замучал ErrorSafe и WinAntiVirusPro2007

**ЛИСyou** · 15.05.2007, 00:33

При подключении к инету и загрузке какой либо страницы, через время загружаются окна с предложением проверить комп и загрузить программы проверок то ErrorSafe , то WinAntiVirusPro2007. Отмены ничего не дают. Продолжает грузить новые страницы. Комп виснет или завершает работу браузера. работать стало невозможно.
Согласно правил прилагаю:

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Bratez** · 15.05.2007, 01:52

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
 QuarantineFile('C:\WINNT\system32\bhoSearchSpy.dll','');
 QuarantineFile('C:\WINNT\system32\jimucauv.dll','');
 QuarantineFile('C:\WINNT\system32\jkkli.dll','');
 QuarantineFile('C:\WINNT\system32\hrhbfvnp.dll','');
 QuarantineFile('C:\WINNT\system32\wvuvtqn.dll','');
 QuarantineFile('C:\WINNT\system32\efedd.dll','');
 QuarantineFile('C:\WINNT\system32\xplsass.exe','');
DeleteFile('C:\WINNT\Temp\*.*');
DeleteFile('C:\WINNT\Downloaded Program Files\UERSG_0001_N91M2908NetInstaller.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.

**ЛИСyou** · 15.05.2007, 02:46

Пришел ли карантин, который вы запрашивали? Или надо повторить?

**Bratez** · 15.05.2007, 02:49

Карантин пришел, сейчас посмотрю, не убегайте надолго.

**ЛИСyou** · 15.05.2007, 02:56

на месте буду. Интересно сколько во Владике ща времени утро уже, если у меня два часа ночи?

**Bratez** · 15.05.2007, 03:00

Однозначно детектится только xplsass.exe - Backdoor.Win32.SdBot.yx
Выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINNT\system32\xplsass.exe');
 BC_DeleteFile('C:\WINNT\system32\xplsass.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки пофиксите в HijackThis:

Код:

O2 - BHO: (no name) - {6070C203-F906-49A2-93AE-6DCD41BC897D} - (no file)
O2 - BHO: (no name) - {E2EE5C44-C66D-499d-BEAE-A2A79189A63A} - C:\WINNT\system32\jimucauv.dll (file missing)
O4 - HKCU\..\RunServices: [Ms System Config] xplsass.exe
O20 - Winlogon Notify: jkkli - C:\WINNT\system32\jkkli.dll (file missing)

По остальным отпишусь минут через 20.
P.S. У нас 10 утра

**Bratez** · 15.05.2007, 03:21

wvuvtqn.dll и efedd.dll - явные зловреды, но совсем свежие, никто не определяет. Так что вы тоже внесли свой скромный вклад в наше общее дело

1. Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINNT\SYSTEM32\wvuvtqn.dll');
 DeleteFile('C:\WINNT\system32\efedd.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

2. Поищите с помощью AVZ файлы C:\WINNT\system32\svshost.exe и C:\Program.exe -
скорее всего их нет, но мало ли...

3. Пофиксите в HijackThis строки:

Код:

O2 - BHO: (no name) - {B9DC8096-C21E-4918-94F5-CF19093697E0} - C:\WINNT\system32\efedd.dll
O2 - BHO: (no name) - {CD1C0C84-288D-454C-A3F3-3505EFCE6145} - C:\WINNT\system32\wvuvtqn.dll
O20 - Winlogon Notify: efedd - C:\WINNT\system32\efedd.dll
O20 - Winlogon Notify: wvuvtqn - C:\WINNT\SYSTEM32\wvuvtqn.dll
O23 - Service: Logical Client Manager - Unknown owner - C:\WINNT\system32\svshost.exe (file missing)
O23 - Service: MySQL - Unknown owner - C:\Program.exe (file missing)
O23 - Service: Remote Usage Manager - Unknown owner - C:\WINNT\system32\svshost.exe (file missing)
O23 - Service: Shell Code Services - Unknown owner - C:\WINNT\system32\svshost.exe (file missing)

(посмотрите по ссылке в правилах, как фиксить строки с кодом О23).

4. Сделайте новые логи, начиная с п.10 правил.

**ЛИСyou** · 15.05.2007, 04:40

два вопроса, заранее извиняюсь, уточняюсь:
1. у меня винда 2000 SP4, (ничего?)
2. Для того чтобы пофиксить строку начинающуюся с O23 надо:...
В открывшемся диалоге ввести название службы ...
А в моем случае? это - Logical Client Manager
- MySQL ,
- Remote Usage Manager,
- Shell Code Services
Так?

**Bratez** · 15.05.2007, 04:55

Да, все верно.

**ЛИСyou** · 15.05.2007, 08:23

вот что получилось

**Bratez** · 15.05.2007, 13:27

1. Строчки с кодом О23 так и не удалось пофиксить? В принципе, если файлы не нашлись, то это не критично, просто мусор в реестре.

2. Вот это:

Код:

O1 - Hosts: 127.0.0.2 cracker
O17 - HKLM\System\CCS\Services\Tcpip\..\{9D15C0ED-2DF6-4CF9-871E-360BC4275521}: NameServer = 10.11.11.1

если прописывали не сами, пофиксите.

В остальном логи чистые. Надеюсь, проблема исчезла?

**ЛИСyou** · 16.05.2007, 01:00

да с кодом 023 не получилось, чего то, отказывался.
код 017 - это моя локалка, а вот 01 -?
Спасибо большое, все вроде тьфу- тьфу, в норме.
Стал нормально работать.
И вам удачи, молодцы!!!

**CyberHelper** · 22.02.2009, 01:46

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 18
В ходе лечения обнаружены вредоносные программы:
1. c:\\winnt\\system32\\bhosearchspy.dll - not-a-virus:AdWare.Win32.BHO.cu (DrWEB: Trojan.Searcher)
2. c:\\winnt\\system32\\efedd.dll - not-a-virus:AdWare.Win32.Virtumonde.fp (DrWEB: Trojan.Virtumod)
3. c:\\winnt\\system32\\wvuvtqn.dll - not-a-virus:AdWare.Win32.Virtumonde.jp (DrWEB: Trojan.Virtumod)
4. c:\\winnt\\system32\\xplsass.exe - Backdoor.Win32.SdBot.yx (DrWEB: Win32.HLLW.MyBot)

замучал ErrorSafe и WinAntiVirusPro2007 (заявка № 9728)

Опции темы

замучал ErrorSafe и WinAntiVirusPro2007

Итог лечения

Похожие темы

Проблемы с WinAntiVirusPro2007

Errorsafe

ru.errorsafe.com

errorsafe

errorsafe.com

Ваши права в разделе