При подключении к интернету - начинается отсылка сообщений?
Здравствуйте! помогите разобраться с проблемой. может вирус или троян ?
1. При подключении к интернету через примерно 1 минуту начинается отсылка сообщений в огромном количестве.
2. не работает Task Manager. пишет что отключен администратором.
3. Сделал все как в правилах, однако не удалось отключить восстановление системы поскольку птичка не ставилась.
Нортон антивирус показывает что есть вирус xNlkop.dll но ничего не может с ним сделать.
Заранее благодарен за помощь!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Найти и присалть по правилам :
C:\DOCUME~1\Vilen\LOCALS~1\Temp\svchost.exe
C:\WINDOWS\System32\xpRecovery.dll
C:\WINDOWS\System32\cmd32.exe
C:\WINDOWS\System32\ogysteo.exe
C:\winstall.exe
C:\WINDOWS\System32\taskdir.exe
C:\WINDOWS\System32\zuysteo.exe
c:\Bookshelf.TR\TRBookshelf_.dll.button.js
C:\WINDOWS\System32\rpcc.dll
C:\WINDOWS\System32\tkije.dll
C:\WINDOWS\System32\voschen.dll
c:\windows\system32\xnlkop.dll
C:\WINDOWS\system32\xNlkop.dll
C:\Program Files\DAP\DAPNS.DLL
C:\PROGRA~1\DAP\dapie.dll
P.S. Нортонa в топкуи вперёд за апдейтами для ХП -sp2 необходим и ещё "вагон с прицепом " апдейтов после него ,потом поставить стенку , иначе повторное заражение не избежно .
P.P.S. в файле Hosts - оставить только эту строку:
127.0.0.1 localhost
остальные удалить .
Последний раз редактировалось drongo; 07.12.2006 в 20:39.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Из присланного:
C:\WINDOWS\System32\xpRecovery.dll - Trojan.DownLoader.15129
C:\DOCUME~1\Vilen\LOCALS~1\Temp\svchost.exe - Trojan.DownLoader.15129
C:\WINDOWS\System32\ogysteo.exe - Trojan.Dabot
C:\WINDOWS\System32\zuysteo.exe - Trojan.Starter.115
C:\WINDOWS\System32\rpcc.dll - Trojan.Spambot
C:\WINDOWS\System32\voschen.dll - Trojan.Spambot
Выполнить скрипт:
Сделать новые логи с 10-го пунктаКод:begin SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\System32\xpRecovery.dll'); DeleteFile('C:\DOCUME~1\Vilen\LOCALS~1\Temp\svchost.exe'); DeleteFile('C:\WINDOWS\System32\ogysteo.exe'); DeleteFile('C:\WINDOWS\System32\zuysteo.exe'); DeleteFile('C:\WINDOWS\System32\rpcc.dll'); DeleteFile('C:\WINDOWS\System32\voschen.dll'); ExecuteSysClean; RebootWindows(True); end.
сделал как сказано, вроде все работает (дальше видно будет)
сделал логи с 10-го
спасибо
Как будто выгнали. Осталось пофиксить:
Затем в AVZ вызвать менежер файла HOSTS и прибить все строки, кромеКод:O2 - BHO: C:\WINDOWS\System32\xpRecovery.dll - {8A5849B5-93F3-429D-FF34-660A2068897C} - C:\WINDOWS\System32\xpRecovery.dll (file missing) O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe O4 - HKCU\..\Run: [taskdir] C:\WINDOWS\System32\taskdir.exe O20 - Winlogon Notify: rpcc - C:\WINDOWS\ O21 - SSODL: DnMTlEQO - {486B629F-E2C1-C835-5F06-246E6DCBB421} - C:\WINDOWS\System32\tkije.dll (file missing)
Код:127.0.0.1 localhost
- насчет нортона Вам уже сказали. С Вашим счастьем его совершенно недостаточно, он хорош лишь при отсутствии троянов.
- обязательно очистите весь кэш IE. Если там будут неубиваемые файлы, их убить отложенным удалением AVZ с предлагаемой им чисткой.
- рядом с taskdir.exe (в %sysdir%, т.е. system32) могут быть taskdir.dll, taskdir~.exe. Если еще есть, убить.
Уважаемый(ая) Vil, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
