Junior Member
Вес репутации
59
Подозрения на троян
Здравствуйте, господа.
Прошу вашей помощи.
Два дня назад стал медленней работать интернет. У прова всё ок. В моменты простоя, хоть и по чуть-чуть, капает исходящий трафик. Спам что ли рассылаю? Сам компьютер стал странно подтормаживать. Посмотрите пожалуйста логи.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
TerminateProcessByName('c:\windows\services.exe');
QuarantineFile('c:\windows\services.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
QuarantineFile('C:\Program Files\Mozilla Firefox\extensions\[email protected] \components\fftma.dll','');
DeleteFile('c:\windows\services.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
DeleteFile('C:\WINDOWS\System32\Drivers\Windm77.sys');
DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
DelWinlogonNotifyByKeyName('WinCtrl32');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Windm77');
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно приложению 3 правил.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=43929
3. Повторите логи.
Добавлено через 2 минуты
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer =
87.245.155.179:80
Этот адрес Вам знаком?
Последний раз редактировалось Aleksandra; 16.04.2009 в 05:36 .
Причина: Добавлено
Сердце решает кого любить... Судьба решает с кем быть...
Junior Member
Вес репутации
59
1) всё было отключено
2) выполнил
3) карантин выслал
4) адрес, который вы привели мне не знаком, и никакого отношения ко мне иметь не должен. прокси не использую.
прикрепляю логи:
Вложения
fftma.dll - not-a-virus:WebToolbar.Win32.TMAagent.ab
services.exe - Email-Worm.Win32.Joleee.kr
Добавлено через 30 секунд
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Program Files\Mozilla Firefox\extensions\[email protected] \components\fftma.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
3. Повторите логи.
Последний раз редактировалось Aleksandra; 16.04.2009 в 13:19 .
Причина: Добавлено
Сердце решает кого любить... Судьба решает с кем быть...
Junior Member
Вес репутации
59
скрипт выполнил, повторяю логи
Вложения
Junior Member
Вес репутации
59
Скромно напомню о своих логах
"Пофиксите" в HijackThis
Код:
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
в avz
Код:
begin
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
лог hijackthis.log повторите.
Junior Member
Вес репутации
59
Вложения
Ничего зловредного в логах нет.
Сердце решает кого любить... Судьба решает с кем быть...
Junior Member
Вес репутации
59
огромное вам спасибо
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 10 В ходе лечения обнаружены вредоносные программы:
c:\program files\mozilla firefox\extensions\[email protected] \components \fftma.dll - not-a-virus:WebToolbar.Win32.TMAagent.ab c:\windows\services.exe - Email-Worm.Win32.Joleee.kr