Завелся троян все время предлогает скачать что-то из интернета!
Выдает сообщение Trojan Adware.W32.ExpDwnldr!
Попробовал около 5 антивирусов ниодин не может устранить надежда только на ВАС.
Завелся троян все время предлогает скачать что-то из интернета!
Выдает сообщение Trojan Adware.W32.ExpDwnldr!
Попробовал около 5 антивирусов ниодин не может устранить надежда только на ВАС.
Последний раз редактировалось drongo; 17.05.2007 в 16:55.
не прикреплять к теме вирусы ! http://virusinfo.info/showthread.php?t=1235
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Правила читать кто будет?
Выполните скрипт в AVZПеред выполнением следующих пунктов (8, 10, 12) закройте свои антивирусные программы, игры, текстовые редакторы и любые другие программы, оставьте запущенным только программу-браузер!!!
После перезагрузки пришлите файлы карантина по правилам раздела "Помогите".Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\DOWNLO~1\asquared.ocx',''); QuarantineFile('C:\WINDOWS\system32\awmon.dll',''); QuarantineFile('C:\WINDOWS\bandserv.dll',''); QuarantineFile('C:\WINDOWS\msdn.dll',''); QuarantineFile('PCANotify.dll',''); QuarantineFile('C:\WINDOWS\tlhelp.dll',''); QuarantineFile('C:\WINDOWS\iereport.dll',''); RebootWindows(false); end.
Переслал файлы карантина.
Последний раз редактировалось Alex_Goodwin; 18.05.2007 в 03:19.
Выполните скрипт:
not-a-virus:AdWare.Win32.Agent.bnКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\msdn.dll',); DeleteFile('C:\WINDOWS\tlhelp.dll',); DeleteFile('C:\WINDOWS\iereport.dll',); RebootWindows(true); end.
Остальные файлы чистые. Давайте новые логи.
Последний раз редактировалось Alex_Goodwin; 18.05.2007 в 03:53.
Сделал новые логи, вроде все по правилам.
Rene-gad, вы волшебник вроде больше не выскакивает. Огромное спасибо!!!
Выскочит: В логах ещё полно всякой всячины+наличие отсутствия какого-либо антивируса .
Попробуйте удалить через Установки/Программы
Сообщите, если какую-то из этих программ Вы знаете/пользуете.Time Sync
Ipwindows
EPOX
URL-Album
Пофиксите:
Выполните скриптO3 - Toolbar: The bandserv - {A6790AA5-C6C7-4BCF-A46D-0FDAC4EA90EB} - C:\WINDOWS\bandserv.dll
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\retadpu2000352.exe 61A847B5BBF72810329B385577FB01F0B3E35B6638993F4661 AA4EBD86D67C56389B284534F310
O4 - HKLM\..\Run: [WindowsUpdate] rundll32.exe "C:\WINDOWS\system32\axffbqmg.dll",realset
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O21 - SSODL: tlhelp - {9306FE4F-12E1-4D59-9F2D-8A99829873FF} - C:\WINDOWS\tlhelp.dll (file missing)
O21 - SSODL: iereport - {C27DA900-E1AC-4D40-AA3A-DBCC03B7DEBA} - C:\WINDOWS\iereport.dll (file missing)
после ребута закачайте карантин по правилам и повторите логи.begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\retadpu2000352.exe','') ;
QuarantineFile('C:\WINDOWS\system32\axffbqmg.dll', '');
QuarantineFile('C:\WINDOWS\SYSTEM32\winxtx32.dll', '');
QuarantineFile('C:\WINDOWS\system32\vtutr.dll','') ;
QuarantineFile('C:\WINDOWS\system32\xxyabax.dll',' ');
QuarantineFile('C:\WINDOWS\iereport.dll','');
QuarantineFile('C:\WINDOWS\tlhelp.dll','');
QuarantineFile('C:\WINDOWS\system32\ptvalumc.dll', '');
QuarantineFile('C:\WINDOWS\msdn.dll','');
RebootWindows(true);
end.
ПС:
Обновите JavaREO4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_07\bin\jusched.exe
Пользуюсь URL-Album. Ipwindows может и используется.Остальные две мне не знакомы.
сделал.
retadpu2000352.exe - Trojan-Downloader.Win32.Agent.bls
axffbqmg.dll - not-a-virus:AdWare.Win32.Virtumonde.ar
winxtx32.dll - Trojan.Win32.Dialer.qn
xxyabax.dll - not-a-virus:AdWare.Win32.Virtumonde.jp
ptvalumc.dll - Trojan.Win32.BHO.g
vtutr.dll - что-то новенькое, подобное AdWare.Win32.Virtumonde
Сейчас скрипт нарисую
I am not young enough to know everything...
Вот:
Откуда взялся axffbqmg.dll - непонятно, в логах его нет.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\retadpu2000352.exe'); DeleteFile('C:\WINDOWS\system32\axffbqmg.dll'); DeleteFile('C:\WINDOWS\system32\vtutr.dll'); DeleteFile('C:\WINDOWS\SYSTEM32\winxtx32.dll'); DeleteFile('C:\WINDOWS\system32\xxyabax.dll'); DeleteFile('C:\WINDOWS\system32\ptvalumc.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Зато опять куча новых подозрительных. И похоже не отключено восстановление системы.
Давайте сделаем так:
1. Отключите восстановление системы.
2. Добросовестно выполните пункт 2 Правил.
3. Сделайте новые логи, все три.
I am not young enough to know everything...
Отключил восстановление, сделал новые логи. А что насчет второго пункта правил?
__________________________________________________ ________________
2. Перед проверкой желательно скачать утилиту от DrWeb - CureIT! и проверить систему в безопасном режиме. ~5 mb После этого следует просто перегрузиться ( обычный режим).
поскольку на Вашем ПК следов какого-либо антивируса не обнаружено, этот пункт хорошо было бы выполнить.
Выполните скрипт в AVZ:
После перезагрузки пофиксите в HijackThis:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\bandserv.dll'); DeleteFile('C:\WINDOWS\system32\xhdxvfpk.dll'); DeleteFile('C:\WINDOWS\system32\avpyxpmp.dll'); DeleteFile('C:\WINDOWS\loader.exe'); DeleteFile('C:\Program Files\Time Sync\time.exe'); DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\mute41.exe'); DeleteFile('C:\WINDOWS\system32\edbyrigy.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
и сделайте логи еще раз, надеюсь - последнийКод:O2 - BHO: (no name) - {55DB983C-BDBF-426f-86F0-187B02DDA39B} - C:\WINDOWS\system32\ptvalumc.dll (file missing) O2 - BHO: (no name) - {B12A4039-2205-42CE-9FDD-8F968C6ADEF0} - C:\WINDOWS\system32\vtutr.dll (file missing) O2 - BHO: MSVPS System - {BC305684-8946-4d65-AB1D-10AE276D87ED} - C:\WINDOWS\msdn.dll (file missing) O2 - BHO: (no name) - {C004A8DA-623A-4409-B6ED-F3E3DA367792} - C:\WINDOWS\system32\xxyabax.dll (file missing) O2 - BHO: MSVPS System - {D76F06D4-1659-482d-BCB2-3F731BFE0941} - C:\WINDOWS\msdn.dll (file missing) O4 - HKLM\..\Run: [Time Sync] C:\Program Files\Time Sync\time.exe O4 - HKLM\..\Run: [setup] rundll32.exe "C:\WINDOWS\system32\edbyrigy.dll",realset O20 - Winlogon Notify: vtutr - C:\WINDOWS\ O20 - Winlogon Notify: winxtx32 - winxtx32.dll (file missing) O20 - Winlogon Notify: xxyabax - xxyabax.dll (file missing)
P.S. Не пакуйте их в один архив, пусть будет 3 файла.
I am not young enough to know everything...
Все сделал. Только не нашел две строчки в hijackthis
O4 - HKLM\..\Run: [Time Sync] C:\Program Files\Time Sync\time.exe
O4 - HKLM\..\Run: [setup] rundll32.exe "C:\WINDOWS\system32\edbyrigy.dll",realset
Что-то я не пойму, вы логи AVZ делали до фиксов, что ли?
Все, что я просил фиксить, в них так и болтается.
А в HJT осталось только это, пропустили наверно:
Проверьте все, что нужно было фиксить и сделайте заново логи, начиная с п.10 правил.Код:O2 - BHO: (no name) - {55DB983C-BDBF-426f-86F0-187B02DDA39B} - C:\WINDOWS\system32\ptvalumc.dll (file missing) O2 - BHO: (no name) - {C004A8DA-623A-4409-B6ED-F3E3DA367792} - C:\WINDOWS\system32\xxyabax.dll (file missing)
I am not young enough to know everything...
новые логи.
Теперь другое дело! Все чисто.
Надеюсь, проблема больше не проявляется?
Вот эти службы лучше отключить, если не используете:
Код:O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe O23 - Service: Telnet (TlntSvr) - Корпорация Майкрософт - C:\WINDOWS\system32\tlntsvr.exe
I am not young enough to know everything...
Уважаемый(ая) Дмитрий, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.