Несколько Троянов на компе...толком не лечатся

**slmidt** · 07.05.2007, 20:53

Здравствуйте!

Вообщем, всё началось с того, что сильно грузил систему файл csrss.exe. Ужасно работал internet explorer, а компьютер куда-то отправлял постоянно какую-то информацию. Вообщем, компьютер работал больше на отправление, а не на принятие информации. Проверял несоклькими антивирусниками компьютер, вроде удалил зараженный файл и компьютер стал работать лучше, но до сих пор при различных проверках с некоторой периодичностью заражаются файлы в system32. Да и система, как мне кажется, работает не так, как раньше. Ещё постоянно возникает серьезная ошибка на компьютере, когда вставляю какую-нибудь болванку: компьютер выдаёт серезную ошибку и виснет. После перезагрузки пишет, что система восстановлена после серьезной ошибки. Хотя последнее возможно к вирусу не относится, а в связи с тем, что давно пора переустановаить систему.

Заранее благодарен!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Макcим** · 07.05.2007, 21:05

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('NVDESK32.DLL','');
 QuarantineFile('C:\TempEI4\EI40_\msxml4.cab','');
 QuarantineFile('C:\WINDOWS\system32\ipv6monl.dll','');
 QuarantineFile('msapp.exe','');
 QuarantineFile('C:\WINDOWS\system32\rpcc.dll','');
 QuarantineFile('C:\WINDOWS\csrss.exe','');
 QuarantineFile('C:\WINDOWS\System32\GERZCL~1.SCR','');
 QuarantineFile('\SystemRoot\System32\Xho6.sys','');
 DeleteFile('C:\WINDOWS\csrss.exe');
 DeleteFile('C:\WINDOWS\system32\rpcc.dll');
 DeleteFile('C:\WINDOWS\system32\ipv6monl.dll');
 DeleteFile('\SystemRoot\System32\Xho6.sys');
 BC_ImportALL;
 ExecuteSysClean;
 BC_LogFile(GetAVZDirectory + 'boot_clr.log');
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки "пофиксите" в HijackThis

Код:

O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - C:\WINDOWS\system32\ipv6monl.dll (file missing)
O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll (file missing)
O20 - Winlogon Notify: wstdactx - C:\WINDOWS\

Пришлите файлы карантина по правилам раздела "Помогите". Повторите логи, а также добавьте файл boot_clr.log из папки AVZ.

**Numb** · 08.05.2007, 10:38

Из присланного в карантине: C:\WINDOWS\system32\iproplus.dll - Email-Worm.Win32.Warezov.jw
C:\WINDOWS\System32\Xho6.sys - Rootkit.Win32.Agent.ea (по классификации Касперского)
Карантин вы прислали, теперь ждем логов, начиная с п. 10 правил.

**slmidt** · 08.05.2007, 16:25

Вложил логи

**Макcим** · 08.05.2007, 18:11

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
 QuarantineFile('msapp.exe','');
RebootWindows(false);
end.

После перезагрузки пришлите файлы карантина по правилам раздела "Помогите".
Проблем больше нет? Есть подозрения, что у Вас побывал пинч. Советую поменять пароли. На всякий случай поищите как написано в правилах файл csrss.exe, если найдется пришлите по правилам.

**Bratez** · 08.05.2007, 18:39

А warezov'a кто будет удалять? Выполните скрипт:

Код:

begin
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\iproplus.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

И вот это чудо проверял кто-нибудь?

O4 - HKLM\..\Run: [WinApp32] msapp.exe

**Макcим** · 08.05.2007, 18:46

Что-то я заработался... и Bratez походу тоже.

И вот это чудо проверял кто-нибудь?

См. скрипт карантина выше.

**slmidt** · 08.05.2007, 22:06

Проблем не было, но сейчас загрузил комп и НОД выдал несоклкьо вирусов, которые и удалил... сейчас выполню скрипты. А можно узнать поподробнее что такое пинч? и где пароли менять? везде, где я зареген в инете что ли?((( Сорри за глупые вопросы, если что...

**slmidt** · 08.05.2007, 22:23

После выполнения этого скрипта:
--------------------------
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('msapp.exe','');
RebootWindows(false);
end.
------------------
и перезагрузки в карантине нет ни одного файла

**slmidt** · 08.05.2007, 22:26

После выполнения второго скрипта в карантине тоже ничего нет...

**Макcим** · 08.05.2007, 23:52

Поищите и пришлите как написано в правилах msapp.exe и csrss.exe, если конечно найдутся.

**CyberHelper** · 22.02.2009, 01:45

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 20
В ходе лечения обнаружены вредоносные программы:
1. c:\\windows\\system32\\iproplus.dll - Email-Worm.Win32.Warezov.la (DrWEB: Win32.HLLM.Limar)
2. c:\\windows\\system32\\xho6.sys - Rootkit.Win32.Agent.ea (DrWEB: Trojan.NtRootKit.873)

Несколько Троянов на компе...толком не лечатся (заявка № 9545)

Опции темы

Несколько Троянов на компе...толком не лечатся

Итог лечения

Похожие темы

Червь и несколько троянов

Несколько троянов появляются снова

Подхватил несколько троянов :(( [Trojan-Ransom.Win32.Hexzone.gmz, Trojan.Win32.Buzus.byy ]

Несколько троянов

Похоже на несколько троянов:(

Ваши права в разделе