Trojan.Muldrop.19646
Здравствуйте!
Dr.Web периодически определяет вот такую штуку: Trojan.Muldrop.19646. Происходит лечение. Через некоторое время снова определяет тоже самое.
В безопасном режиме проверил компьютер с помощью AVPTool. Нашлись ещё вот такие штуки: Trojan.-Downloader.Win32.Agent.dbt; Trojan.Win32.Busus.arlj; BackdoorWin32SdBot.kcw
Помогите избавиться от этого! Спасибо!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Читаем, выполняем... http://virusinfo.info/showthread.php?t=1235
а, да файлы!
не очень разобрался с загрузкой
"Пофиксите" в HijackThis
В AVZ -> файл-> Выполнить скриптКод:R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file) R3 - URLSearchHook: (no name) - - (no file) F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,c:\windows\system32\secpol.exe, O20 - AppInit_DLLs: karina.dat O20 - Winlogon Notify: ctasys - ctasys.dll (file missing) O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing) O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('G:\PdtGuide.exe',''); QuarantineFile('C:\WINDOWS\system32\twex.exe',''); QuarantineFile('C:\WINDOWS\System32\appdrvrem01.exe',''); TerminateProcessByName('c:\windows\system32\cssrss.exe'); QuarantineFile('c:\windows\system32\cssrss.exe',''); DeleteFile('c:\windows\system32\cssrss.exe'); DeleteFile('C:\WINDOWS\system32\drivers\amd64si.sys'); DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys'); DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winae04.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winae15.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winae48.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winae72.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winbg15.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winbg61.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Wincg48.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Wincg63.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Wincg83.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winch72.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winch83.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Windh15.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Windh37.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Windh72.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Windi27.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Windi48.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Windi84.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winei04.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winei26.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winei37.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winei72.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winej50.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winfj04.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winfk72.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Wingk04.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Wingk26.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Wingk83.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Wingl04.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Wingl62.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winim37.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winin37.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winjn61.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winjo26.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winko37.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winko61.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winlp04.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winmq04.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winmr15.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winnr72.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winns37.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winos04.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winot61.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winot72.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winpt48.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winpu50.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winpu72.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winqu50.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winqu83.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winrv26.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winrv50.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winsw15.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Wintx48.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Wintx83.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winty48.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winty61.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winua48.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winua61.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winub72.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winuy83.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winva04.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winvb26.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winvb72.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winwb50.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winxd37.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winyd26.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winyd50.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winyd72.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winyd83.sys'); DeleteFile('C:\WINDOWS\system32\twex.exe'); DeleteFile('c:\windows\system32\secpol.exe'); DeleteFile('c:\windows\system32\ctasys.dll'); DeleteFile('c:\windows\system32\karina.dat'); BC_Importall; BC_DeleteSvc('Winyd83'); BC_DeleteSvc('Winyd72'); BC_DeleteSvc('Winyd50'); BC_DeleteSvc('Winyd26'); BC_DeleteSvc('Winxd37'); BC_DeleteSvc('Winwb50'); BC_DeleteSvc('Winvb72'); BC_DeleteSvc('Winvb26'); BC_DeleteSvc('Winva04'); BC_DeleteSvc('Winuy83'); BC_DeleteSvc('Winub72'); BC_DeleteSvc('Winua61'); BC_DeleteSvc('Winua48'); BC_DeleteSvc('Winty61'); BC_DeleteSvc('Winty48'); BC_DeleteSvc('Wintx83'); BC_DeleteSvc('Wintx48'); BC_DeleteSvc('Winsw15'); BC_DeleteSvc('Winrv50'); BC_DeleteSvc('Winrv26'); BC_DeleteSvc('Winqu83'); BC_DeleteSvc('Winqu50'); BC_DeleteSvc('Winpu72'); BC_DeleteSvc('Winpu50'); BC_DeleteSvc('Winpt48'); BC_DeleteSvc('Winot72'); BC_DeleteSvc('Winot61'); BC_DeleteSvc('Winos04'); BC_DeleteSvc('Winns37'); BC_DeleteSvc('Winnr72'); BC_DeleteSvc('Winmr15'); BC_DeleteSvc('Winmq04'); BC_DeleteSvc('Winlp04'); BC_DeleteSvc('Winko61'); BC_DeleteSvc('Winko37'); BC_DeleteSvc('Winjo26'); BC_DeleteSvc('Winjn61'); BC_DeleteSvc('Winin37'); BC_DeleteSvc('Winim37'); BC_DeleteSvc('Wingl62'); BC_DeleteSvc('Wingl04'); BC_DeleteSvc('Wingk83'); BC_DeleteSvc('Wingk48'); BC_DeleteSvc('Wingk26'); BC_DeleteSvc('Wingk04'); BC_DeleteSvc('Winfk72'); BC_DeleteSvc('Winfj04'); BC_DeleteSvc('Winej50'); BC_DeleteSvc('Winei72'); BC_DeleteSvc('Winei37'); BC_DeleteSvc('Winei26'); BC_DeleteSvc('Winei04'); BC_DeleteSvc('Windi84'); BC_DeleteSvc('Windi48'); BC_DeleteSvc('Windi27'); BC_DeleteSvc('Windh72'); BC_DeleteSvc('Windh37'); BC_DeleteSvc('Windh15'); BC_DeleteSvc('Winch83'); BC_DeleteSvc('Winch72'); BC_DeleteSvc('Wincg83'); BC_DeleteSvc('Wincg63'); BC_DeleteSvc('Wincg48'); BC_DeleteSvc('Winbg61'); BC_DeleteSvc('Winbg15'); BC_DeleteSvc('Winae72'); BC_DeleteSvc('Winae48'); BC_DeleteSvc('Winae15'); BC_DeleteSvc('Winae04'); BC_DeleteSvc('systemntmi'); BC_DeleteSvc('ati64si'); BC_DeleteSvc('amd64si'); ExecuteSysClean; ExecuteRepair(13); BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно правил по ссылке http://virusinfo.info/upload_virus.php?tid=42322
Повторите логи по правилам.
Повторно сделанные логи, после выполнения скриптов.
Файл из карантина отправил чуть раньше.
Последний раз редактировалось SMaruf; 23.03.2009 в 19:48.
в avz
Сделайте полную проверку AVPTool и логи повторите.Код:begin SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\blphcrbpj0e13c.scr'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Комп стал очень сильно виснуть.
Проверка AVPTool определила событие: "Новая угроза 'Hidden.Object' (модификация) в файле C:\WINDOWS\system32\twain32,
но лечения не предложил.
После перезагрузок в строке задач повляются вкладки setap и msplaucher (не запомнил точно). Что-то устанавливается без спросу.
AVZ красные строчки выдаёт.
Файлы еле еле прицепились.
выполните скрипт
пришлите карантин согласно приложения 3 правилКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\twex.exe',''); DeleteFile('C:\WINDOWS\system32\twex.exe'); DeleteFileMask('%Tmp%', '*.*', true); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи
При выполнении скрипта Dr.Web стал ругаться и просить вылечить очередной trojan...panda
жуть какая-то
карантин и логи
При выполнении скриптов антивирус надо отключать, чтобы не мешал.
"и выгрузить всё из трея" к антивурусу тоже относится? Понятно.
И теперь надо повторить выполнение скриптов или всё и так хорошо?
Добавлено через 50 минут
А конвертик со стрелочкойчто означает? А вопросик в кружочке?
Последний раз редактировалось SMaruf; 24.03.2009 в 09:01. Причина: Добавлено
Конвертик со стрелочкой- это в теме есть ваши сообщения.
Вопросик в круге- это для нас метки.
При выполнении скриптов обязательно нужно выгрузить АВ.
так всё повторить следует или нет?
в avz
Пункт 2 диагностики повторите.Код:begin executerepair(13); rebootwindows(true); end.
сделал
Установите ADobe Reader 9.1 или деинсталлируйте старый.
В логах ничего плохого.
Что с проблемами?
Установил Adobe Reader 9.1. АВ не ругается. Тормозов нет.
В логе в пункте 1.4 речь идёт про подмену процесса (красивое выражение)!
Это нормально?
Спасибо Вам за помощь!
Это нормально.
Забыл спросить:
"Крыжик" в окне восстановления системы убирать или пусть будет отключена?
Восстановление системы можете обратно включить (если места на диске достаточно).
Уважаемый(ая) SMaruf, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
