Junior Member
Вес репутации
58
Тормозит интеренет
При сканировании Avira нашла трояны,которые соответственно были удалены,но траффик все равно качает "нечто",а при каждом включении компа avira ловит очередного трояна.Пустила на поиск файлы dll созданные недавно,вот что он выдал:RUNDLL32.EXE-13E68835.pf
RUNDLL32.EXE-147710F4.pf akofhgnu.dll rqRLdCuR.dll ssqNFWoM.dll WinCtrl32.dll
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Отключите ПК от сети.
Отключите Антивирус.
Отключите системное востановление.
Пофиксите:
Код:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
O4 - HKLM\..\Run: [advap32] C:\DOCUME~1\7615~1\LOCALS~1\Temp\rbnpsrv.exe/r
O4 - HKLM\..\Run: [1c38d548] rundll32.exe "C:\WINDOWS\system32\akofhgnu.dll",b
O4 - HKLM\..\Policies\Explorer\Run: [22CA2DF7333A4C7] .vbe
O4 - Global Startup: .vbs
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
Выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('{1C311AAA-D8B1-4A0A-BEE5-2387FEC583DA}');
DelBHO('{6410105D-BC1E-46F1-A149-61D45BB0A86C}');
DelBHO('{2587F5F9-BCDF-4076-98EF-AFC65C5BD816}');
DeleteService('Jhy64');
DeleteService('Hsq03');
DeleteService('Winqn07');
DeleteService('Winqf07');
DeleteService('Winoh38');
DeleteService('Winkr27');
DeleteService('Winjn75');
DeleteService('Winjc54');
DeleteService('Winep07');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Hsq03.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Jhy64.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winqn07.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winqf07.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winkr27.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winjn75.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winjc54.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winep07.sys','');
QuarantineFile('.vbe','');
QuarantineFile('C:\DOCUME~1\7615~1\LOCALS~1\Temp\rbnpsrv.exe/r','');
QuarantineFile('C:\Documents and Settings\All Users.WINDOWS\Главное меню\Программы\Автозагрузка\.vbs','');
QuarantineFile('WinCtrl32.dll','');
QuarantineFile('ssqNFWoM.dll','');
QuarantineFile('C:\WINDOWS\system32\rqRLdCuR.dll','');
QuarantineFile('C:\WINDOWS\system32\ssqNFWoM.dll','');
QuarantineFile('C:\WINDOWS\system32\b4fm.dll','');
QuarantineFile('C:\WINDOWS\system32\akofhgnu.dll','');
DeleteFile('C:\WINDOWS\system32\akofhgnu.dll');
DeleteFile('C:\WINDOWS\system32\b4fm.dll');
DeleteFile('C:\WINDOWS\system32\ssqNFWoM.dll');
DeleteFile('C:\WINDOWS\system32\rqRLdCuR.dll');
DeleteFile('ssqNFWoM.dll');
DeleteFile('WinCtrl32.dll');
DeleteFile('C:\Documents and Settings\All Users.WINDOWS\Главное меню\Программы\Автозагрузка\.vbs');
DeleteFile('C:\DOCUME~1\7615~1\LOCALS~1\Temp\rbnpsrv.exe/r');
DeleteFile('.vbe');
DeleteFile('C:\WINDOWS\System32\Drivers\Winep07.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winjc54.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winjn75.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winkr27.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winoh38.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winqf07.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winqn07.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Jhy64.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Hsq03.sys');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
1. Очистите темп-папки и кэш проводников.
2. Закачайте карантин по правилам.
3. Повторите логи.
Junior Member
Вес репутации
58
Вложения
Пофиксить
Код:
O2 - BHO: (no name) - {2587F5F9-BCDF-4076-98EF-AFC65C5BD816} - C:\WINDOWS\system32\ssqNFWoM.dll (file missing)
O2 - BHO: (no name) - {3407BB01-1D6C-43B0-8C9D-D3403CCE926D} - C:\WINDOWS\system32\rqRLdCuR.dll (file missing)
O20 - Winlogon Notify: ssqNFWoM - C:\WINDOWS\
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{3407BB01-1D6C-43B0-8C9D-D3403CCE926D}');
DelBHO('{2587F5F9-BCDF-4076-98EF-AFC65C5BD816}');
DeleteService('Winvh75');
DeleteService('Winun02');
DeleteFile('C:\WINDOWS\System32\Drivers\Winun02.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winvh75.sys');
DeleteFile('C:\WINDOWS\system32\ssqNFWoM.dll');
DeleteFile('C:\WINDOWS\system32\rqRLdCuR.dll');
DeleteFile('C:\RECYCLER\S-1-5-21-1220945662-1957994488-839522115-1003\Dc306.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Winvh75 ');
BC_DeleteSvc('Winun02 ');
BC_Activate;
RebootWindows(true);
end.
Повторите логи с п.10 правил
Junior Member
Вес репутации
58
уже крыша едить все путаю
Вложения
Удалите Free Spyware Adware Scanner and Remover - это fake tool (т.е. - дуриловка.) Потом повторите логи.
Junior Member
Вес репутации
58
Junior Member
Вес репутации
58
Вложения
Сообщение от
Espie27
все?
Почти.
Пофиксите
Код:
O4 - HKCU\..\Run: [FSASR] "C:\Program Files\Free Spyware Adware Scanner and Remover\FSASR.exe" auto
Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Program Files\Free Spyware Adware Scanner and Remover\FSASR.exe');
BC_DeleteFile('C:\Program Files\Free Spyware Adware Scanner and Remover\FSASR.exe');
BC_ImportDeletedList;
ExecuteSysClean;
RebootWindows(true);
end.
Повторите логи начиная от п.10 правил.
Junior Member
Вес репутации
58
Вложения
Junior Member
Вес репутации
58
а теперь отформатируйте жесткий диск и сдайте ваше железо на металолом
А теперь чисто
Жалобы есть?
Junior Member
Вес репутации
58
Ну вроде все нормально спасибо!Скажите,умные люди,какие проги надо установить для максимальной защиты системы?
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 6 В ходе лечения обнаружены вредоносные программы:
c:\\recycler\\s-1-5-21-1220945662-1957994488-839522115-1003\\dc306.dll - Trojan.Win32.Vapsup.gkd c:\\windows\\system32\\akofhgnu.dll - Trojan.Win32.Monderb.gen (DrWEB: Trojan.Virtumod.based.17) c:\\windows\\system32\\rqrldcur.dll - Trojan.Win32.Monderb.gen (DrWEB: Trojan.Virtumod.based.17) c:\\windows\\system32\\ssqnfwom.dll - Trojan.Win32.Monderb.gen (DrWEB: Trojan.Virtumod.based.17) c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.aea (DrWEB: Trojan.DownLoader.63553)