Dark_KRONOS Posted July 9, 2008 Report Share Posted July 9, 2008 Здравствуйте все! У меня такая проблема: все время множится Trojan.Vundo в папке system32. Мой антивирус Symantec Endpoint Protection Client 12 и Outpost Firewall Pro 4.5 его все время ловят, но он множится и множится. Причем из-за него у меня тормозит вход в интернет, загрузка компа проходит нормально. Второй - это какой-то санитар диска. Все время просит залезть на какой-то сайт(причем автоматом открывает Internet Explorer) и скачать его, т.к. она "типа" нашел какие-то там "плохие" данные и надо их удалить. Помогите удалить эти вирусы и трояны, очень прошу. Windows XP SP2 ZverCD 8.3.3, Outpost Firewall Pro 4.5, Symantec Endpoint Protection v.12 Client. Файлы трояна, которые находятся в папке system32 - ydiopjiv.dll; bkaenaig.dll; ucmwsmrd.dll; blmbvnxu.dll; ojvpmxpa.dll Link to comment Share on other sites More sharing options...
akoK Posted July 9, 2008 Report Share Posted July 9, 2008 Подготовьте логи. Link to comment Share on other sites More sharing options...
Dark_KRONOS Posted July 10, 2008 Author Report Share Posted July 10, 2008 Вот эти файлы. А троян у меня все размножается в папке Windows\system32. Что делать? Link to comment Share on other sites More sharing options...
akoK Posted July 10, 2008 Report Share Posted July 10, 2008 AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginClearQuarantine;SearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('D:\WINDOWS\system32\IKEYRFK8.DLL','');QuarantineFile('D:\WINDOWS\system32\nvtuicpl.cpl','');QuarantineFile('D:\WINDOWS\system32\wvUnOHxw.dll','');QuarantineFile('D:\WINDOWS\system32\ctfmon.exe','');QuarantineFile('D:\WINDOWS\system32\755A~1.SCR','');QuarantineFile('D:\WINDOWS\system32\drivers\WpsHelper.sys','');QuarantineFile('D:\WINDOWS\system32\USER32.dll','');QuarantineFile('D:\WINDOWS\system32\wcfffdqn.dll','');QuarantineFile('D:\WINDOWS\system32\bmnellwa.dll','');DeleteFile('D:\WINDOWS\system32\bmnellwa.dll');DeleteFile('D:\WINDOWS\system32\wcfffdqn.dll');DeleteFile('D:\WINDOWS\system32\wvUnOHxw.dll');DeleteFile('wvUnOHxw.dll');DelBHO('{F86B11F3-0CE1-475F-9541-5329BF7B3597}');BC_ImportALL;BC_Activate;ExecuteSysClean;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@) Пофиксить в HijackThis следующие строчки O20 - Winlogon Notify: wvUnOHxw - wvUnOHxw.dll (file missing) Повторите логи. P>S> Отключайте обязательно Оутпост и симантек....особенно Оутпост он блокирует работу AVZ/ Link to comment Share on other sites More sharing options...
Dark_KRONOS Posted July 10, 2008 Author Report Share Posted July 10, 2008 Дубль два. Как там с вирусом? Кстати, у меня стала выскакивать ошибка RUNDLL - Не найден указанный модуль D:\Windows\system32\qiq********.dll(навзание точно не помню. Link to comment Share on other sites More sharing options...
akoK Posted July 10, 2008 Report Share Posted July 10, 2008 AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('D:\WINDOWS\system32\Drivers\SysPlant.sys','');QuarantineFile('D:\WINDOWS\system32\qiqhtphm.dll','');DeleteFile('D:\WINDOWS\system32\qiqhtphm.dll');BC_ImportALL;ExecuteRepair(9);BC_Activate;ExecuteSysClean;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. Теперь должно полегчать....готовьте логи (думаю последний комплект будет) Больше, без аналализа карантина, сказать не могу. Link to comment Share on other sites More sharing options...
Dark_KRONOS Posted July 10, 2008 Author Report Share Posted July 10, 2008 Посмотрел, вроде все почистилось, НО! подключение к интернету также тормозит. Происходит это так: нажимаю подключить, подключение прошло и потом очень долго появляется значок интернета, а потом начисто(кроме курсора) зависает. Спасает только долгое нажатие Ctrl+Alt+Del и многократное нажатие на клаве моего проводника. Как от этого избавится - я не знаю. Временные файлы, мусор - весь почистил. Link to comment Share on other sites More sharing options...
akoK Posted July 10, 2008 Report Share Posted July 10, 2008 Карантин отправил в вирлаб...там есть в чем поковырятся. Но нашел Trojan.Vundo.EWZ - по версии www.virustotal.com VistaDriveIcon - вам это действительно нужно? Ничего не вижу..... Link to comment Share on other sites More sharing options...
akoK Posted July 11, 2008 Report Share Posted July 11, 2008 Вирлаб ответил mnellwa.dll, wcfffdqn.dll - Trojan.Win32.Monderc.gen Добавят в следующее обновление. Link to comment Share on other sites More sharing options...
Dark_KRONOS Posted July 11, 2008 Author Report Share Posted July 11, 2008 Поставил Dr.Web, просканировал - ничего не нашел. Значит вирус ушел в небытие. Но проблема осталась с инетом - при входе комп жутко тормозит, проходит 10-20 минут - все нормально. Что может быть? Link to comment Share on other sites More sharing options...
akoK Posted July 11, 2008 Report Share Posted July 11, 2008 Ради эксперемента...отключите оутпост...и попробуйте выйти....симантек не доудалялся.... Link to comment Share on other sites More sharing options...
akoK Posted July 11, 2008 Report Share Posted July 11, 2008 D:\WINDOWS\system32\DRIVERS\tcpip.sys проверьте на http://www.virustotal.com/ru/ скачайте Gmer. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда. Link to comment Share on other sites More sharing options...
Dark_KRONOS Posted July 11, 2008 Author Report Share Posted July 11, 2008 Насчет сайта - http://www.virustotal.com/ru/analisis/f2ca...a0a80a6be52431c Ничего не обнаружено Лог также сделал. Пробовал отключать - такая же проблема. Link to comment Share on other sites More sharing options...
akoK Posted July 11, 2008 Report Share Posted July 11, 2008 Вижу работающий: D:\Program Files\F-Secure\Common\FSM32.EXE[684] Надо удалить Еще мне не нравится System32\Drivers\a0vudzyc.SYS, но уж очень он похож на драйвер AVZ....давайте так AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginExecuteStdScr(6);RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. И повторите лог Gmer. Посмотрим если AVZ драйвер пропадет...если нет примем меры. Link to comment Share on other sites More sharing options...
Dark_KRONOS Posted July 11, 2008 Author Report Share Posted July 11, 2008 Тормозить вроде перестал, я сам почистил из автозапуска через RevoUninstaller неработающие и несуществующие программы - похоже одна из них и блокировала. Скрипт уже сделал. Link to comment Share on other sites More sharing options...
akoK Posted July 11, 2008 Report Share Posted July 11, 2008 Чисто. Link to comment Share on other sites More sharing options...
Dark_KRONOS Posted July 11, 2008 Author Report Share Posted July 11, 2008 Чисто. Спасибо большое за помощь! Link to comment Share on other sites More sharing options...
Dark_KRONOS Posted July 11, 2008 Author Report Share Posted July 11, 2008 Извинясь, что немного не в тему, но все таки. Поработал у меня несколько часов, потом я перезагружаюсь и опять начинается шняга - опять виснет комп при входе в интернет, причем вдобавок ко всему при игре в Warcraft III TFT после определенного времени вышибает в синий экран смерти. Вирусов не обнаружено, но есть подозрения на вирусные атаки с разных портов. Что за проблема может быть? Link to comment Share on other sites More sharing options...
akoK Posted July 11, 2008 Report Share Posted July 11, 2008 Что показывает Оутпост? Сеть локальная есть? Link to comment Share on other sites More sharing options...
Dark_KRONOS Posted July 11, 2008 Author Report Share Posted July 11, 2008 Вот именно, что оутпост во время игры на что-то ругается, потом перезагрузка, а когда смотрю журнал оутпоста, то тишь да гладь. Локальной сети у меня нету. Хотя нет - атаки происходят так - Short Fragments IP 80.***.**.** или 77.**.**.***. Либо идет "Попытка изменения IP адреса" IP 255.255.255.255. Link to comment Share on other sites More sharing options...
akoK Posted July 11, 2008 Report Share Posted July 11, 2008 Хмм...похоже на пакеты от провайдера...которые оутпост принимает за атаку. Link to comment Share on other sites More sharing options...
Dark_KRONOS Posted July 11, 2008 Author Report Share Posted July 11, 2008 Хмм...похоже на пакеты от провайдера...которые оутпост принимает за атаку. Просто похоже придется во время игры отключать оутпост. А вот насчет зависания подключения интернета? Я уже заколебался все время нажимать на Ctrl+Alt+Del и на кнопку вызова проводника. Link to comment Share on other sites More sharing options...
akoK Posted July 11, 2008 Report Share Posted July 11, 2008 А вы случайно не IE 8 юзаете....это бета еще. Link to comment Share on other sites More sharing options...
Dark_KRONOS Posted July 11, 2008 Author Report Share Posted July 11, 2008 А вы случайно не IE 8 юзаете....это бета еще. Хоть и стоит, но я пользуюсь Оперой 9.51. Надо удалить IE8? Link to comment Share on other sites More sharing options...
akoK Posted July 11, 2008 Report Share Posted July 11, 2008 Давайте такой лог подготовим. getsysteminfo Link to comment Share on other sites More sharing options...
Recommended Posts