Dark_KRONOS Опубликовано 9 июля, 2008 Жалоба Поделиться Опубликовано 9 июля, 2008 Здравствуйте все! У меня такая проблема: все время множится Trojan.Vundo в папке system32. Мой антивирус Symantec Endpoint Protection Client 12 и Outpost Firewall Pro 4.5 его все время ловят, но он множится и множится. Причем из-за него у меня тормозит вход в интернет, загрузка компа проходит нормально. Второй - это какой-то санитар диска. Все время просит залезть на какой-то сайт(причем автоматом открывает Internet Explorer) и скачать его, т.к. она "типа" нашел какие-то там "плохие" данные и надо их удалить. Помогите удалить эти вирусы и трояны, очень прошу. Windows XP SP2 ZverCD 8.3.3, Outpost Firewall Pro 4.5, Symantec Endpoint Protection v.12 Client. Файлы трояна, которые находятся в папке system32 - ydiopjiv.dll; bkaenaig.dll; ucmwsmrd.dll; blmbvnxu.dll; ojvpmxpa.dll Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 9 июля, 2008 Жалоба Поделиться Опубликовано 9 июля, 2008 Подготовьте логи. Ссылка на комментарий Поделиться на другие сайты Поделиться
Dark_KRONOS Опубликовано 10 июля, 2008 Автор Жалоба Поделиться Опубликовано 10 июля, 2008 Вот эти файлы. А троян у меня все размножается в папке Windows\system32. Что делать? Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 10 июля, 2008 Жалоба Поделиться Опубликовано 10 июля, 2008 AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginClearQuarantine;SearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('D:\WINDOWS\system32\IKEYRFK8.DLL','');QuarantineFile('D:\WINDOWS\system32\nvtuicpl.cpl','');QuarantineFile('D:\WINDOWS\system32\wvUnOHxw.dll','');QuarantineFile('D:\WINDOWS\system32\ctfmon.exe','');QuarantineFile('D:\WINDOWS\system32\755A~1.SCR','');QuarantineFile('D:\WINDOWS\system32\drivers\WpsHelper.sys','');QuarantineFile('D:\WINDOWS\system32\USER32.dll','');QuarantineFile('D:\WINDOWS\system32\wcfffdqn.dll','');QuarantineFile('D:\WINDOWS\system32\bmnellwa.dll','');DeleteFile('D:\WINDOWS\system32\bmnellwa.dll');DeleteFile('D:\WINDOWS\system32\wcfffdqn.dll');DeleteFile('D:\WINDOWS\system32\wvUnOHxw.dll');DeleteFile('wvUnOHxw.dll');DelBHO('{F86B11F3-0CE1-475F-9541-5329BF7B3597}');BC_ImportALL;BC_Activate;ExecuteSysClean;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@) Пофиксить в HijackThis следующие строчки O20 - Winlogon Notify: wvUnOHxw - wvUnOHxw.dll (file missing) Повторите логи. P>S> Отключайте обязательно Оутпост и симантек....особенно Оутпост он блокирует работу AVZ/ Ссылка на комментарий Поделиться на другие сайты Поделиться
Dark_KRONOS Опубликовано 10 июля, 2008 Автор Жалоба Поделиться Опубликовано 10 июля, 2008 Дубль два. Как там с вирусом? Кстати, у меня стала выскакивать ошибка RUNDLL - Не найден указанный модуль D:\Windows\system32\qiq********.dll(навзание точно не помню. Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 10 июля, 2008 Жалоба Поделиться Опубликовано 10 июля, 2008 AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('D:\WINDOWS\system32\Drivers\SysPlant.sys','');QuarantineFile('D:\WINDOWS\system32\qiqhtphm.dll','');DeleteFile('D:\WINDOWS\system32\qiqhtphm.dll');BC_ImportALL;ExecuteRepair(9);BC_Activate;ExecuteSysClean;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. Теперь должно полегчать....готовьте логи (думаю последний комплект будет) Больше, без аналализа карантина, сказать не могу. Ссылка на комментарий Поделиться на другие сайты Поделиться
Dark_KRONOS Опубликовано 10 июля, 2008 Автор Жалоба Поделиться Опубликовано 10 июля, 2008 Посмотрел, вроде все почистилось, НО! подключение к интернету также тормозит. Происходит это так: нажимаю подключить, подключение прошло и потом очень долго появляется значок интернета, а потом начисто(кроме курсора) зависает. Спасает только долгое нажатие Ctrl+Alt+Del и многократное нажатие на клаве моего проводника. Как от этого избавится - я не знаю. Временные файлы, мусор - весь почистил. Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 10 июля, 2008 Жалоба Поделиться Опубликовано 10 июля, 2008 Карантин отправил в вирлаб...там есть в чем поковырятся. Но нашел Trojan.Vundo.EWZ - по версии www.virustotal.com VistaDriveIcon - вам это действительно нужно? Ничего не вижу..... Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 11 июля, 2008 Жалоба Поделиться Опубликовано 11 июля, 2008 Вирлаб ответил mnellwa.dll, wcfffdqn.dll - Trojan.Win32.Monderc.gen Добавят в следующее обновление. Ссылка на комментарий Поделиться на другие сайты Поделиться
Dark_KRONOS Опубликовано 11 июля, 2008 Автор Жалоба Поделиться Опубликовано 11 июля, 2008 Поставил Dr.Web, просканировал - ничего не нашел. Значит вирус ушел в небытие. Но проблема осталась с инетом - при входе комп жутко тормозит, проходит 10-20 минут - все нормально. Что может быть? Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 11 июля, 2008 Жалоба Поделиться Опубликовано 11 июля, 2008 Ради эксперемента...отключите оутпост...и попробуйте выйти....симантек не доудалялся.... Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 11 июля, 2008 Жалоба Поделиться Опубликовано 11 июля, 2008 D:\WINDOWS\system32\DRIVERS\tcpip.sys проверьте на http://www.virustotal.com/ru/ скачайте Gmer. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда. Ссылка на комментарий Поделиться на другие сайты Поделиться
Dark_KRONOS Опубликовано 11 июля, 2008 Автор Жалоба Поделиться Опубликовано 11 июля, 2008 Насчет сайта - http://www.virustotal.com/ru/analisis/f2ca...a0a80a6be52431c Ничего не обнаружено Лог также сделал. Пробовал отключать - такая же проблема. Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 11 июля, 2008 Жалоба Поделиться Опубликовано 11 июля, 2008 Вижу работающий: D:\Program Files\F-Secure\Common\FSM32.EXE[684] Надо удалить Еще мне не нравится System32\Drivers\a0vudzyc.SYS, но уж очень он похож на драйвер AVZ....давайте так AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginExecuteStdScr(6);RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. И повторите лог Gmer. Посмотрим если AVZ драйвер пропадет...если нет примем меры. Ссылка на комментарий Поделиться на другие сайты Поделиться
Dark_KRONOS Опубликовано 11 июля, 2008 Автор Жалоба Поделиться Опубликовано 11 июля, 2008 Тормозить вроде перестал, я сам почистил из автозапуска через RevoUninstaller неработающие и несуществующие программы - похоже одна из них и блокировала. Скрипт уже сделал. Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 11 июля, 2008 Жалоба Поделиться Опубликовано 11 июля, 2008 Чисто. Ссылка на комментарий Поделиться на другие сайты Поделиться
Dark_KRONOS Опубликовано 11 июля, 2008 Автор Жалоба Поделиться Опубликовано 11 июля, 2008 Чисто. Спасибо большое за помощь! Ссылка на комментарий Поделиться на другие сайты Поделиться
Dark_KRONOS Опубликовано 11 июля, 2008 Автор Жалоба Поделиться Опубликовано 11 июля, 2008 Извинясь, что немного не в тему, но все таки. Поработал у меня несколько часов, потом я перезагружаюсь и опять начинается шняга - опять виснет комп при входе в интернет, причем вдобавок ко всему при игре в Warcraft III TFT после определенного времени вышибает в синий экран смерти. Вирусов не обнаружено, но есть подозрения на вирусные атаки с разных портов. Что за проблема может быть? Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 11 июля, 2008 Жалоба Поделиться Опубликовано 11 июля, 2008 Что показывает Оутпост? Сеть локальная есть? Ссылка на комментарий Поделиться на другие сайты Поделиться
Dark_KRONOS Опубликовано 11 июля, 2008 Автор Жалоба Поделиться Опубликовано 11 июля, 2008 Вот именно, что оутпост во время игры на что-то ругается, потом перезагрузка, а когда смотрю журнал оутпоста, то тишь да гладь. Локальной сети у меня нету. Хотя нет - атаки происходят так - Short Fragments IP 80.***.**.** или 77.**.**.***. Либо идет "Попытка изменения IP адреса" IP 255.255.255.255. Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 11 июля, 2008 Жалоба Поделиться Опубликовано 11 июля, 2008 Хмм...похоже на пакеты от провайдера...которые оутпост принимает за атаку. Ссылка на комментарий Поделиться на другие сайты Поделиться
Dark_KRONOS Опубликовано 11 июля, 2008 Автор Жалоба Поделиться Опубликовано 11 июля, 2008 Хмм...похоже на пакеты от провайдера...которые оутпост принимает за атаку. Просто похоже придется во время игры отключать оутпост. А вот насчет зависания подключения интернета? Я уже заколебался все время нажимать на Ctrl+Alt+Del и на кнопку вызова проводника. Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 11 июля, 2008 Жалоба Поделиться Опубликовано 11 июля, 2008 А вы случайно не IE 8 юзаете....это бета еще. Ссылка на комментарий Поделиться на другие сайты Поделиться
Dark_KRONOS Опубликовано 11 июля, 2008 Автор Жалоба Поделиться Опубликовано 11 июля, 2008 А вы случайно не IE 8 юзаете....это бета еще. Хоть и стоит, но я пользуюсь Оперой 9.51. Надо удалить IE8? Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 11 июля, 2008 Жалоба Поделиться Опубликовано 11 июля, 2008 Давайте такой лог подготовим. getsysteminfo Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения