Профилактика

**BioDee** · 14.10.2008, 17:16

Чуствую что есть нечисть и хочю избавитса. Зарание благодарен.
Вложеные логи прилагаютса.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Гриша** · 14.10.2008, 17:21

Пофиксить:

Код:

F2 - REG:system.ini: Shell=
O20 - AppInit_DLLs: fzxycn.dll

Выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('G:\ljsiov.exe','');
 QuarantineFile('G:\autorun.inf','');
 DelBHO('{99310073-42A3-4080-9433-EABB9854579A}');
 DelBHO('{62ceba02-e0fb-4f40-a544-bec3864963d2}');
 DelBHO('{3C3D6A39-B167-4506-A377-E262402A29F5}');
 QuarantineFile('C:\WINDOWS\system32\fzxycn.dll','');
 QuarantineFile('C:\WINDOWS\system32\qoMfeedA.dll','');
 QuarantineFile('C:\WINDOWS\system32\iifdcCvV.dll','');
 QuarantineFile('C:\WINDOWS\System32\fzxycn.dll','');
 QuarantineFile('C:\WINDOWS\system32\fncocmyy.dll','');
 DeleteFile('C:\WINDOWS\system32\fncocmyy.dll');
 DeleteFile('C:\WINDOWS\System32\fzxycn.dll');
 DeleteFile('C:\WINDOWS\system32\iifdcCvV.dll');
 DeleteFile('C:\WINDOWS\system32\qoMfeedA.dll');
 DeleteFile('C:\WINDOWS\system32\fzxycn.dll');
 DeleteFile('iifdcCvV.dll');
 DeleteFile('G:\autorun.inf');
 DeleteFile('G:\ljsiov.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Пришлите карантин по правилам и повторите логи...

**BioDee** · 15.10.2008, 12:22

Карантин загрузил.

**BioDee** · 18.10.2008, 12:07

Что делать дальше??

**Гриша** · 18.10.2008, 23:23

Логи повторите...

Добавлено через 8 часов 0 минут

Пофиксить

Код:

O2 - BHO: (no name) - {098816AF-70BA-4782-9713-F70E590DDD89} - C:\WINDOWS\system32\qoMfeedA.dll (file missing)

Жалобы есть?

**BioDee** · 18.10.2008, 23:44

Эмм..чёто нахимичил. Свежие логи.

**Гриша** · 19.10.2008, 00:02

Пофиксите то что я сказал и повторите логи...

**BioDee** · 19.10.2008, 00:39

Вот обновленные...

**Rene-gad** · 19.10.2008, 12:03

Удалите Bonjour - в разделе Чаво есть инструкция.

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelBHO('{098816AF-70BA-4782-9713-F70E590DDD89}');
 DeleteFile('C:\WINDOWS\system32\qoMfeedA.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Сделайте повторные логи

Код:

virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log

**BioDee** · 19.10.2008, 23:31

Свежак...

**Гриша** · 19.10.2008, 23:33

Чисто, жалобы есть?

**BioDee** · 20.10.2008, 00:12

Та нет, вроди как всё отлично.
Большое спасибо за уделённое время и помощь.

**BioDee** · 20.10.2008, 22:36

Возник вопрос...заметил только что процесс
C:\WINDOWS\System32\smss.exe
Прочитал в инете что это троянская программа, предназначенная для кражи конфиденциальной информации пользователя.
В логах он фигурировал. Авз его не видит как вирус.

**Гриша** · 20.10.2008, 22:54

Диспетчер сеанса Windows NT

**BioDee** · 20.10.2008, 22:57

Ок.

**CyberHelper** · 22.02.2009, 08:39

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 20
В ходе лечения обнаружены вредоносные программы:
1. c:\\windows\\system32\\fncocmyy.dll - Trojan.Win32.Agent.ahfy (DrWEB: Trojan.Packed.670)
2. c:\\windows\\system32\\fzxycn.dll - not-a-virus:AdWare.Win32.SuperJuan.eks (DrWEB: Trojan.Packed.670)
3. c:\\windows\\system32\\iifdccvv.dll - Trojan.Win32.Monderb.two (DrWEB: Trojan.Virtumod.44
4. c:\\windows\\system32\\qomfeeda.dll - Trojan.Win32.Monder.tck (DrWEB: Trojan.Packed.670)
5. g:\\autorun.inf - Worm.Win32.AutoRun.qxc
6. g:\\ljsiov.exe - Trojan.Win32.Autoit.fh (DrWEB: Win32.HLLW.Autoruner.3014)

Профилактика (заявка № 32014)

Опции темы