Показано с 1 по 19 из 19.

Win32:Tratbho [trj] и ещё один троян (заявка № 16840)

  1. #1
    Junior Member Репутация
    Регистрация
    07.01.2008
    Сообщений
    8
    Вес репутации
    60

    Question Win32:Tratbho [trj] и ещё один троян

    только на вас надежда осталась..
    всё время после перезагрузки появляются 4 вируса
    вначале был Win32:Tratbho [trj] потом появился троян не помню как называется
    всё время после его удаления перезагружается комп и они снова на месте..
    только пере установлю АВАСТ и он тут же заражён..

    ещё файлы обнаруживались в папке C:\WINDOWS\SYSTEM32\
    ssqpm.dll
    gebyw.dll
    gebyv.dll
    mllmk.dll
    jkkjh.dll
    vturr.dll
    pmnlm.dll
    ssqrs.dll
    awtsr.dll

    а теперь Trojan.MulDrop.10006, Trojan.Virtumod.257
    Вложения Вложения
    Последний раз редактировалось vottak; 23.01.2008 в 01:51.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\mllmk.dll','');
     QuarantineFile('C:\WINDOWS\system32\ssqoooo.dll','');
     QuarantineFile('C:\WINDOWS\system32\nnnmkkl.dll','');
     QuarantineFile('C:\WINDOWS\system32\byxusrs.dll','');
     QuarantineFile('C:\WINDOWS\system32\awvvs.dll','');
     DeleteFile('C:\WINDOWS\system32\awvvs.dll');
     DeleteFile('C:\WINDOWS\system32\byxusrs.dll');
     DeleteFile('C:\WINDOWS\system32\nnnmkkl.dll');
     DeleteFile('C:\WINDOWS\system32\ssqoooo.dll');
     DeleteFile('C:\WINDOWS\system32\mllmk.dll');
     DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
     DelBHO('{2670000A-7350-4f3c-8081-5663EE0C6C49}');
     DelBHO('{D59E3BCC-486F-4D33-9346-0BCD6C2F114C}');
     DelBHO('{CBFA0E8E-7489-4A16-8D6E-0D58BFFB6134}');
     DelBHO('{B5A83A59-8BE9-471F-80B1-EA6EE5F22189}');
     DelBHO('{9328A2D1-0570-40FC-898C-94F6DA3CDEFF}');
     DelBHO('{3612CFD6-AA95-42F9-96D5-54D83826F3E6}');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=16840).
    Сделайте новые логи, начиная с п.10 правил.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    07.01.2008
    Сообщений
    8
    Вес репутации
    60
    сделал всё как написано. .)
    вот логи


    и ещё.. было в авто загрузке прописан вот такое C:\WINDOWS\system32\mllmk.exe
    он удалился и перестало вообще всё загружаться в автозагрузке.
    Вложения Вложения

  5. #4
    Junior Member Репутация
    Регистрация
    07.01.2008
    Сообщений
    8
    Вес репутации
    60
    ещё
    Вложения Вложения

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Все не так просто как казалось.
    Имеем руткит, меняющий имя: sphe.sys - sprg.sys - spee.sys Так что нужен лог по пункту 8 Правил.
    1. Деинсталируйте Lavasoft Ad-Aware SE - ее место на свалке истории.
    2. Обновите базы AVZ.
    3. Закройте программы вроде Word, оставьте только AVZ.
    4. Сделайте лог по п. 8 Правил.
    5. Перезагрузите компьютер
    6. Выложите лог тут.

    Присланный карантин:
    C:\WINDOWS\system32\awvvs.dll - Trojan.Virtumod.257
    C:\WINDOWS\system32\byxusrs.dll - Trojan.Virtumod.240

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Цитата Сообщение от AndreyKa Посмотреть сообщение
    Имеем руткит, меняющий имя: sphe.sys - sprg.sys - spee.sys
    Алкоголь стоит => sptd.sys и его дети. Можно для очистки совести деинсталлировать и посмотреть.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Пофиксите в HijackThis:
    Код:
    O2 - BHO: (no name) - {5FBC84DA-D66E-42F5-8BAC-E5B51DEA9870} - C:\WINDOWS\system32\awvvs.dll (file missing)
    O20 - Winlogon Notify: nnnmkkl - nnnmkkl.dll (file missing)
    O20 - Winlogon Notify: ssqoooo - ssqoooo.dll (file missing)
    Выполните скрипт в AVZ:
    Код:
    begin
    RegKeyParamDel('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Windows', 'Load');
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    С помощью AVZ - Сервис - Поиск файлов на диске поищите файлы:
    BTCPatcher.exe
    NTSpool.exe
    и пришлите найденное по правилам.
    I am not young enough to know everything...

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Алкоголь стоит => sptd.sys и его дети
    Да, наверное, ложная тревога. Я привык к другим именам его драйверов (a*.sys).
    vottak какой верисии у вас Алкоголь?

  10. #9
    Junior Member Репутация
    Регистрация
    07.01.2008
    Сообщений
    8
    Вес репутации
    60
    столько сразу советов .. ))

    Добавлено через 34 секунды

    Цитата Сообщение от AndreyKa Посмотреть сообщение
    Да, наверное, ложная тревога. Я привык к другим именам его драйверов (a*.sys).
    vottak какой верисии у вас Алкоголь?

    алкоголь версии 1,9,6,5429

    Добавлено через 3 минуты


    СПАСИБО ВСЕМ ЗА СОВЕТЫ ))))

    а что лучше использовать вместо Ad-Aware?
    у меня стоит Ad-Aware и АВАСТ 1,7
    какой лучше вообще антивирус.. ?

    Добавлено через 1 минуту

    Цитата Сообщение от Bratez Посмотреть сообщение
    Пофиксите в HijackThis:
    Код:
    O2 - BHO: (no name) - {5FBC84DA-D66E-42F5-8BAC-E5B51DEA9870} - C:\WINDOWS\system32\awvvs.dll (file missing)
    O20 - Winlogon Notify: nnnmkkl - nnnmkkl.dll (file missing)
    O20 - Winlogon Notify: ssqoooo - ssqoooo.dll (file missing)
    Выполните скрипт в AVZ:
    Код:
    begin
    RegKeyParamDel('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Windows', 'Load');
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    С помощью AVZ - Сервис - Поиск файлов на диске поищите файлы:
    BTCPatcher.exe
    NTSpool.exe
    и пришлите найденное по правилам.
    профиксил.. скрипт сделал. . теперь ищутся файлы. .
    ждёмсс

    BTCPatcher.exe -- не был найден
    NTSpool.exe -- отправил
    Последний раз редактировалось vottak; 23.01.2008 в 21:47. Причина: Добавлено

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    C:\WINDOWS\system32\NTSpool.exe Backdoor.Win32.SdBot.crq
    выполните скрипт ....
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('C:\WINDOWS\system32\NTSpool.exe');
     BC_ImportDeletedList;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    повторите логи ...

  12. #11
    Junior Member Репутация
    Регистрация
    07.01.2008
    Сообщений
    8
    Вес репутации
    60
    Цитата Сообщение от V_Bond Посмотреть сообщение
    C:\WINDOWS\system32\NTSpool.exe Backdoor.Win32.SdBot.crq
    выполните скрипт ....
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('C:\WINDOWS\system32\NTSpool.exe');
     BC_ImportDeletedList;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    повторите логи ...

    что-то после выполнения скрипта AVZ виснет.. но вначале пишет, что удаление и перезагрузить надо..
    но перезагр. только проходит через резет
    вот логи
    Вложения Вложения

  13. #12
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Попробуйте Выполнить скрипт V_Bond из поста 10 в безопасном режиме.

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    И пофиксите в HijackThis:
    Код:
    O4 - HKCU\..\Policies\Explorer\Run: [System Patcher] BTCPatcher.exe
    O4 - HKCU\..\Policies\Explorer\Run: [NTSpool] NTSpool.exe
    Затем два последних лога повторите.
    I am not young enough to know everything...

  15. #14
    Junior Member Репутация
    Регистрация
    07.01.2008
    Сообщений
    8
    Вес репутации
    60
    в безопасном режиме пошло

    вот логи
    Вложения Вложения

  16. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Lavasoft Ad-Aware удалили?

  17. #16
    Junior Member Репутация
    Регистрация
    07.01.2008
    Сообщений
    8
    Вес репутации
    60
    Цитата Сообщение от Maxim Посмотреть сообщение
    Lavasoft Ad-Aware удалили?
    нет..
    а надо? тогда, чем его заменить?

  18. #17
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    надо, нормального, толкового антивируса достаточно

    http://virusinfo.info/showthread.php?t=1550

  19. #18
    Junior Member Репутация
    Регистрация
    07.01.2008
    Сообщений
    8
    Вес репутации
    60
    Цитата Сообщение от rubin Посмотреть сообщение
    надо, нормального, толкового антивируса достаточно

    http://virusinfo.info/showthread.php?t=1550
    удалил.. поставил др.Вэб

  20. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 13
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\awvvs.dll - not-a-virus:AdWare.Win32.Virtumonde.dyx (DrWEB: Trojan.Virtumod.257)
      2. c:\\windows\\system32\\byxusrs.dll - not-a-virus:AdWare.Win32.Virtumonde.dnm (DrWEB: Trojan.Virtumod.240)
      3. c:\\windows\\system32\\ntspool.exe - Backdoor.Win32.SdBot.crq (DrWEB: BackDoor.IRC.Rxbot)


  • Уважаемый(ая) vottak, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Остался один троян...
      От evgenij193 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 08.10.2009, 11:37
    2. на компе троян, как минимум один:win32\wigon.by
      От maxy plus в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.02.2009, 07:44
    3. Win32:TratBHO
      От mankurd в разделе Помогите!
      Ответов: 19
      Последнее сообщение: 22.02.2009, 03:31
    4. Ответов: 2
      Последнее сообщение: 09.02.2009, 21:07
    5. Еще один троян.
      От M.Hamster в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 21.07.2008, 17:13

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00936 seconds with 20 queries