Показано с 1 по 16 из 16.

DrWeb не лечит? Как бороться с вирусом! (заявка № 4435)

  1. #1
    Filin
    Guest

    DrWeb не лечит? Как бороться с вирусом!

    Прицепился какая-то зараза не знаю как от нее избавиться.
    Прявляет себя так.
    1.Стартовая страница в эксплорере(IE) стала пустая, выдает about:blank.
    Ручное изменение startpage никчему не приводит.
    2. При каждом открытии окна IE Spider DrWeb выдает сообщение:
    C:\WINDOWS\system32\ttndh.dll - программа-AdWare Adware.Lsearch
    при работе в IE иногда выскакивают посторонние окна.
    3.Система в целом вести себя вяло, особенно сетевые подключения.

    Прбовал сканировать DrWeb, Ad Aware, Spyware, TDS - все, что-то находят, уничтожают, но все остается по старому.
    *Внимательно* прочитал и *аккуратно* (пункт за пунктом) выполнил
    http://helpme.virusinfo.info/
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1294
    Пришлите, как написано в правилах:
    C:\WINDOWS\system32\ipqn.exe
    C:\WINDOWS\iegk.dll
    C:\WINDOWS\system32\apigh.dll
    C:\WINDOWS\apima32.dll
    C:\WINDOWS\system32\winmq32.dll
    C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
    C:\WINDOWS\system32\ntwp.dll
    C:\WINDOWS\system32\appdl32.dll
    C:\WINDOWS\system32\sdkbx.dll
    C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
    C:\WINDOWS\system32\iecr.dll
    C:\WINDOWS\system32\apifq32.dll
    C:\WINDOWS\system32\javakr32.dll
    C:\WINDOWS\system32\addoa.dll
    C:\WINDOWS\system32\netiy32.exe
    C:\WINDOWS\system32\mfcwh32.exe
    C:\WINDOWS\ipen.exe
    C:\WINDOWS\system32\crhr.exe
    C:\WINDOWS\system32\netds32.exe
    C:\WINDOWS\system32\javauz.exe
    C:\WINDOWS\system32\ipyr.exe
    C:\WINDOWS\system32\ntlg32.exe
    C:\WINDOWS\system32\sysmo32.exe
    C:\WINDOWS\system32\javale.exe
    C:\WINDOWS\system32\crfj32.exe
    C:\WINDOWS\system32\nettj32.exe
    C:\WebServers\etc\utils\Boot.exe

    Возможно, хватил лишку, лог исследования AVZ изучать некогда.

    P.S. Надеюсь, что Permeo Security Driver и Google Tooolbar настоящие.

  4. #3
    Geser
    Guest
    Более полный список файлов которые нужно прислать. Как искать и прысылать написано в правилах

    c:\windows\system32\ipqn.exe
    c:\windows\system32\javale.exe
    c:\program files\spyware doctor\sdhelp.exe
    C:\WINDOWS\system32\ntwp.dll
    C:\WINDOWS\system32\sdkbx.dll
    C:\WINDOWS\System32\drivers\ebnetbt.sys
    C:\WINDOWS\TEMP\mc25.tmp
    C:\WINDOWS\system32\netiy32.exe
    C:\WINDOWS\system32\mfcwh32.exe
    C:\WINDOWS\ipen.exe
    C:\WINDOWS\system32\crhr.exe
    C:\WINDOWS\system32\netds32.exe
    C:\WINDOWS\system32\javauz.exe
    C:\WINDOWS\system32\ipyr.exe
    C:\WINDOWS\system32\ntlg32.exe
    C:\WINDOWS\system32\sysmo32.exe
    C:\WINDOWS\system32\javale.exe
    C:\WINDOWS\system32\crfj32.exe
    C:\WINDOWS\system32\nettj32.exe
    C:\WINDOWS\iegk.dll
    C:\WINDOWS\system32\apigh.dll
    C:\WINDOWS\apima32.dll
    C:\WINDOWS\system32\winmq32.dll
    C:\WINDOWS\system32\ntwp.dll
    C:\WINDOWS\system32\appdl32.dll
    C:\WINDOWS\system32\sdkbx.dll
    C:\WINDOWS\system32\iecr.dll
    C:\WINDOWS\system32\apifq32.dll
    C:\WINDOWS\system32\javakr32.dll
    C:\WINDOWS\system32\addoa.dll

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    550
    CoolWWWSearch в логе присутствует, скачайте CWShredder
    Загрузитесь в SafeMode и проверьте им компьютер.
    Запустите Hijack
    выберите -
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\mxwym.dll/sp.html#53142%resultposition.net
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\mxwym.dll/sp.html#53142%resultposition.net
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mxwym.dll/sp.html#53142%resultposition.net
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\mxwym.dll/sp.html#53142%resultposition.net
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\mxwym.dll/sp.html#53142%resultposition.net
    O2 - BHO: Class - {073966FB-50D8-55DE-2E21-4EF25367618D} - C:\WINDOWS\iegk.dll (file missing)
    O2 - BHO: Class - {40F96ECF-F256-A2FB-6BF0-5B6FD5678995} - C:\WINDOWS\system32\apigh.dll (file missing)
    O2 - BHO: Class - {492BF9B9-13D0-58BB-37CB-DF9BECE39907} - C:\WINDOWS\apima32.dll (file missing)
    O2 - BHO: Class - {5966FB2A-7126-2ECE-BB59-C94BE0786C01} - C:\WINDOWS\system32\winmq32.dll (file missing)
    O2 - BHO: Class - {64E5E8FA-69A1-48F4-8963-F00907CAAF17} - C:\WINDOWS\system32\ntwp.dll
    O2 - BHO: Class - {6A9B84AD-E10D-60E3-E881-CCF0CB52E3C4} - C:\WINDOWS\system32\appdl32.dll (file missing)
    O2 - BHO: My Web Search Bar BHO - {8EAB99C1-F9EC-4b64-A4BA-D9BCAE8779C2} - (no file)
    O2 - BHO: Class - {A6CBA69B-49C2-7C6B-CF53-4CE8BD7AD070} - C:\WINDOWS\system32\sdkbx.dll
    O2 - BHO: Class - {B9816B30-C237-4874-FAF1-597C2EE5B791} - C:\WINDOWS\system32\iecr.dll (file missing)
    O2 - BHO: Class - {CC736B40-8144-5D9C-A826-91485E5E97D8} - C:\WINDOWS\system32\apifq32.dll (file missing)
    O2 - BHO: Class - {DD4FB04F-8E1A-6818-993B-3C489CB8A5FF} - C:\WINDOWS\system32\javakr32.dll (file missing)
    O2 - BHO: Class - {EFC5B77D-89C3-A962-9A96-1C6818B08696} - C:\WINDOWS\system32\addoa.dll (file missing)
    O4 - HKLM\..\Run: [netiy32.exe] C:\WINDOWS\system32\netiy32.exe
    O4 - HKLM\..\Run: [mfcwh32.exe] C:\WINDOWS\system32\mfcwh32.exe
    O4 - HKLM\..\Run: [ipen.exe] C:\WINDOWS\ipen.exe
    O4 - HKLM\..\Run: [crhr.exe] C:\WINDOWS\system32\crhr.exe
    O4 - HKLM\..\Run: [netds32.exe] C:\WINDOWS\system32\netds32.exe
    O4 - HKLM\..\Run: [javauz.exe] C:\WINDOWS\system32\javauz.exe
    O4 - HKLM\..\Run: [ipyr.exe] C:\WINDOWS\system32\ipyr.exe
    O4 - HKLM\..\Run: [ntlg32.exe] C:\WINDOWS\system32\ntlg32.exe
    O4 - HKLM\..\Run: [sysmo32.exe] C:\WINDOWS\system32\sysmo32.exe
    O4 - HKLM\..\Run: [javale.exe] C:\WINDOWS\system32\javale.exe
    O4 - HKLM\..\Run: [crfj32.exe] C:\WINDOWS\system32\crfj32.exe
    O4 - HKLM\..\Run: [nettj32.exe] C:\WINDOWS\system32\nettj32.exe
    O4 - HKLM\..\RunOnce: [ipqn.exe] C:\WINDOWS\system32\ipqn.exe
    и нажмите Fix

    После повторите логи, посмотрим что ещё останется.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1641
    KAV - online
    C:\WINDOWS\system32\ntwp.dll - инфицирован Trojan-Downloader.Win32.Agent.bc
    c:\windows\system32\javale.exe - инфицирован Trojan-Downloader.Win32.Agent.td
    C:\WINDOWS\system32\sdkbx.dll - инфицирован Trojan-Downloader.Win32.Agent.bc
    c:\windows\system32\ipqn.exe - инфицирован Trojan.Win32.Agent.bi
    C:\WINDOWS\system32\nettj32.exe - инфицирован Trojan-Downloader.Win32.Agent.td
    C:\WINDOWS\system32\crfj32.exe - инфицирован Trojan-Downloader.Win32.Agent.td

    virusscan.jotti.org
    AntiVir Found Trojan/Agent.BI.97, Trojan/Dldr.Agent.TD.54, Trojan/Dldr.Agent.BC.92
    ArcaVir Found Trojan.Downloader.Agent.Td
    Avast Found nothing
    AVG Antivirus Found nothing
    BitDefender Found GenPack:Trojan.Agent.BI, GenPack:Trojan.Downloader.Agent.TD
    ClamAV Found nothing
    Dr.Web Found nothing
    F-Prot Antivirus Found nothing
    Fortinet Found W32/Iefeat.AK!tr
    Kaspersky Anti-Virus Found Trojan.Win32.Agent.bi, Trojan-Downloader.Win32.Agent.td, Trojan-Downloader.Win32.Agent.bc
    NOD32 Found Win32/TrojanDownloader.Agent.BQ, a variant of Win32/TrojanDownloader.Agent.BQ
    Norman Virus Control Found W32/Agent.LNM
    UNA Found TrojanDownloader.Win32.Agent
    VBA32 Found Trojan-Downloader.Win32.Agent.td

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1293
    Из присланных файлов по KAV:
    c:\windows\system32\ipqn.exe - инфицирован Trojan.Win32.Agent.bi
    c:\windows\system32\javale.exe - инфицирован Trojan-Downloader.Win32.Agent.td
    C:\WINDOWS\system32\crfj32.exe - инфицирован Trojan-Downloader.Win32.Agent.td
    C:\WINDOWS\system32\nettj32.exe - инфицирован Trojan-Downloader.Win32.Agent.td
    C:\WINDOWS\system32\ntwp.dll - инфицирован Trojan-Downloader.Win32.Agent.bc
    C:\WINDOWS\system32\sdkbx.dll - инфицирован Trojan-Downloader.Win32.Agent.bc

  8. #7
    Filin
    Guest
    Здорово!
    Сразу столько советов, что и не знаешь за какой хвататься :-)
    успел только отослать файлы, остальное продолжу завтра(раб. день кончился).
    Будем идти по порядку...
    на завтра у меня совет от RiC:
    CoolWWWSearch в логе присутствует, скачайте CWShredder.....

    Спасибо за участие , до завтра.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1641
    Время последнего обновления: 2006-01-12,15:30:28
    Dr.Web:
    Trojan.Feat.12
    Trojan.Feat.7
    BackDoor.Netag

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    550
    Цитата Сообщение от Shu_b
    Время последнего обновления: 2006-01-12,15:30:28
    Dr.Web:
    Trojan.Feat.12
    Trojan.Feat.7
    BackDoor.Netag
    Ну собственно остальное "грязное" дело сканер от доктора после обновления доделает, а логи всё-равно на проверку не помешают.

  11. #10
    Filin
    Guest
    Скачал CWShredder, проверил
    все осталось по прежнему,
    высылаю логи повторно.
    HELP !!!!!!!
    Вложения Вложения

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    550
    Цитата Сообщение от Filin
    Скачал CWShredder, проверил
    все осталось по прежнему, высылаю логи повторно.
    HELP !!!!!!!
    Не всё, стало немного чище.

    Приступим - из ниже перечисленного всё, что найдется - прислать
    C:\WINDOWS\system32\apigh.dll
    C:\WINDOWS\system32\winxo32.dll
    C:\WINDOWS\wincz32.dll
    C:\WINDOWS\system32\netyg.dl
    C:\WINDOWS\atldw32.dll
    C:\WINDOWS\system32\crhr.exe
    C:\WINDOWS\system32\javauz.exe
    C:\WINDOWS\system32\ntlg32.exe
    C:\WINDOWS\system32\nettj32.exe
    C:\WINDOWS\system32\ipqn.exe
    C:\PROGRA~1\BT2Net\BT2PLU~1.DLL

    www.virustotal.com - проверить на вирусы -
    C:\PROGRA~1\BT2Net\BT2PLU~1.DLL
    Соответственно в "продолжении" участвует в зависимости от результата проверки.

    Обновляете DrWeb.

    Режим защиты от сбоев стираете

    C:\WINDOWS\system32\apigh.dll
    C:\WINDOWS\system32\winxo32.dll
    C:\WINDOWS\wincz32.dll
    C:\WINDOWS\system32\netyg.dl
    C:\WINDOWS\atldw32.dll
    C:\WINDOWS\system32\crhr.exe
    C:\WINDOWS\system32\javauz.exe
    C:\WINDOWS\system32\ntlg32.exe
    C:\WINDOWS\system32\nettj32.exe
    C:\WINDOWS\system32\ipqn.exe
    ??? C:\PROGRA~1\BT2Net\BT2PLU~1.DLL

    Запускаете Hijack -
    O2 - BHO: Class - {40F96ECF-F256-A2FB-6BF0-5B6FD5678995} - C:\WINDOWS\system32\apigh.dll (file missing)
    O2 - BHO: Class - {47EA1720-78C9-292F-1E61-12875D376490} - C:\WINDOWS\system32\winxo32.dll
    O2 - BHO: Class - {6BB2CE94-CBE3-276E-9FBD-683911ECC178} - C:\WINDOWS\wincz32.dll
    O2 - BHO: My Web Search Bar BHO - {8EAB99C1-F9EC-4b64-A4BA-D9BCAE8779C2} - (no file)
    O2 - BHO: Class - {E29BF509-239C-4103-CBB7-DCF199E4F8F6} - C:\WINDOWS\system32\netyg.dll
    O2 - BHO: Class - {E6F23682-174F-AF3C-0738-3DEF6F7B9091} - C:\WINDOWS\atldw32.dll
    O4 - HKLM\..\Run: [crhr.exe] C:\WINDOWS\system32\crhr.exe
    O4 - HKLM\..\Run: [javauz.exe] C:\WINDOWS\system32\javauz.exe
    O4 - HKLM\..\Run: [ntlg32.exe] C:\WINDOWS\system32\ntlg32.exe
    O4 - HKLM\..\Run: [nettj32.exe] C:\WINDOWS\system32\nettj32.exe
    O16 - DPF: {2B96D5CC-C5B5-49A5-A69D-CC0A30F9028C} (MiniBugTransporterX Class) - http://wdownload.weatherbug.com/mini...ansporter.cab?
    O23 - Service: Network Security Service ( 11FЯд#·єДЦ`I) - Unknown owner - C:\WINDOWS\system32\ipqn.exe" /s (file missing)
    ??? O18 - Protocol: bt2 - {1730B77B-F429-498F-9B15-4514D83C8294} - C:\PROGRA~1\BT2Net\BT2PLU~1.DLL (file missing)
    ??? O18 - Filter: application/x-bt2 - {6E1DDCE8-76BC-4390-9488-806E8FB1AD77} - C:\PROGRA~1\BT2Net\BT2PLU~1.DLL

    ??? - я пометил то что нужно Fix`ить по результату проверки на Virus Total, остальное Fix`ить без проверки.

    Проверяете Disk C: сканером от Web`a

    Перезагрузка, обычный режим.

    Качаете Ewido Microscaner

    Проверяете.

    Перезагрузка.

    Логи на проверку.

  13. #12
    Filin
    Guest
    Фууу-у, часа 3 парился :-)
    Прошел все по пунктам, высылаю логи.
    Работаем дальше
    Вложения Вложения

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    137
    1. прислать файлы:
    C:\WINDOWS\system32\tldsl.dll
    C:\WINDOWS\TEMP\mc24.tmp
    C:\WINDOWS\wincz32.dll

    2. удалить из памяти процессы\драйвера
    C:\WINDOWS\system32\tldsl.dll
    C:\WINDOWS\TEMP\mc24.tmp

    3. удалить с диска файлы
    C:\WINDOWS\system32\tldsl.dll
    C:\WINDOWS\TEMP\mc24.tmp
    C:\WINDOWS\wincz32.dll

    4. удалить из HijackThis строки:
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\tldsl.dll/sp.html#53142%
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\tldsl.dll/sp.html#53142%
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\tldsl.dll/sp.html#53142%
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\tldsl.dll/sp.html#53142%
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\tldsl.dll/sp.html#53142%
    O2 - BHO: Class - {6BB2CE94-CBE3-276E-9FBD-683911ECC178} - C:\WINDOWS\wincz32.dll (file missing)
    O18 - Protocol: bt2 - {1730B77B-F429-498F-9B15-4514D83C8294} - C:\PROGRA~1\BT2Net\BT2PLU~1.DLL (file missing)
    O18 - Filter: application/x-bt2 - {6E1DDCE8-76BC-4390-9488-806E8FB1AD77} - C:\PROGRA~1\BT2Net\BT2PLU~1.DLL
    O23 - Service: Network Security Service ( 11FЯд#·єДЦ`I) - Unknown owner - C:\WINDOWS\system32\ipqn.exe" /s (file missing)
    O23 - Service: Reset 5 - Unknown owner - C:\WINDOWS\system32\srvany.exe (file missing)

    5. это что за файлы?
    C:\Collect.bat

  15. #14
    Filin
    Guest
    Похоже появился свет в конце тоннеля! :-)
    1.запрошенных файлов на диске нет!
    2.запрошенных процессов в памяти нет!
    3.запрошенных файлов на диске нет!
    4.удалены из HijackThis строки.....
    5. Collect.bat - это батовсий файл подсылающий на сервер
    состояние машины. Friendy Pinger см. www.kilievich.com

    ПОХОЖЕ МЫ ПОБЕДИЛИ!!!!
    Предлагаю Всем участникам присвоить звание НАИКРУТЕЙШЕГО !
    :-)
    Спасибо.

  16. #15
    Filin
    Guest
    Есть ли дальнейшие рекомендации?

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    21.04.2005
    Адрес
    Perm, Russia
    Сообщений
    5,794
    Вес репутации
    2271
    Цитата Сообщение от Filin
    Есть ли дальнейшие рекомендации?
    Еще раз сделать логи для того, чтоб убедиться, что ничего не осталось.

  • Уважаемый(ая) Filin, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. как бороться с вирусом (заявка №66026)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 2
      Последнее сообщение: 16.04.2011, 23:00
    2. Ответов: 3
      Последнее сообщение: 19.12.2009, 20:10
    3. не знаю как бороться с вирусом - помогите
      От Chemist2 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 21.08.2009, 20:55
    4. Эксперты ЛК объяснили как бороться с вирусом Kido
      От Rampant в разделе Вредоносные программы
      Ответов: 1
      Последнее сообщение: 02.04.2009, 10:12
    5. как бороться с вирусом Win32/Wigon.CK троян
      От lavrik в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 11.08.2008, 11:51

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00733 seconds with 17 queries