Junior Member
Вес репутации
60
Win32:Tratbho [trj] и ещё один троян
только на вас надежда осталась..
всё время после перезагрузки появляются 4 вируса
вначале был Win32:Tratbho [trj] потом появился троян не помню как называется
всё время после его удаления перезагружается комп и они снова на месте..
только пере установлю АВАСТ и он тут же заражён..
ещё файлы обнаруживались в папке C:\WINDOWS\SYSTEM32\
ssqpm.dll
gebyw.dll
gebyv.dll
mllmk.dll
jkkjh.dll
vturr.dll
pmnlm.dll
ssqrs.dll
awtsr.dll
а теперь Trojan.MulDrop.10006, Trojan.Virtumod.257
Вложения
Последний раз редактировалось vottak; 23.01.2008 в 01:51 .
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\mllmk.dll','');
QuarantineFile('C:\WINDOWS\system32\ssqoooo.dll','');
QuarantineFile('C:\WINDOWS\system32\nnnmkkl.dll','');
QuarantineFile('C:\WINDOWS\system32\byxusrs.dll','');
QuarantineFile('C:\WINDOWS\system32\awvvs.dll','');
DeleteFile('C:\WINDOWS\system32\awvvs.dll');
DeleteFile('C:\WINDOWS\system32\byxusrs.dll');
DeleteFile('C:\WINDOWS\system32\nnnmkkl.dll');
DeleteFile('C:\WINDOWS\system32\ssqoooo.dll');
DeleteFile('C:\WINDOWS\system32\mllmk.dll');
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
DelBHO('{2670000A-7350-4f3c-8081-5663EE0C6C49}');
DelBHO('{D59E3BCC-486F-4D33-9346-0BCD6C2F114C}');
DelBHO('{CBFA0E8E-7489-4A16-8D6E-0D58BFFB6134}');
DelBHO('{B5A83A59-8BE9-471F-80B1-EA6EE5F22189}');
DelBHO('{9328A2D1-0570-40FC-898C-94F6DA3CDEFF}');
DelBHO('{3612CFD6-AA95-42F9-96D5-54D83826F3E6}');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=16840 ).
Сделайте новые логи, начиная с п.10 правил.
I am not young enough to know everything...
Junior Member
Вес репутации
60
сделал всё как написано. .)
вот логи
и ещё.. было в авто загрузке прописан вот такое C:\WINDOWS\system32\mllmk.exe
он удалился и перестало вообще всё загружаться в автозагрузке.
Вложения
Junior Member
Вес репутации
60
Вложения
Все не так просто как казалось.
Имеем руткит, меняющий имя: sphe.sys - sprg.sys - spee.sys Так что нужен лог по пункту 8 Правил.
1. Деинсталируйте Lavasoft Ad-Aware SE - ее место на свалке истории.
2. Обновите базы AVZ.
3. Закройте программы вроде Word, оставьте только AVZ.
4. Сделайте лог по п. 8 Правил.
5. Перезагрузите компьютер
6. Выложите лог тут.
Присланный карантин:
C:\WINDOWS\system32\awvvs.dll - Trojan.Virtumod.257
C:\WINDOWS\system32\byxusrs.dll - Trojan.Virtumod.240
Сообщение от
AndreyKa
Имеем руткит, меняющий имя: sphe.sys - sprg.sys - spee.sys
Алкоголь стоит => sptd.sys и его дети. Можно для очистки совести деинсталлировать и посмотреть.
Пофиксите в HijackThis:
Код:
O2 - BHO: (no name) - {5FBC84DA-D66E-42F5-8BAC-E5B51DEA9870} - C:\WINDOWS\system32\awvvs.dll (file missing)
O20 - Winlogon Notify: nnnmkkl - nnnmkkl.dll (file missing)
O20 - Winlogon Notify: ssqoooo - ssqoooo.dll (file missing)
Выполните скрипт в AVZ:
Код:
begin
RegKeyParamDel('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Windows', 'Load');
RebootWindows(true);
end.
Компьютер перезагрузится.
С помощью AVZ - Сервис - Поиск файлов на диске поищите файлы:
BTCPatcher.exe
NTSpool.exe
и пришлите найденное по правилам.
I am not young enough to know everything...
Алкоголь стоит => sptd.sys и его дети
Да, наверное, ложная тревога. Я привык к другим именам его драйверов (a*.sys).
vottak какой верисии у вас Алкоголь?
Junior Member
Вес репутации
60
столько сразу советов .. ))
Добавлено через 34 секунды
Сообщение от
AndreyKa
Да, наверное, ложная тревога. Я привык к другим именам его драйверов (a*.sys).
vottak какой верисии у вас Алкоголь?
алкоголь версии 1,9,6,5429
Добавлено через 3 минуты
СПАСИБО ВСЕМ ЗА СОВЕТЫ ))))
а что лучше использовать вместо Ad-Aware?
у меня стоит Ad-Aware и АВАСТ 1,7
какой лучше вообще антивирус.. ?
Добавлено через 1 минуту
Сообщение от
Bratez
Пофиксите в HijackThis:
Код:
O2 - BHO: (no name) - {5FBC84DA-D66E-42F5-8BAC-E5B51DEA9870} - C:\WINDOWS\system32\awvvs.dll (file missing)
O20 - Winlogon Notify: nnnmkkl - nnnmkkl.dll (file missing)
O20 - Winlogon Notify: ssqoooo - ssqoooo.dll (file missing)
Выполните скрипт в AVZ:
Код:
begin
RegKeyParamDel('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Windows', 'Load');
RebootWindows(true);
end.
Компьютер перезагрузится.
С помощью AVZ - Сервис - Поиск файлов на диске поищите файлы:
BTCPatcher.exe
NTSpool.exe
и пришлите найденное по правилам.
профиксил.. скрипт сделал. . теперь ищутся файлы. .
ждёмсс
BTCPatcher.exe -- не был найден
NTSpool.exe -- отправил
Последний раз редактировалось vottak; 23.01.2008 в 21:47 .
Причина: Добавлено
C:\WINDOWS\system32\NTSpool.exe Backdoor.Win32.SdBot.crq
выполните скрипт ....
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\NTSpool.exe');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
повторите логи ...
Junior Member
Вес репутации
60
Сообщение от
V_Bond
C:\WINDOWS\system32\NTSpool.exe
Backdoor.Win32.SdBot.crq
выполните скрипт ....
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\NTSpool.exe');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
повторите логи ...
что-то после выполнения скрипта AVZ виснет.. но вначале пишет, что удаление и перезагрузить надо..
но перезагр. только проходит через резет
вот логи
Вложения
Попробуйте Выполнить скрипт V_Bond из поста 10 в безопасном режиме.
И пофиксите в HijackThis:
Код:
O4 - HKCU\..\Policies\Explorer\Run: [System Patcher] BTCPatcher.exe
O4 - HKCU\..\Policies\Explorer\Run: [NTSpool] NTSpool.exe
Затем два последних лога повторите.
I am not young enough to know everything...
Junior Member
Вес репутации
60
в безопасном режиме пошло
вот логи
Вложения
Lavasoft Ad-Aware удалили?
Junior Member
Вес репутации
60
Сообщение от
Maxim
Lavasoft Ad-Aware удалили?
нет..
а надо? тогда, чем его заменить?
надо, нормального, толкового антивируса достаточно
http://virusinfo.info/showthread.php?t=1550
Junior Member
Вес репутации
60
Сообщение от
rubin
удалил.. поставил др.Вэб
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 13 В ходе лечения обнаружены вредоносные программы:
c:\\windows\\system32\\awvvs.dll - not-a-virus:AdWare.Win32.Virtumonde.dyx (DrWEB: Trojan.Virtumod.257) c:\\windows\\system32\\byxusrs.dll - not-a-virus:AdWare.Win32.Virtumonde.dnm (DrWEB: Trojan.Virtumod.240) c:\\windows\\system32\\ntspool.exe - Backdoor.Win32.SdBot.crq (DrWEB: BackDoor.IRC.Rxbot)