Junior Member
Вес репутации
59
Помогите победить трояны.
Никак не могу справиться с напавшими троянами...На днях был случай что система не реагировала на открывание чеголибо, хотя работала стабильно и без ошибок =). Часто вылетает ИЕ с критом. Сегодня увели WMID, хотя НОД постоянно обновляется но ругается на вредоносные процессы.Формат С делать очень не хочется, слишком много установленного софта и настроек, разгребать буду несколько дней потом. Может помочь ктонибудь?
Заранее благодарен.
Самый вредный троян:
C:\WINDOWS\system32\rsfsap.dll инфицирован троян Win32/BHO.ABO
Удаление заблокировано даже под безопасным режимом
Вложения
Последний раз редактировалось poni; 20.04.2008 в 03:51 .
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Пофиксите в HijackThis:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: ConnectionServices module - {6D7B211A-88EA-490c-BAB9-3600D8D7C503} - C:\Program Files\ConnectionServices\ConnectionServices.dll (file missing)
O2 - BHO: (no name) - {D39FB167-D58A-45D8-A123-CBD43DCB4548} - C:\WINDOWS\system32\rsfsap.dll
O2 - BHO: (no name) - {e3a729da-eabc-df50-1842-dfd682644311} - C:\WINDOWS\system32\mswapi.dll (file missing)
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O16 - DPF: {33331111-1111-1111-1111-611111193423} -
O16 - DPF: {33331111-1111-1111-1111-615111193427} -
O16 - DPF: {33331111-1131-1111-1111-611111193428} -
O20 - Winlogon Notify: reset6 - mswshl.dll (file missing)
O21 - SSODL: Systemcheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\system32\vbsys2.dll (file missing)
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\wsnpoem\video.dll','');
QuarantineFile('C:\WINDOWS\system32\b4fm.dll','');
QuarantineFile('C:\WINDOWS\system32\mswapi.dll','');
QuarantineFile('mswshl.dll','');
QuarantineFile('C:\WINDOWS\system32\vbsys2.dll','');
QuarantineFile('C:\WINDOWS\system32\svrhost.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\DOCUME~1\poni\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\Syf17.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\ntio922.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\ndisaluo.sys','');
QuarantineFile('C:\WINDOWS\system32\burito2f04-3bb8.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\ospbbvam.dat','');
QuarantineFile('C:\WINDOWS\system32\rsfsap.dll','');
QuarantineFile('C:\WINDOWS\system32\FeedMerge.dll','');
DeleteFile('C:\WINDOWS\system32\rsfsap.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\ospbbvam.dat');
DeleteFile('C:\WINDOWS\system32\burito2f04-3bb8.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\ndisaluo.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\ntio922.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Syf17.sys');
DeleteFile('C:\DOCUME~1\poni\LOCALS~1\Temp\winlogon.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\svrhost.exe');
DeleteFile('C:\WINDOWS\system32\vbsys2.dll');
DeleteFile('C:\WINDOWS\system32\mswapi.dll');
DelBHO('{e3a729da-eabc-df50-1842-dfd682644311}');
DelBHO('{D39FB167-D58A-45D8-A123-CBD43DCB4548}');
BC_ImportALL;
BC_DeleteSvc('Syf17');
BC_DeleteSvc('ntio922');
BC_DeleteSvc('Nnkn55');
BC_DeleteSvc('ndisaluo');
BC_DeleteSvc('burito2f04-3bb8');
BC_DeleteSvc('ekevndzz');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=21783 ).
Сделайте новые логи.
I am not young enough to know everything...
Junior Member
Вес репутации
59
Спасибо большое, карантин отправлен.
Вложения
Пофиксите в HijackThis:
Код:
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{505087B6-49F1-4B75-853B-47BD7BF30A30}');
DeleteFile('C:\WINDOWS\system32\FeedMerge.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новые логи, начиная с п.10 правил.
I am not young enough to know everything...
Junior Member
Вес репутации
59
Спасибо.
Изменения с последнего чека: установка Outpost Firewall Pro ver. 4.0.1007.7323 (591).
Вложения
Сообщение от
poni
Спасибо.
Изменения с последнего чека: установка Outpost Firewall Pro ver. 4.0.1007.7323 (591).
Нечего больше невидно...
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 35 В ходе лечения обнаружены вредоносные программы:
c:\\windows\\system32\\feedmerge.dll - not-a-virus:AdWare.Win32.Agent.aft (DrWEB: Adware.Robotta) c:\\windows\\system32\\ntos.exe - Trojan-Spy.Win32.Zbot.bbi (DrWEB: Trojan.Packed.511) c:\\windows\\system32\\svrhost.exe - Backdoor.Win32.Sivuxa.c (DrWEB: Trojan.DownLoader.58937)