Поверял систему на трояны и шпионы с помощью cureit и обнаружилось несколько заражоных фаилов трояном trojan.virtumod.based.16 и trojan.Downloader.56883
Поверял систему на трояны и шпионы с помощью cureit и обнаружилось несколько заражоных фаилов трояном trojan.virtumod.based.16 и trojan.Downloader.56883
Отключите восстановление системы!
Во время выполнения скриптов и фиксов отключайте интернет, антивирус и ad-aware.
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:O2 - BHO: (no name) - {00110011-4b0b-44d5-9718-90c88817369b} - (no file) O2 - BHO: (no name) - {6B831C14-F6DF-455C-A881-70B195281195} - C:\WINDOWS\system32\tjogchts.dll O2 - BHO: (no name) - {b847676d-72ac-4393-bfff-43a1eb979352} - (no file) O2 - BHO: (no name) - {C5E84927-CFF0-4CA3-A068-02E7C01C1E7C} - C:\WINDOWS\system32\rqRJCRKb.dll O2 - BHO: (no name) - {cf021f40-3e14-23a5-cba2-717765721306} - (no file) O2 - BHO: (no name) - {e3eebbe8-9cab-4c76-b26a-747e25ebb4c6} - (no file) O2 - BHO: Microsoft copyright - {FFFFFFFF-BBBB-4146-86FD-A722E8AB3489} - sockins32.dll (file missing) O4 - HKLM\..\Run: [MSN] C:\Windows\svchost.exe O4 - HKLM\..\Run: [Microsoft Windows Sound] svrhost.exe O4 - HKLM\..\Run: [700a0ed8] rundll32.exe "C:\WINDOWS\system32\ifsvbafi.dll",b O4 - HKLM\..\RunServices: [Microsoft Windows Sound] svrhost.exe O20 - Winlogon Notify: rqRJCRKb - C:\WINDOWS\SYSTEM32\rqRJCRKb.dll O21 - SSODL: WebProxy - {66186F05-BBBB-4a39-864F-72D84615C679} - sockins32.dll (file missing)
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\svchost.exe',''); QuarantineFile('C:\WINDOWS\iexplorer.exe',''); QuarantineFile('sockins32.dll',''); QuarantineFile('C:\DOCUME~1\Vlad\LOCALS~1\Temp\0UYdtZ32.sys',''); QuarantineFile('C:\WINDOWS\system32\tjogchts.dll',''); QuarantineFile('C:\WINDOWS\system32\svrhost.exe',''); QuarantineFile('C:\WINDOWS\system32\rqRJCRKb.dll',''); QuarantineFile('C:\WINDOWS\system32\mscoree.dll',''); QuarantineFile('C:\WINDOWS\system32\iifgFYSl.dll',''); QuarantineFile('C:\WINDOWS\system32\ifsvbafi.dll',''); QuarantineFile('C:\WINDOWS\system32\dfhwgcjj.dll',''); QuarantineFile('C:\Windows\svchost.exe',''); DeleteFile('C:\Windows\svchost.exe'); DeleteFile('C:\WINDOWS\system32\dfhwgcjj.dll'); DeleteFile('C:\WINDOWS\system32\ifsvbafi.dll'); DeleteFile('C:\WINDOWS\system32\iifgFYSl.dll'); DeleteFile('C:\WINDOWS\system32\rqRJCRKb.dll'); DeleteFile('C:\WINDOWS\system32\svrhost.exe'); DeleteFile('C:\WINDOWS\system32\tjogchts.dll'); DeleteFile('C:\DOCUME~1\Vlad\LOCALS~1\Temp\0UYdtZ32.sys'); DeleteFile('C:\Documents and Settings\Vlad\Local Settings\Temporary Internet Files\Content.IE5\4R7R701R\3077ahntdksr[1].dll'); DeleteFile('C:\System Volume Information\_restore{62616664-0502-4801-9B2B-88A8FAFFB7D3}\RP261\A0038258.exe'); DeleteFile('C:\System Volume Information\_restore{62616664-0502-4801-9B2B-88A8FAFFB7D3}\RP261\A0038259.exe'); DeleteFile('C:\WINDOWS\iexplorer.exe'); DeleteFile('C:\WINDOWS\svchost.exe'); BC_ImportALL; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=25216).
Очистите временные файлы IE через "Свойства обозревателя".
Сделайте новые логи.
I am not young enough to know everything...
вот
Пофиксите в HijackThis:
Откройте в AVZ Менеджер Active Setup и удалите строчку с упоминанием sockins32.dll.Код:O2 - BHO: (no name) - {C5E84927-CFF0-4CA3-A068-02E7C01C1E7C} - C:\WINDOWS\system32\rqRJCRKb.dll (file missing) O20 - Winlogon Notify: rqRJCRKb - rqRJCRKb.dll (file missing)
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\rqRJCRKb.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Повторите логи, начиная с п.10 правил.
I am not young enough to know everything...
вот
Все чисто. Еще один крохотный скриптик:
и всё.Код:begin ExecuteRepair(11); end.
Какие-нибудь проблемы остались?
I am not young enough to know everything...
большое спасибо!! все чисто , но у меня осталась одна проблема с оповещением систем безопасности Windows оно говорит что у меня автоматические обновления отключены, хотя в системе галочка поставлена на автомат.
попробуйте такой скрипт:
Код:begin SetServiceStart('wuauserv', 2); RebootWindows(true); end.
I am not young enough to know everything...
непомагло
Сделайте в AVZ протокол Менеджера служб и драйверов
(Тип - Службы, Статус - Все).
I am not young enough to know everything...
сделал
Добавлено через 51 минуту
Снова появились зарожонные виртумодом фаилы
Последний раз редактировалось StalZK; 24.06.2008 в 17:18. Причина: Добавлено
И куда уехал запрошенный протокол? Заархивируйте и прикрепите здесь.
И, видимо, пора новые логи делать.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 34
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\vlad\\local settings\\temporary internet files\\content.ie5\\4r7r701r\\3077ahntdksr[1].dll - Rootkit.Win32.Podnuha.ib (DrWEB: Trojan.DownLoader.56883)
- c:\\system volume information\\_restore{62616664-0502-4801-9b2b-88a8faffb7d3}\\rp261\\a0038258.exe - Trojan-Downloader.Win32.VB.epp (DrWEB: archive: Trojan.DownLoader.56730)
- c:\\system volume information\\_restore{62616664-0502-4801-9b2b-88a8faffb7d3}\\rp261\\a0038259.exe - Trojan-Downloader.Win32.VB.epp (DrWEB: archive: Trojan.DownLoader.56730)
- c:\\windows\\svchost.exe - Trojan.Win32.Buzus.hjz (DrWEB: BackDoor.IRC.Sdbot.3754)
- c:\\windows\\system32\\ifsvbafi.dll - Trojan.Win32.Monder.zq (DrWEB: Trojan.Virtumod.based.21)
- c:\\windows\\system32\\rqrjcrkb.dll - Trojan.Win32.Monder.zr (DrWEB: Trojan.DownLoader.59972)
- c:\\windows\\system32\\svrhost.exe - Backdoor.Win32.SdBot.esb (DrWEB: BackDoor.IRC.Sdbot.3755)
Уважаемый(ая) StalZK, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.