-
Junior Member
- Вес репутации
- 53
Win32:Trojan-gen
Проблема в следующем, антивирь аваст обновляется , xp sp3, после некоторого времени запуска системы, находит этот троянчик в файле в system32/qpfbyjgd.dll и qpfbyjgd.bnv удалить/в карантин/лечить невозможно... особо никаких действий после него не видно, но сам факт очень настораживает... как от него избавиться?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
Junior Member
- Вес репутации
- 53
готово
-
Выполните скрипт в AVZ
Код:
begin
BC_DeleteSvcReg('ghfeerueq');
BC_QrFile('C:\WINDOWS\system32\qpfbyjgd.dll');
BC_DeleteFile('C:\WINDOWS\system32\qpfbyjgd.dll');
BC_Activate;
ExecuteWizard('TSW', 1, 1, true);
ExecuteWizard('BT', 1, 1, true);
RebootWindows(false);
end.
Загрузите карантин согласно приложению №3 правил. Выполните скрипт в Gmer
Код:
r05fju25.exe -killall
r05fju25.exe -del service ghfeerueq
r05fju25.exe -killfile "C:\WINDOWS\system32\qpfbyjgd.dll"
r05fju25.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ghfeerueq"
r05fju25.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\ghfeerueq"
r05fju25.exe -reboot
Повторите логи.
-
-
Junior Member
- Вес репутации
- 53
итак имеем одну проблемку... Gmer не смог выполнить скрипт, напил что что-то типо на найден модуль в библиотеке и не найдено qpfbyjgd.dll... и после этого комп подвис, жёсткий ребут.. логи:
а да... не найден указанный модуль
Последний раз редактировалось Rene-gad; 02.11.2009 в 15:12.
netsh winsock reset!!!
-
Вероятно это потому, что всё удалил AVZ. Скрипт Gmer - это контрольный выстрел в зловреда Радмин Вы сами ставили? Что с проблемой? Проведите пожалуйста процедуру, описанную в первом сообщении http://virusinfo.info/showthread.php?t=3519
-
-
Junior Member
- Вес репутации
- 53
Radmin да, ставил сам.... а что инфицированный? Да, кстати, файлик qpfbyjgd.bnv всё ещё находится в системе, его проверил, антивирь его в хранилище кинул...
Что это было-то такое? и зачем?
Огромное спасибо за помощь!!!
Всегда рекомендую ваш сайт всем клиентам инета
Добавлено через 1 час 5 минут
Да кстати, теперь вот появилась ещё одна проблема с правами доступа! Ни одна прога не запускается, доп. права как администратору (себе) проставил. Хотя сам таковым и являюсь). Но бесполезно. Не открывается ничего(((
Добавлено через 1 час 0 минут
Так... с правами после ребута проблема решилась, но вот аваст встал мёртвым грузом... ни одно защита не работает, переустановка не помогла, службы тоже не включаются. (ошибка 1035 кажись). Слетели дрова на Aver Media... что-то винда плохеет, а файлик с вирусом точно также продолжает бодорствовать в систем32 (((. Его можно удалить и вручную, но он через некоторое время появляется о5.
Добавлено через 1 минуту
По поводу аваста грешил на AVZ, но все службы прогы выгружены
Последний раз редактировалось Lustmord; 27.10.2009 в 22:19.
Причина: Добавлено
netsh winsock reset!!!
-
Радмин нормальный, просто иногда его используют не в хороших целях. Сделайте повторные логи плюс вот это http://virusinfo.info/showthread.php?t=3519
-
-
Junior Member
- Вес репутации
- 53
Так всё... разобрался... проверил. Причиной было изменение прав на компе для системных папок. Изменил, ещё проверю каспером на вирусы, результаты с логами сообщю позже.
Добавлено через 5 минут
вот с этим http://virusinfo.info/showthread.php?t=3519 боюсь проблемно, ибо на инете на такая уж и скорость (исходящий канал не велик), грузиться буит долго, т.к. там достаточно крупные размеры файла
Последний раз редактировалось Lustmord; 28.10.2009 в 16:11.
Причина: Добавлено
netsh winsock reset!!!
-
Сообщение от
Lustmord
Это не обязательно делать.
-
-
Junior Member
- Вес репутации
- 53
Проблема совсем не решена((( Каспер фиксирует как - http://www.securelist.com/ru/search?...ih&referer=kav
на компе было ещё несколько вирусов, правда как их опознал Каспер - рекламщики)
Логи чуть позже..
-
-
-
Junior Member
- Вес репутации
- 53
Да-да! Уже! =) Утилитка KK.exe от каспера и помогла! убила все джобы, всё заработало, так что вирус этот немного другое название имеет всё-таки другой нэйм видимо, в отличии от того, как его распознал аваст. Смысла в логах, видимо уже нет. Благодарю за помощь!
Добавлено через 8 минут
Прошу прощения... После некоторого затишья... оно выползло о5
Последний раз редактировалось Lustmord; 29.10.2009 в 21:07.
Причина: Добавлено
netsh winsock reset!!!
-
Повторите все действия, описанные в сообщении 13
-
-
Junior Member
- Вес репутации
- 53
А смысл? я проверял 435 порт по которому в основном бьёт данный вирус, его он не использует. Файла библиотек <rnd>.dll нигде нет. KillerK.exe не находит ничего, однако Каспер продолжает также истошно орать. Видел отчет, по таким же проблемам у кого-то ещё... Смысл тот же, только в карантине, присланном пострадавшим, администрация вирусов не нашла. Проблема однако имела место быть. Установил заплатку KB958644 (хотя она уже есть на sp3 и имеет место быть пока проблема "не вторглась в дом"), GMER подозрительного не видит ничего, скачал windows-kb890830-v3.0 (результата 0), CureIt вообще не видит ничего. В регистре подозрительно тоже нет ничего. Есть одна интересная ссылка в инете http://sysadmins.ru/topic221033.html - но практически все методы описанные там уже были опробованны, и рано или поздно, вирус всё равно себя успевает показать. Не могу понять одного: откуда источник!? Если вирус себя "докачивает" с нета, то почему не удается отследить его "часть".
-
Компьютер подключен к локальной сети?
-
-
Junior Member
- Вес репутации
- 53
Последний раз редактировалось Rene-gad; 02.11.2009 в 15:12.
netsh winsock reset!!!
-
Junior Member
- Вес репутации
- 53
К локальной сети... ну по шлюзу от него подключается ещё один комп, но он чист (как не странно)
-
В логах чисто
Компьютер подключен к локальной сети?
Вопрос актуален
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
Lustmord
К локальной сети... ну по шлюзу от него подключается ещё один комп, но он чист (как не странно)
Ну ответ тоже актуален.
Входит в группу mshome. подключен в инету - cat5e. (pptp, l2tp). Имеет выход в сетевое окружение. К данному компу подключен второй через шлюз (домашняя сеть или сеть малого офиса) - это можно видеть и в логах.
Добавлено через 2 минуты
локальной сетью можно назвать и подключение 2-х компов между собой кстати говоря))
Последний раз редактировалось Lustmord; 30.10.2009 в 00:43.
Причина: Добавлено
netsh winsock reset!!!