-
Junior Member
- Вес репутации
- 63
И снова трояны: ErrorSafe & WinAntiVirus Pro 2007
Доброго всем времени суток!
Понадеялся я на свой мозг и прямые руки. И стал самостоятельно лечить проблему выскакивания в IE окон с предложениями скачать/установить указанных выше сабжей. И перепробовал массу средств, ссылки на которые нашел в google. Однако, проблема оказалась зловреднее и если раньше с ней еще можно было сосуществовать, то теперь EI даже боюсь открывать...
И теперь прошу помощу у уважаемых профессионалов. Помогите!
С Уважением, Виктор
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\sdmxlhnm.dll','');
QuarantineFile('C:\WINDOWS\system32\vtsst.dll','');
QuarantineFile('C:\WINDOWS\system32\tnowtpug.dll','');
QuarantineFile('C:\WINDOWS\system32\qomnnmn.dll','');
QuarantineFile('C:\WINDOWS\system32\aepglcbu.dll','');
QuarantineFile('c:\windows\system32\lsass.exe','');
QuarantineFile('c:\windows\system32\svchost.exe','');
QuarantineFile('c:\program files\internet explorer\iexplore.exe','');
RebootWindows(true);
end.
Прислать весь карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=9309........
Последний раз редактировалось drongo; 26.04.2007 в 20:30.
-
-
Junior Member
- Вес репутации
- 63
ок, карантин выслан
Файл сохранён как 070426_204423_virus_quarantine_4630d6e725866.zip
Размер файла 417202
MD5403d7524e716cd37f96a76eef9b33660
В процессе обработки скрипта в AVZ выскакивали системные сообщения, что, мол, ошибка прямого чтения файла ..... и т.д.
- подробно зафиксировать не удалось ибо окно со скриптом мешало + комп перезагрузился ..весьма неожиданно для меня.
В процессе архивирования Norton Antivirus сильно ругался по каждому из файлов, но как и ранее поделать с ними ничего не мог (типа нет доступа)
-
не попали все возможно из -за дяди нортона.
план такой :
1)отключиться от интернета
2)отключить полностью постоянную защиту антивируса , лучше вообще его выгрузить из памяти.
3)запустить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine();
QuarantineFile('C:\WINDOWS\system32\axvrwedb.dll','');
QuarantineFile('C:\WINDOWS\system32\bdpdrapk.dll','');
QuarantineFile('C:\WINDOWS\system32\cgoyupxo.dll','');
QuarantineFile('C:\WINDOWS\system32\juafmprx.dll','');
QuarantineFile('C:\WINDOWS\system32\nouktxfb.dll','');
QuarantineFile('C:\WINDOWS\system32\qliqblwk.dll','');
QuarantineFile('C:\WINDOWS\system32\rhqfhgyo.dll','');
QuarantineFile('C:\WINDOWS\system32\yosuriop.dll','');
QuarantineFile('C:\WINDOWS\system32\sdmxlhnm.dll','');
QuarantineFile('C:\WINDOWS\system32\aepglcbu.dll','');
QuarantineFile('c:\windows\system32\lsass.exe','');
QuarantineFile('c:\windows\system32\svchost.exe','');
QuarantineFile('c:\program files\internet explorer\iexplore.exe','');
BC_ImportQuarantineList;
BC_LogFile(GetAVZDirectory + 'boot_copy.log');
BC_Activate;
RebootWindows(true);
end.
4)Включить назад ваш антивирус , после того как компьютер сам перегрузиться.
5)послать карантин , как раньше.
5)приложить boot_copy.log из папки авз сюда.
Последний раз редактировалось drongo; 26.04.2007 в 21:31.
-
-
Junior Member
- Вес репутации
- 63
Дядя Нортон из памяти отказывается выгружаться, при попытке прекратить процессы ручками - ругается и говорит что операция не может быть завершена по причине отсутствия прав доступа.
Пришлось просто отключить его работу.
В процессе работы скрипта в АВЗ снова возникали строки со словом "ошибка". С вашего позволения я залью сюда в т.ч.. и лог этих сообщений программы.
Карантин выслан.
Файл сохранён как 070427_113240_virus2_4631a718c677d.zip
Размер файла 2761947
MD5 79dcf09965b5f667a50e323872ca7040
С Уважением, Виктор
-
run_script_AVZ.txt не помогает узнать причину ошибки , поэтому не просил
-
-
В карантине: C:\WINDOWS\system32\axvrwedb.dll - AdWare.Win32.Virtumonde.hb
C:\WINDOWS\system32\bdpdrapk.dll - AdWare.Win32.Virtumonde.hb
C:\WINDOWS\system32\cgoyupxo.dll - AdWare.Win32.Virtumonde.hb
C:\WINDOWS\system32\juafmprx.dll - AdWare.Win32.Virtumonde.hb
C:\WINDOWS\system32\nouktxfb.dll - AdWare.Win32.Virtumonde.hb
C:\WINDOWS\system32\qliqblwk.dll - AdWare.Win32.Virtumonde.hb
C:\WINDOWS\system32\rhqfhgyo.dll - AdWare.Win32.Virtumonde.hb
C:\WINDOWS\system32\yosuriop.dll - Trojan-Spy.Win32.VBStat.h
(все - по классификации Касперского)
-
-
1.отключиться от инета
2.отключить нортона.
3.выполнить скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\bdpdrapk.dll');
DeleteFile('C:\WINDOWS\system32\cgoyupxo.dll');
DeleteFile('C:\WINDOWS\system32\juafmprx.dll');
DeleteFile('C:\WINDOWS\system32\nouktxfb.dll');
DeleteFile('C:\WINDOWS\system32\rhqfhgyo.dll');
DeleteFile('C:\WINDOWS\system32\yosuriop.dll');
BC_ImportALL;
ExecuteSysClean;
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.
4.сделать новые логи
5.включить нортон, подсоединиться к инету и прикрепить к теме новые логи по правилам+ boot_clr.log
-
-
Junior Member
- Вес репутации
- 63
Скрипт был выполнен,
затем машина перезагрузилась и в процессе проверки АВЗ выявила новые длл-ки, который троян создал вместо удаленных скриптом (
логи прилагаю:
-
Видимо, главные там трое, которые повторяются во всех логах, а остальные - производные. Выполните этот скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\vtsst.dll','');
QuarantineFile('C:\WINDOWS\system32\tnowtpug.dll','');
QuarantineFile('C:\WINDOWS\system32\qomnnmn.dll','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки пришлите карантин по правилам.
-
-
Junior Member
- Вес репутации
- 63
Выполнил.
Карантин отправлен:
Файл сохранён как 070428_110935_virus_4632f32f03523.zip
Размер файла 1241572
-
C:\WINDOWS\system32\vtsst.dll - AdWare.Win32.Virtumonde.fp
C:\WINDOWS\system32\tnowtpug.dll - AdWare.Win32.Virtumonde.hb
C:\WINDOWS\system32\qomnnmn.dll - AdWare.Win32.Virtumonde.ig
(все - по классификации Касперского)
Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\vtsst.dll');
DeleteFile('C:\WINDOWS\system32\tnowtpug.dll');
DeleteFile('C:\WINDOWS\system32\qomnnmn.dll');
ExecuteSysClean;
BC_ImportDeletedList;
BC_Activate;
RebootWindows(true);
end.
Система будет перезагружена. После перезагрузки, сделайте, пожалуйста, новые логи.
-
-
Junior Member
- Вес репутации
- 63
Скрипт выполнил, все прошло без эксессов, даные файлы были озвучены как обязательные к удалению (но только после перезагрузки) и тот час же в реестре была успешно блокирована попытка файлам себя восстановить при перезагрузке.
После перезагрузки, в процессе выполнения первого скрипта (который лечение... и т.д..) были обнаружены новые три файла с подозрением на тот же троян. Файлы были помещены в карантин.
Логи прилагаю.
-
Прошу прощения, допустил досадную ошибку в последнем скрипте. Давайте попробуем так:отключитесь от сети и отключите Norton antivirus. В программе hijackthis пофиксите строчки:
Код:
O2 - BHO: (no name) - {31542FC5-6059-48AC-A87B-A18F94FBAD80} - C:\WINDOWS\system32\vtsst.dll (file missing)
O2 - BHO: (no name) - {67C55A8D-E808-4caa-9EA7-F77102DE0BB6} - C:\WINDOWS\system32\tducktyr.dll (file missing)
O2 - BHO: (no name) - {B6ADCC33-0B9B-48E3-A110-F8BBF5A04456} - C:\WINDOWS\system32\qomnnmn.dll (file missing)
O2 - BHO: (no name) - {D651AFF4-9590-424d-BD1E-8E33E090DFB3} - C:\WINDOWS\system32\fwqiqrok.dll
O4 - HKLM\..\Run: [InfoData] rundll32.exe "C:\WINDOWS\system32\tupgxwqp.dll",realset
O20 - Winlogon Notify: qomnnmn - qomnnmn.dll (file missing)
O20 - Winlogon Notify: vtsst - C:\WINDOWS\
Далее, программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\fwqiqrok.dll');
DeleteFile('C:\WINDOWS\system32\qliqblwk.dll');
DeleteFile('C:\WINDOWS\system32\gfklflhc.dll');
DeleteFile('C:\WINDOWS\system32\bsfpxqrd.dll');
DeleteFile('C:\WINDOWS\system32\axvrwedb.dll');
DeleteFile('C:\WINDOWS\system32\tupgxwqp.dll');
DeleteFile('qomnnmn.dll');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(false);
end.
Система будет перезагружена. После перезагрузки, сделайте новые логи, начиная с п.10 правил
-
-
Junior Member
- Вес репутации
- 63
Все пофиксено, скрипт выполнен.
логи прилагаю
-
В логах все чисто.
-
-
Junior Member
- Вес репутации
- 63
Грац,
большое спасибо!
а можно небольшую просьбу?
Я там в логе hijackthis обнаружил, что наряду с нужными вещами у меня грузится куча всякой хрени... Можно ли получить от Вас рекомендацию - что именно, на Ваш взгляд, имеет смысл пофиксить...?
-
Сообщение от
Umka
Я там в логе hijackthis обнаружил, что наряду с нужными вещами у меня грузится куча всякой хрени...
Например? В автозапуске О4 - только 3 позиции, 2 от Нортона+1 системный файл. Можете ещё проверить службы - может быть какие-то Вам действительно не нужны.
-
-
Junior Member
- Вес репутации
- 63
Ок, большое спасибо за интересную ссылочку)
Большое спасибо за оперативную помощь,
Огромное спасибо за Ваш форум!
-
-