Показано с 1 по 17 из 17.

попался на bolenjx.exe и bolenja.exe (заявка № 16856)

  1. #1
    Junior Member Репутация
    Регистрация
    23.01.2008
    Сообщений
    8
    Вес репутации
    39

    Thumbs up попался на bolenjx.exe и bolenja.exe

    попался на трояна. заражен.
    вебер давл предупреждения, но удалить файлы не может, сразу перезагрузка,
    AVZ запустился после переименования в .com
    выскакивает окно Windows Security Alert с предложением загрузить Spyware Remover.
    "Восстановление системы" отключить не могу.
    как избавиться от заразы?
    Вложения Вложения
    Последний раз редактировалось Vovathuma; 23.01.2008 в 13:12.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,342
    Вес репутации
    55
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     TerminateProcessByName('c:\windows\system32\bolenjx.exe');
     TerminateProcessByName('c:\windows\system32\bolenja.exe');
     QuarantineFile('C:\WINDOWS\system32\PavSRK.sys','');
     QuarantineFile('C:\WINDOWS\system32\PavTPK.sys','');
     QuarantineFile('msnsspc.dll','');
     QuarantineFile('iedkcs32.dll','');
     QuarantineFile('cryptnet.dll','');
     QuarantineFile('c:\windows\system32\users32.dat','');
     QuarantineFile('c:\windows\system32\wuauclt.exe','');
     QuarantineFile('C:\PROGRA~1\FLASHGET\flashget.exe','');
     QuarantineFile('C:\PROGRA~1\Crawler\Toolbar\ctbr.dll','');
     QuarantineFile('C:\WINDOWS\system32\kus109.dat','');
     QuarantineFile('C:\Aston\aston.exe ,svchost.exe','');
     QuarantineFile('C:\Aston\aston.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\sp_rsdrv2.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Beep.sys','');
     QuarantineFile('C:\WINDOWS\system32\ufdsvc.exe','');
     QuarantineFile('C:\WINDOWS\system32\bolenja.exe','');
     QuarantineFile('C:\WINDOWS\system32\bolenjx.exe','');
      DeleteFile('C:\WINDOWS\system32\bolenjx.exe');
     DeleteFile('C:\WINDOWS\system32\bolenja.exe');
     DeleteFile('c:\windows\system32\users32.dat');
     DeleteFile('C:\WINDOWS\system32\kus109.dat');
     BC_LogFile(GetAVZDirectory + 'boot_clr.log');
     BC_ImportALL;
     ExecuteRepair(6);
    BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=

    2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
    	O20 - AppInit_DLLs: kus109.dat
    Microsoft Most Valuable Professional in Consumer Security

  4. #3
    Junior Member Репутация
    Регистрация
    23.01.2008
    Сообщений
    8
    Вес репутации
    39
    карантин выслал
    пофиксил в HijackThis
    какие мои дальнейшие действия?
    боюсь уже комп трогать без помощи. более суток с ним ругаюсь, как могло так получиться?

  5. #4
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,342
    Вес репутации
    55
    проанализирую карантин и отпишусь..

    Добавлено через 11 минут

    c:\windows\system32\users32.dat - not-a-virus:AdWare.Win32.Agent.zo
    C:\WINDOWS\system32\kus109.dat - Trojan.Win32.Agent.eeq
    C:\WINDOWS\system32\Drivers\Beep.sys - Rootkit.Win32.Agent.vw
    C:\WINDOWS\system32\bolenja.exe - Trojan-Downloader.Win32.Agent.hol
    C:\WINDOWS\system32\bolenjx.exe - not-a-virus:AdWare.Win32.Agent.abs

    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('c:\windows\system32\users32.dat');
     BC_DeleteFile('C:\WINDOWS\system32\Drivers\Beep.sys');
     BC_LogFile(GetAVZDirectory + 'boot_clr.log');
     BC_ImportDeletedList;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Повторите логи
    Последний раз редактировалось akoK; 23.01.2008 в 14:25. Причина: Добавлено
    Microsoft Most Valuable Professional in Consumer Security

  6. #5
    Junior Member Репутация
    Регистрация
    23.01.2008
    Сообщений
    8
    Вес репутации
    39
    повторяю логи
    ура фаер загрузился
    bolenjx.exe и bolenja.exe удалил, пока не появляются
    Вложения Вложения

  7. #6
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,342
    Вес репутации
    55
    Файл Host вы сами патчили?
    Microsoft Most Valuable Professional in Consumer Security

  8. #7
    Junior Member Репутация
    Регистрация
    23.01.2008
    Сообщений
    8
    Вес репутации
    39
    как думаете уже можно безопасно работать в интернет?
    мои пароли не уйдут врагу?

  9. #8
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,342
    Вес репутации
    55
    у вас есть флешки Transcend Jetflash?
    Microsoft Most Valuable Professional in Consumer Security

  10. #9
    Junior Member Репутация
    Регистрация
    23.01.2008
    Сообщений
    8
    Вес репутации
    39
    всё по вашим указаниям.

    Добавлено через 1 минуту

    да это моя флеш

    Добавлено через 26 минут

    какие мои дальнейшие действия?
    Последний раз редактировалось Vovathuma; 23.01.2008 в 15:54. Причина: Добавлено

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1557
    1. Выполните такой скрипт:
    Код:
    begin
    RegKeyStrParamWrite( 'HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Shell', 'C:\Aston\aston.exe');
    BC_DeleteSvc('PavTPK.sys');
    BC_DeleteSvc('PavSRK.sys');
    BC_DeleteSvc('Beep');
    BC_Activate;
    RebootWindows(true);
    end.
    2. Поищите файл iedkcs32.dll через AVZ - Сервис - Поиск файлов на диске.
    Если найдется пришлите по правилам.

    3. Посмотрите, что вам из этого нужно:
    Код:
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)
    >> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику
    Лишнее отключим.
    I am not young enough to know everything...

  12. #11
    Junior Member Репутация
    Регистрация
    23.01.2008
    Сообщений
    8
    Вес репутации
    39
    Безопасность: Разрешена отправка приглашений удаленному помошнику
    как её отключить? в системе снят флажок "отправка приглашений удаленному помошнику"?

    файл iedkcs32.dll не найден
    Последний раз редактировалось Vovathuma; 23.01.2008 в 16:52.

  13. #12
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,342
    Вес репутации
    55
    Мы напишем скрипт и то, что Вам не нужно отключится.
    Microsoft Most Valuable Professional in Consumer Security

  14. #13
    Junior Member Репутация
    Регистрация
    23.01.2008
    Сообщений
    8
    Вес репутации
    39
    файл iedkcs32.dll не найден

  15. #14
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,342
    Вес репутации
    55
    Если не нашел значит его нет удачи...
    Скрипт для отключения "отправки приглашений удаленному помошнику"
    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
    end.
    Microsoft Most Valuable Professional in Consumer Security

  16. #15
    Junior Member Репутация
    Регистрация
    23.01.2008
    Сообщений
    8
    Вес репутации
    39
    нашел iedkcs32.dll, через AVZ не могу добавить в карантин, запаковал с паролем - высылаю, гляньте пожалуйста.

  17. #16
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,342
    Вес репутации
    55
    Файл не содержит вредоносного кода...
    Microsoft Most Valuable Professional in Consumer Security

  18. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    956

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 43
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\bolenja.exe - Trojan-Downloader.Win32.Agent.hol (DrWEB: Trojan.Fakealert.411)
      2. c:\\windows\\system32\\bolenjx.exe - not-a-virus:AdWare.Win32.Agent.abs (DrWEB: Trojan.MulDrop.10463)
      3. c:\\windows\\system32\\drivers\\beep.sys - Rootkit.Win32.Agent.vw (DrWEB: Trojan.Spambot.2885)
      4. c:\\windows\\system32\\kus109.dat - Trojan.Win32.Agent.eeq (DrWEB: Trojan.Proxy.1739)
      5. c:\\windows\\system32\\users32.dat - not-a-virus:AdWare.Win32.Agent.zo (DrWEB: Trojan.Click.5043)


  • Уважаемый(ая) Vovathuma, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. и я с LockDir попался
      От abilla в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 29.01.2012, 21:45
    2. Попался в ботнет
      От reav123 в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 09.12.2010, 11:18
    3. Еще один попался на tt1.tmp.vbs
      От Куликовских Дмитрий в разделе Помогите!
      Ответов: 21
      Последнее сообщение: 22.02.2009, 08:04
    4. На компьютере файлы bolenja.exe и bolenjx.exe
      От stas_v в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 22.02.2009, 03:39
    5. заражено - bolenjx.exe
      От ivklim в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 24.01.2008, 07:56

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01000 seconds with 17 queries