не работает авторан

**Sasha111** · 19.03.2008, 01:22

Доброе время суток.
Подцепил заразу, симптомы: программы установленные на диске С которые должны запускаться вместе с виндой не запускаются и после перезагрузки екзешники программ удаляются, если программу установить на диск D то все работает нормально.
Еще периодически что-то ломится в и-нет, НОД32 иногда находит DLL-ки инфицированные Win32/Adware.Virtumonde и Win32/TrojanDropper.Agent.DGO
Заранее спасибо

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**V_Bond** · 19.03.2008, 01:24

перечитайте правила .... какие логи нужно сделать и в каком порядке ...

**Sasha111** · 19.03.2008, 01:33

virusinfo_syscure.zip:
39.6 Кбайт превысил(а) предел на форуме. Нажмите здесь для просмотра ваших вложений

как его добавить?

**Bratez** · 19.03.2008, 04:15

Пофиксите в HijackThis:

Код:

O4 - HKLM\..\Run: [1cb32184] rundll32.exe

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\pqukeemp.dll','');
 QuarantineFile('C:\WINDOWS\system32\ldwpybuw.dll','');
 QuarantineFile('C:\WINDOWS\system32\ddayw.dll','');
 QuarantineFile('C:\WINDOWS\system32\byxvuut.dll','');
 DeleteFile('C:\WINDOWS\system32\byxvuut.dll');
 DeleteFile('C:\WINDOWS\system32\ddayw.dll');
 DeleteFile('C:\WINDOWS\system32\ldwpybuw.dll');
 DeleteFile('C:\WINDOWS\system32\pqukeemp.dll');
 DelBHO('{B5A83A59-8BE9-471F-80B1-EA6EE5F22189}');
 DelBHO('{8974ac69-1eae-4694-8b49-1df32fec53e3}');
 DelBHO('{8699DF98-DD57-4E30-81A8-01FF7D26D20E}');
 DelBHO('{2B0B59B4-55A3-4737-9FD5-B93C6430BF75}');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=20071).
Обновите базы AVZ и сделайте новые логи.
Старые вложения при необходимости можно удалить через Мой кабинет - Управление вложениями.

**Sasha111** · 19.03.2008, 09:10

новые логи, карантин скоро будет Dial up

**Bratez** · 19.03.2008, 11:42

Пофиксите в HijackThis:

Код:

O2 - BHO: (no name) - {A95B2816-1D7E-4561-A202-68C0DE02353A} - (no file)
O2 - BHO: (no name) - {B5A83A59-8BE9-471F-80B1-EA6EE5F22189} - C:\WINDOWS\system32\byxvuut.dll (file missing)
O2 - BHO: (no name) - {BEEAF204-4120-4BA2-B671-5E606889FB6C} - C:\WINDOWS\system32\ddayw.dll (file missing)
O20 - Winlogon Notify: byxvuut - byxvuut.dll (file missing)
O20 - Winlogon Notify: skakyuip - skakyuip.dll (file missing)
O20 - Winlogon Notify: winexy32 - winexy32.dll (file missing)

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
 QuarantineFile('C:\WINDOWS\system32\format.com','');
 QuarantineFile('C:\WINDOWS\system32\ddayw.exe','');
 DeleteFile('C:\WINDOWS\system32\ddayw.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил.
Сделайте новые логи, начиная с п.10 правил.

**Sasha111** · 19.03.2008, 12:19

карантин отправлен, новые логи

**Bratez** · 19.03.2008, 12:31

Выполните еще такой скрипт в AVZ:

Код:

begin
RegKeyParamDel( 'HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Windows', 'Load');
RebootWindows(true);
end.

Компьютер перезагрузится.

Больше ничего подозрительного в логах нет, только два антивируса - это плохо, должен быть только один. Также рекомендуется отключить все что вам не нужно из этого списка:

Код:

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику

**CyberHelper** · 22.02.2009, 04:28

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 21
В ходе лечения обнаружены вредоносные программы:
1. c:\\windows\\system32\\byxvuut.dll - Trojan-Downloader.Win32.Small.hqz (DrWEB: Trojan.Virtumod.631)
2. c:\\windows\\system32\\ddayw.dll - not-a-virus:AdWare.Win32.Virtumonde.dno (DrWEB: Trojan.Virtumod.257)
3. c:\\windows\\system32\\ldwpybuw.dll - Trojan.Win32.Monder.gen (DrWEB: Trojan.Virtumod.based.11)
4. c:\\windows\\system32\\pqukeemp.dll - not-a-virus:AdWare.Win32.Virtumonde.jxa (DrWEB: Trojan.Virtumod.269)

не работает авторан (заявка № 20071)

Опции темы

не работает авторан

Итог лечения

Похожие темы

Авторан

Еще Авторан

Авторан

авторан

авторанчик

Ваши права в разделе