\system32\hieejphke.exe');
     DeleteFile('C:\WINDOWS\system32\julxcgaqbcl.exe');
     DeleteFile('C:\WINDOWS\system32\uhmxoux.exe');
     DeleteFile('C:\WINDOWS\vsnpstd.exe');
     DeleteService('uoarioqh');
     BC_ImportALL;
     BC_Activate;
     ExecuteSysClean;
     ExecuteRepair(16);
     RebootWindows(true);
    end.
    Загрузите карантин согласно приложению №3 правил. Повторите логи.

  4. #3
    Junior Member Репутация
    Регистрация
    20.02.2007
    Сообщений
    16
    Вес репутации
    63
    А какие файлы из карантина присылать?

  5. #4
    Junior Member Репутация
    Регистрация
    20.02.2007
    Сообщений
    16
    Вес репутации
    63
    вот логи
    Вложения Вложения

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Пофиксите в HijackThis:
    Код:
    R3 - URLSearchHook: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll (file missing)
    R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: (no name) - {838063B6-43F9-44D6-97CB-8A213AF54B27} - C:\WINDOWS\system32\pmnopoo.dll (file missing)
    O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll (file missing)
    O3 - Toolbar: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll (file missing)
    O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
    O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
    O9 - Extra button: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Documents and Settings\Администратор\Application Data\Mail.Ru\Agent\magent.exe (file missing) (HKCU)
    O9 - Extra 'Tools' menuitem: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Documents and Settings\Администратор\Application Data\Mail.Ru\Agent\magent.exe (file missing) (HKCU)
    O20 - Winlogon Notify: pmnopoo - pmnopoo.dll (file missing)
    Выполните скрипт в AVZ:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Program Files\ASPMonitor\ASMonitor.exe','');
     QuarantineFile('C:\WINDOWS\CameraFixer .exe','');
     QuarantineFile('C:\Program Files\Common Files\Nero\Lib\NMBgMonitor .exe','');
     DeleteFile('C:\WINDOWS\system32\dlidok .exe');
     DeleteFile('C:\WINDOWS\system32\dlidok.exe');
     DeleteFile('C:\WINDOWS\system32\dvysevr .exe');
     DeleteFile('C:\WINDOWS\system32\gebcb.exe');
     DeleteFile('C:\WINDOWS\system32\uuqwlco.exe');
     DeleteFile('C:\WINDOWS\CameraFixer .exe');
     DeleteFile('C:\Program Files\Common Files\Nero\Lib\NMBgMonitor .exe');
    BC_ImportALL;
     DeleteService('uoarioqh');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите новый карантин согласно приложению 3 правил
    I am not young enough to know everything...

  7. #6
    Junior Member Репутация
    Регистрация
    20.02.2007
    Сообщений
    16
    Вес репутации
    63
    скрипты выполнил, карантин выслал

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\Program Files\ASPMonitor\ASMonitor.exe');
     DeleteFile('C:\Program Files\ASPMonitor\hk.dll');
     DeleteFile('C:\Program Files\ASPMonitor\hprog.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Сделайте новые логи.
    I am not young enough to know everything...

  9. #8
    Junior Member Репутация
    Регистрация
    20.02.2007
    Сообщений
    16
    Вес репутации
    63
    логи
    Вложения Вложения

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Что-то странное у вас происходит в системе... Первый раз такое вижу.

    Скачайте свежий CureIt (http://www.drweb.ru/download/1028/) и сделайте полную проверку в безопасном режиме. После этого повторите логи.
    I am not young enough to know everything...

  11. #10
    Junior Member Репутация
    Регистрация
    20.02.2007
    Сообщений
    16
    Вес репутации
    63
    410 Ссылка больше не используется
    p.s. после каждой перезагрузки в систем32 появляется зараженный файл gebcb.dll

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Пардон, вот свежая ссылка:
    http://www.drweb.ru/download/51/
    I am not young enough to know everything...

  13. #12
    Junior Member Репутация
    Регистрация
    20.02.2007
    Сообщений
    16
    Вес репутации
    63
    вот логи после проверки в безопасном режиме.
    Вложения Вложения

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    пофиксите ...
    Код:
    O4 - HKLM\..\Run: [Windows Live Messages] msgnlive.exe
    выполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\gebcb.exe');
     BC_DeleteFile('C:\WINDOWS\system32\gebcb.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    повторите логи .

  15. #14
    Junior Member Репутация
    Регистрация
    20.02.2007
    Сообщений
    16
    Вес репутации
    63
    логи...
    Вложения Вложения

  16. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    выполните:
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DelBHO('02478D38-C3F9-4efb-9B51-7695ECA05670');
     SysCleanAddFile('C:\WINDOWS\system32\gebcb.exe');   
     ExecuteSysClean;  
     RebootWindows(true);
    end.
    Лог virusinfo_syscheck повторите

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    В дополнение к скрипту rubin'a еще такой:
    Код:
    begin
    RegKeyParamDel('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Windows', 'Load');
    RebootWindows(true);
    end.
    И посмотрите, нужно ли вам что-то из этого:
    Код:
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику
    >> Безопасность: разрешен автоматический вход в систему
    Лишнее отключим для профилактики.
    I am not young enough to know everything...

  18. #17
    Junior Member Репутация
    Регистрация
    20.02.2007
    Сообщений
    16
    Вес репутации
    63
    это пусть останется

    >> Безопасность: разрешен автоматический вход в систему
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    Вложения Вложения

  19. #18
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Чисто.

    Выполните скрипт в AVZ для отключения не нужных служб
    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
    SetServiceStart('RDSessMgr', 4);
    SetServiceStart('mnmsrvc', 4);
    SetServiceStart('Schedule', 4);
    SetServiceStart('SSDPSRV', 4);
    SetServiceStart('TermService', 4);
    SetServiceStart('RemoteRegistry', 4);
    end.

  20. #19
    Junior Member Репутация
    Регистрация
    20.02.2007
    Сообщений
    16
    Вес репутации
    63
    Спасибо! всем "+"

  21. #20
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 75
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\program files\\aspmonitor\\asmonitor.exe - not-a-virus:Monitor.Win32.ActualSpy.30
      2. c:\\program files\\aspmonitor\\hk.dll - not-a-virus:Monitor.Win32.ActualSpy.30
      3. c:\\program files\\aspmonitor\\hk2.dll - not-a-virus:Monitor.Win32.ActualSpy.30 (DrWEB: Trojan.ActualSpy)
      4. c:\\program files\\aspmonitor\\hprog.dll - not-a-virus:Monitor.Win32.ActualSpy.30 (DrWEB: Trojan.ActualSpy)
      5. c:\\windows\\system32\\cbxwvvt.dll - not-a-virus:AdWare.Win32.Virtumonde.dnj (DrWEB: Trojan.Virtumod.240)
      6. c:\\windows\\system32\\cbxxvsr.dll - not-a-virus:AdWare.Win32.Virtumonde.dnj (DrWEB: Trojan.Virtumod.240)
      7. c:\\windows\\system32\\dlidok .exe - Trojan.Win32.Pakes.bzq (DrWEB: Trojan.Packed.560)
      8. c:\\windows\\system32\\dvysevr.exe - Virus.Win32.Trats.d (DrWEB: Trojan.MulDrop.11190)
      9. c:\\windows\\system32\\fccawur.dll - not-a-virus:AdWare.Win32.Virtumonde.dnj (DrWEB: Trojan.Virtumod.240)
      10. c:\\windows\\system32\\gebcb.dll - not-a-virus:AdWare.Win32.Virtumonde.dyx (DrWEB: Trojan.Virtumod.257)
      11. c:\\windows\\system32\\gebcb.exe - Virus.Win32.Trats.d (DrWEB: Trojan.MulDrop.11190)
      12. c:\\windows\\system32\\hieejphke.exe - Virus.Win32.Trats.d (DrWEB: Trojan.MulDrop.11190)
      13. c:\\windows\\system32\\julxcgaqbcl.exe - Virus.Win32.Trats.d (DrWEB: Trojan.MulDrop.11190)
      14. c:\\windows\\system32\\mljhhhf.dll - not-a-virus:AdWare.Win32.Virtumonde.dnj (DrWEB: Trojan.Virtumod.240)
      15. c:\\windows\\system32\\msgnlive.exe - Backdoor.Win32.IRCBot.bbn (DrWEB: BackDoor.Tiny.origin)
      16. c:\\windows\\system32\\pmnopoo.dll - not-a-virus:AdWare.Win32.Virtumonde.dnj (DrWEB: Trojan.Virtumod.240)
      17. c:\\windows\\system32\\ssqrpqq.dll - not-a-virus:AdWare.Win32.Virtumonde.dnj (DrWEB: Trojan.Virtumod.240)
      18. c:\\windows\\system32\\tuvuvvs.dll - not-a-virus:AdWare.Win32.Virtumonde.dnj (DrWEB: Trojan.Virtumod.240)
      19. c:\\windows\\system32\\uhmxoux.exe - Virus.Win32.Trats.d (DrWEB: Trojan.MulDrop.11190)
      20. c:\\windows\\system32\\yncit .exe - Trojan.Win32.Pakes.bzq (DrWEB: Trojan.Packed.560)
      21. c:\\windows\\system32\\yncit.exe - Virus.Win32.Trats.d (DrWEB: Trojan.MulDrop.11190)
      22. c:\\windows\\vsnpstd.exe - Virus.Win32.Trats.d (DrWEB: Trojan.MulDrop.11190)


  • Уважаемый(ая) mankurd, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 3
      Последнее сообщение: 21.02.2010, 22:09
    2. Ответов: 1
      Последнее сообщение: 26.02.2009, 14:29
    3. Ответов: 2
      Последнее сообщение: 22.02.2009, 09:36
    4. Ответов: 7
      Последнее сообщение: 22.02.2009, 07:44
    5. Win32:Tratbho [trj] и ещё один троян
      От vottak в разделе Помогите!
      Ответов: 18
      Последнее сообщение: 22.02.2009, 03:38

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00583 seconds with 20 queries