DrWeb не лечит? Как бороться с вирусом!
Прицепился какая-то зараза не знаю как от нее избавиться.
Прявляет себя так.
1.Стартовая страница в эксплорере(IE) стала пустая, выдает about :blank.
Ручное изменение startpage никчему не приводит.
2. При каждом открытии окна IE Spider DrWeb выдает сообщение:
C:\WINDOWS\system32\ttndh.dll - программа-AdWare Adware.Lsearch
при работе в IE иногда выскакивают посторонние окна.
3.Система в целом вести себя вяло, особенно сетевые подключения.
Прбовал сканировать DrWeb, Ad Aware, Spyware, TDS - все, что-то находят, уничтожают, но все остается по старому.
*Внимательно* прочитал и *аккуратно* (пункт за пунктом) выполнил
http://helpme.virusinfo.info/
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Пришлите, как написано в правилах:
C:\WINDOWS\system32\ipqn.exe
C:\WINDOWS\iegk.dll
C:\WINDOWS\system32\apigh.dll
C:\WINDOWS\apima32.dll
C:\WINDOWS\system32\winmq32.dll
C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
C:\WINDOWS\system32\ntwp.dll
C:\WINDOWS\system32\appdl32.dll
C:\WINDOWS\system32\sdkbx.dll
C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
C:\WINDOWS\system32\iecr.dll
C:\WINDOWS\system32\apifq32.dll
C:\WINDOWS\system32\javakr32.dll
C:\WINDOWS\system32\addoa.dll
C:\WINDOWS\system32\netiy32.exe
C:\WINDOWS\system32\mfcwh32.exe
C:\WINDOWS\ipen.exe
C:\WINDOWS\system32\crhr.exe
C:\WINDOWS\system32\netds32.exe
C:\WINDOWS\system32\javauz.exe
C:\WINDOWS\system32\ipyr.exe
C:\WINDOWS\system32\ntlg32.exe
C:\WINDOWS\system32\sysmo32.exe
C:\WINDOWS\system32\javale.exe
C:\WINDOWS\system32\crfj32.exe
C:\WINDOWS\system32\nettj32.exe
C:\WebServers\etc\utils\Boot.exe
Возможно, хватил лишку, лог исследования AVZ изучать некогда.
P.S. Надеюсь, что Permeo Security Driver и Google Tooolbar настоящие.
Более полный список файлов которые нужно прислать. Как искать и прысылать написано в правилах
c:\windows\system32\ipqn.exe
c:\windows\system32\javale.exe
c:\program files\spyware doctor\sdhelp.exe
C:\WINDOWS\system32\ntwp.dll
C:\WINDOWS\system32\sdkbx.dll
C:\WINDOWS\System32\drivers\ebnetbt.sys
C:\WINDOWS\TEMP\mc25.tmp
C:\WINDOWS\system32\netiy32.exe
C:\WINDOWS\system32\mfcwh32.exe
C:\WINDOWS\ipen.exe
C:\WINDOWS\system32\crhr.exe
C:\WINDOWS\system32\netds32.exe
C:\WINDOWS\system32\javauz.exe
C:\WINDOWS\system32\ipyr.exe
C:\WINDOWS\system32\ntlg32.exe
C:\WINDOWS\system32\sysmo32.exe
C:\WINDOWS\system32\javale.exe
C:\WINDOWS\system32\crfj32.exe
C:\WINDOWS\system32\nettj32.exe
C:\WINDOWS\iegk.dll
C:\WINDOWS\system32\apigh.dll
C:\WINDOWS\apima32.dll
C:\WINDOWS\system32\winmq32.dll
C:\WINDOWS\system32\ntwp.dll
C:\WINDOWS\system32\appdl32.dll
C:\WINDOWS\system32\sdkbx.dll
C:\WINDOWS\system32\iecr.dll
C:\WINDOWS\system32\apifq32.dll
C:\WINDOWS\system32\javakr32.dll
C:\WINDOWS\system32\addoa.dll
CoolWWWSearch в логе присутствует, скачайте CWShredder
Загрузитесь в SafeMode и проверьте им компьютер.
Запустите Hijack
выберите -
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about :blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\mxwym.dll/sp.html#53142%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\mxwym.dll/sp.html#53142%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mxwym.dll/sp.html#53142%resultposition.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\mxwym.dll/sp.html#53142%resultposition.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\mxwym.dll/sp.html#53142%resultposition.net
O2 - BHO: Class - {073966FB-50D8-55DE-2E21-4EF25367618D} - C:\WINDOWS\iegk.dll (file missing)
O2 - BHO: Class - {40F96ECF-F256-A2FB-6BF0-5B6FD5678995} - C:\WINDOWS\system32\apigh.dll (file missing)
O2 - BHO: Class - {492BF9B9-13D0-58BB-37CB-DF9BECE39907} - C:\WINDOWS\apima32.dll (file missing)
O2 - BHO: Class - {5966FB2A-7126-2ECE-BB59-C94BE0786C01} - C:\WINDOWS\system32\winmq32.dll (file missing)
O2 - BHO: Class - {64E5E8FA-69A1-48F4-8963-F00907CAAF17} - C:\WINDOWS\system32\ntwp.dll
O2 - BHO: Class - {6A9B84AD-E10D-60E3-E881-CCF0CB52E3C4} - C:\WINDOWS\system32\appdl32.dll (file missing)
O2 - BHO: My Web Search Bar BHO - {8EAB99C1-F9EC-4b64-A4BA-D9BCAE8779C2} - (no file)
O2 - BHO: Class - {A6CBA69B-49C2-7C6B-CF53-4CE8BD7AD070} - C:\WINDOWS\system32\sdkbx.dll
O2 - BHO: Class - {B9816B30-C237-4874-FAF1-597C2EE5B791} - C:\WINDOWS\system32\iecr.dll (file missing)
O2 - BHO: Class - {CC736B40-8144-5D9C-A826-91485E5E97D8} - C:\WINDOWS\system32\apifq32.dll (file missing)
O2 - BHO: Class - {DD4FB04F-8E1A-6818-993B-3C489CB8A5FF} - C:\WINDOWS\system32\javakr32.dll (file missing)
O2 - BHO: Class - {EFC5B77D-89C3-A962-9A96-1C6818B08696} - C:\WINDOWS\system32\addoa.dll (file missing)
O4 - HKLM\..\Run: [netiy32.exe] C:\WINDOWS\system32\netiy32.exe
O4 - HKLM\..\Run: [mfcwh32.exe] C:\WINDOWS\system32\mfcwh32.exe
O4 - HKLM\..\Run: [ipen.exe] C:\WINDOWS\ipen.exe
O4 - HKLM\..\Run: [crhr.exe] C:\WINDOWS\system32\crhr.exe
O4 - HKLM\..\Run: [netds32.exe] C:\WINDOWS\system32\netds32.exe
O4 - HKLM\..\Run: [javauz.exe] C:\WINDOWS\system32\javauz.exe
O4 - HKLM\..\Run: [ipyr.exe] C:\WINDOWS\system32\ipyr.exe
O4 - HKLM\..\Run: [ntlg32.exe] C:\WINDOWS\system32\ntlg32.exe
O4 - HKLM\..\Run: [sysmo32.exe] C:\WINDOWS\system32\sysmo32.exe
O4 - HKLM\..\Run: [javale.exe] C:\WINDOWS\system32\javale.exe
O4 - HKLM\..\Run: [crfj32.exe] C:\WINDOWS\system32\crfj32.exe
O4 - HKLM\..\Run: [nettj32.exe] C:\WINDOWS\system32\nettj32.exe
O4 - HKLM\..\RunOnce: [ipqn.exe] C:\WINDOWS\system32\ipqn.exe
и нажмите Fix
После повторите логи, посмотрим что ещё останется.
KAV - online
C:\WINDOWS\system32\ntwp.dll - инфицирован Trojan-Downloader.Win32.Agent.bc
c:\windows\system32\javale.exe - инфицирован Trojan-Downloader.Win32.Agent.td
C:\WINDOWS\system32\sdkbx.dll - инфицирован Trojan-Downloader.Win32.Agent.bc
c:\windows\system32\ipqn.exe - инфицирован Trojan.Win32.Agent.bi
C:\WINDOWS\system32\nettj32.exe - инфицирован Trojan-Downloader.Win32.Agent.td
C:\WINDOWS\system32\crfj32.exe - инфицирован Trojan-Downloader.Win32.Agent.td
virusscan.jotti.org
AntiVir Found Trojan/Agent.BI.97, Trojan/Dldr.Agent.TD.54, Trojan/Dldr.Agent.BC.92
ArcaVir Found Trojan.Downloader.Agent.Td
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found GenPack:Trojan.Agent.BI, GenPack:Trojan.Downloader.Agent.TD
ClamAV Found nothing
Dr.Web Found nothing
F-Prot Antivirus Found nothing
Fortinet Found W32/Iefeat.AK!tr
Kaspersky Anti-Virus Found Trojan.Win32.Agent.bi, Trojan-Downloader.Win32.Agent.td, Trojan-Downloader.Win32.Agent.bc
NOD32 Found Win32/TrojanDownloader.Agent.BQ, a variant of Win32/TrojanDownloader.Agent.BQ
Norman Virus Control Found W32/Agent.LNM
UNA Found TrojanDownloader.Win32.Agent
VBA32 Found Trojan-Downloader.Win32.Agent.td
Из присланных файлов по KAV:
c:\windows\system32\ipqn.exe - инфицирован Trojan.Win32.Agent.bi
c:\windows\system32\javale.exe - инфицирован Trojan-Downloader.Win32.Agent.td
C:\WINDOWS\system32\crfj32.exe - инфицирован Trojan-Downloader.Win32.Agent.td
C:\WINDOWS\system32\nettj32.exe - инфицирован Trojan-Downloader.Win32.Agent.td
C:\WINDOWS\system32\ntwp.dll - инфицирован Trojan-Downloader.Win32.Agent.bc
C:\WINDOWS\system32\sdkbx.dll - инфицирован Trojan-Downloader.Win32.Agent.bc
Здорово!
Сразу столько советов, что и не знаешь за какой хвататься :-)
успел только отослать файлы, остальное продолжу завтра(раб. день кончился).
Будем идти по порядку...
на завтра у меня совет от RiC:
CoolWWWSearch в логе присутствует, скачайте CWShredder.....
Спасибо за участие , до завтра.
Время последнего обновления: 2006-01-12,15:30:28
Dr.Web:
Trojan.Feat.12
Trojan.Feat.7
BackDoor.Netag
Сообщение от
Shu_b
Время последнего обновления: 2006-01-12,15:30:28
Dr.Web:
Trojan.Feat.12
Trojan.Feat.7
BackDoor.Netag
Ну собственно остальное "грязное" дело сканер от доктора после обновления доделает, а логи всё-равно на проверку не помешают.
Скачал CWShredder, проверил
все осталось по прежнему,
высылаю логи повторно.
HELP !!!!!!!
Вложения
Сообщение от
Filin
Скачал CWShredder, проверил
все осталось по прежнему, высылаю логи повторно.
HELP !!!!!!!
Не всё, стало немного чище.
Приступим - из ниже перечисленного всё, что найдется - прислать
C:\WINDOWS\system32\apigh.dll
C:\WINDOWS\system32\winxo32.dll
C:\WINDOWS\wincz32.dll
C:\WINDOWS\system32\netyg.dl
C:\WINDOWS\atldw32.dll
C:\WINDOWS\system32\crhr.exe
C:\WINDOWS\system32\javauz.exe
C:\WINDOWS\system32\ntlg32.exe
C:\WINDOWS\system32\nettj32.exe
C:\WINDOWS\system32\ipqn.exe
C:\PROGRA~1\BT2Net\BT2PLU~1.DLL
www.virustotal.com - проверить на вирусы -
C:\PROGRA~1\BT2Net\BT2PLU~1.DLL
Соответственно в "продолжении" участвует в зависимости от результата проверки.
Обновляете DrWeb.
Режим защиты от сбоев стираете
C:\WINDOWS\system32\apigh.dll
C:\WINDOWS\system32\winxo32.dll
C:\WINDOWS\wincz32.dll
C:\WINDOWS\system32\netyg.dl
C:\WINDOWS\atldw32.dll
C:\WINDOWS\system32\crhr.exe
C:\WINDOWS\system32\javauz.exe
C:\WINDOWS\system32\ntlg32.exe
C:\WINDOWS\system32\nettj32.exe
C:\WINDOWS\system32\ipqn.exe
??? C:\PROGRA~1\BT2Net\BT2PLU~1.DLL
Запускаете Hijack -
O2 - BHO: Class - {40F96ECF-F256-A2FB-6BF0-5B6FD5678995} - C:\WINDOWS\system32\apigh.dll (file missing)
O2 - BHO: Class - {47EA1720-78C9-292F-1E61-12875D376490} - C:\WINDOWS\system32\winxo32.dll
O2 - BHO: Class - {6BB2CE94-CBE3-276E-9FBD-683911ECC178} - C:\WINDOWS\wincz32.dll
O2 - BHO: My Web Search Bar BHO - {8EAB99C1-F9EC-4b64-A4BA-D9BCAE8779C2} - (no file)
O2 - BHO: Class - {E29BF509-239C-4103-CBB7-DCF199E4F8F6} - C:\WINDOWS\system32\netyg.dll
O2 - BHO: Class - {E6F23682-174F-AF3C-0738-3DEF6F7B9091} - C:\WINDOWS\atldw32.dll
O4 - HKLM\..\Run: [crhr.exe] C:\WINDOWS\system32\crhr.exe
O4 - HKLM\..\Run: [javauz.exe] C:\WINDOWS\system32\javauz.exe
O4 - HKLM\..\Run: [ntlg32.exe] C:\WINDOWS\system32\ntlg32.exe
O4 - HKLM\..\Run: [nettj32.exe] C:\WINDOWS\system32\nettj32.exe
O16 - DPF: {2B96D5CC-C5B5-49A5-A69D-CC0A30F9028C} (MiniBugTransporterX Class) - http://wdownload.weatherbug.com/mini...ansporter.cab?
O23 - Service: Network Security Service ( 11FЯд#·єДЦ`I) - Unknown owner - C:\WINDOWS\system32\ipqn.exe" /s (file missing)
??? O18 - Protocol: bt2 - {1730B77B-F429-498F-9B15-4514D83C8294} - C:\PROGRA~1\BT2Net\BT2PLU~1.DLL (file missing)
??? O18 - Filter: application/x-bt2 - {6E1DDCE8-76BC-4390-9488-806E8FB1AD77} - C:\PROGRA~1\BT2Net\BT2PLU~1.DLL
??? - я пометил то что нужно Fix`ить по результату проверки на Virus Total, остальное Fix`ить без проверки.
Проверяете Disk C: сканером от Web`a
Перезагрузка, обычный режим.
Качаете Ewido Microscaner
Проверяете.
Перезагрузка.
Логи на проверку.
Фууу-у, часа 3 парился :-)
Прошел все по пунктам, высылаю логи.
Работаем дальше
Вложения
1. прислать файлы:
C:\WINDOWS\system32\tldsl.dll
C:\WINDOWS\TEMP\mc24.tmp
C:\WINDOWS\wincz32.dll
2. удалить из памяти процессы\драйвера
C:\WINDOWS\system32\tldsl.dll
C:\WINDOWS\TEMP\mc24.tmp
3. удалить с диска файлы
C:\WINDOWS\system32\tldsl.dll
C:\WINDOWS\TEMP\mc24.tmp
C:\WINDOWS\wincz32.dll
4. удалить из HijackThis строки:
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\tldsl.dll/sp.html#53142%
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\tldsl.dll/sp.html#53142%
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\tldsl.dll/sp.html#53142%
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\tldsl.dll/sp.html#53142%
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\tldsl.dll/sp.html#53142%
O2 - BHO: Class - {6BB2CE94-CBE3-276E-9FBD-683911ECC178} - C:\WINDOWS\wincz32.dll (file missing)
O18 - Protocol: bt2 - {1730B77B-F429-498F-9B15-4514D83C8294} - C:\PROGRA~1\BT2Net\BT2PLU~1.DLL (file missing)
O18 - Filter: application/x-bt2 - {6E1DDCE8-76BC-4390-9488-806E8FB1AD77} - C:\PROGRA~1\BT2Net\BT2PLU~1.DLL
O23 - Service: Network Security Service ( 11FЯд#·єДЦ`I) - Unknown owner - C:\WINDOWS\system32\ipqn.exe" /s (file missing)
O23 - Service: Reset 5 - Unknown owner - C:\WINDOWS\system32\srvany.exe (file missing)
5. это что за файлы?
C:\Collect.bat
Похоже появился свет в конце тоннеля! :-)
1.запрошенных файлов на диске нет!
2.запрошенных процессов в памяти нет!
3.запрошенных файлов на диске нет!
4.удалены из HijackThis строки.....
5. Collect.bat - это батовсий файл подсылающий на сервер
состояние машины. Friendy Pinger см. www.kilievich.com
ПОХОЖЕ МЫ ПОБЕДИЛИ!!!!
Предлагаю Всем участникам присвоить звание НАИКРУТЕЙШЕГО !
:-)
Спасибо.
Есть ли дальнейшие рекомендации?
Сообщение от
Filin
Есть ли дальнейшие рекомендации?
Еще раз сделать логи для того, чтоб убедиться, что ничего не осталось.