![]() |
IRC Trojan
Раз или два на день Symnantec находит два файла типа: C:\user\{юзер}\appdata\local\temp\dwh3f50.tmp. Причем .tmp всегда разный. Ставил программы для удаления троянов, сканил систему другим антивиром (Авира) - ни чего не находит. Подскажите как с этим бороться?
ОС Vista Ultimate SP1 х64 Avz4 виснет и вылетает |
Master-ok, c помощью cureit и AVPTool проверялись? AVZ запускали с правами администратора (прав. кн. мыши - запустить от администратора)? Могли бы и логи DSS сделать по правилам. Деинсталлируйте Trojan Remover
Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results - нажмите "Remove Selected" Откройте лог и скопируйте в сообщение. Скачайте ComboFix здесь или здесь и сохраните на рабочий стол (не переименовывайте Combofix). 1. Внимание! Обязательно закройте все браузеры, закройте и отключите все антивирусное и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится скопируйте и скопируйте текст из C:\ComboFix.txt в сообщение, еcли лог окажется очень большой, прикрепите ComboFix.txt к сообщению. Попробуйте сделать логи AVZ, запустив его с правами администратора. |
А сюда на онлайн проверку заходили ?
|
Malwarebytes' Anti-Malware после быстрой проверки (полная после ни чего не дала):
Malwarebytes' Anti-Malware 1.28 Версия базы данных: 1141 Windows 6.0.6001 Service Pack 1 11.09.2008 18:38:52 mbam-log-2008-09-11 (18-38-36).txt Тип проверки: Быстрая Проверено объектов: 39700 Прошло времени: 2 minute(s), 23 second(s) Заражено процессов в памяти: 0 Заражено модулей в памяти: 0 Заражено ключей реестра: 5 Заражено значений реестра: 0 Заражено параметров реестра: 0 Заражено папок: 0 Заражено файлов: 1 Заражено процессов в памяти: (Вредоносные программы не обнаружены) Заражено модулей в памяти: (Вредоносные программы не обнаружены) Заражено ключей реестра: HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook (Trojan.BHO) -> No action taken. HKEY_CLASSES_ROOT\TypeLib\{4509d3cc-b642-4745-b030-645b79522c6d} (Trojan.BHO) -> No action taken. HKEY_CLASSES_ROOT\Interface\{4897bba6-48d9-468c-8efa-846275d7701b} (Trojan.BHO) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{ca3eb689-8f09-4026-aa10-b9534c691ce0} (Trojan.BHO) -> No action taken. HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook.1 (Trojan.BHO) -> No action taken. Заражено значений реестра: (Вредоносные программы не обнаружены) Заражено параметров реестра: (Вредоносные программы не обнаружены) Заражено папок: (Вредоносные программы не обнаружены) Заражено файлов: C:\Program Files (x86)\WebMoney Advisor\tbhelper.dll (Trojan.BHO) -> No action taken. ComboFix не поддерживает операционку AVZ4 (как я писал) запускается, но при выполнении 3-го скрипта зависает и вылетает cureit : mycentriainfobar.dll c:\program files (x86)\mycentria\infobar |
Один только лог HJT малоинформативен, нужны др. логи
Цитата:
Vista Cleaning Procedure - MajorGeeks Support Forums A guide and tutorial on using ComboFix Цитата:
Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked" Код:
O2 - BHO: MyCentria Internet Mate v1.9 - {FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} - C:\PROGRA~2\MYCENT~1\InfoBar\MYCENT~1.DLL или выполните в AVZ скрипт Код:
begin |
"Remove Selected" нажал сразу после сканирования
"Fix Checked" сделал, вот только не пойму: MyCentria Internet Mate v1.9 это ж вроде надстройка IE ... А AVZ не за работал ни при каких уловиях. Останавливается после (красным пишет протоколе) Функция user32.dll:DefWindowProcW(151) перехвачена, метод ProcAddressHijack.GetProcAddress->77... |
Цитата:
Попробуйте запустить combofix в безопасном режиме. Попробуйте сделать логи так AVZ - файл - исследование системы - пуск - сохранить протокол Если не получится, то в безопасном режиме AVZ - файл - исследование системы - переключить "Только активные службы и драйверы" на "Все службы и драйверы" - пуск - сохранить протокол Запакуйте лог и прикрепите. Логи DSS тоже не делаются? В таком случае скачайте RSIT и сохраните на рабочий стол, закройте все программы, включая антивирусные программы и firewall, запустите RSIT.exe, нажмите ОК, когда закончится процесс сканирования, в блокноте откроются два лог файла log.txt и info.txt, выделите (Ctrl+A) и скопируйте текст (Ctrl+C) из log.txt и info.txt и вставьте (Ctrl+V) скопированный текст из log.txt и info.txt в окно вашего сообщения, если логи окажутся большими, запакуйте файлы log.txt и info.txt и прикрепите к сообщению |
Combfix не работает
|
Master-ok, В AVZ - файл - выполнить скрипт – выделить и скопировать текст ниже в окно выполнения скрипта AVZ и нажать кнопку «Запустить». На время выполнения скрипта выключите антивирус
Код:
begin Код:
begin Повторите логи AVZ |
Вообщем скрипт не выполнился - программа вывалилась с ошибкой (см. выше). Удалил все в ручную. После перезагрузки выкинуло ошибку на запуск программы управления звуковым кодеком СМ6501 (панель в трее тоже не заработала).
Что интересно, при удалении VMix.dll винда говорила о том, что используется другим приложением. Но удалить попыталась, при этом выскочил Symayntec. Были обнаружены файлы как описывал в топе с IRC Trojan |
Цитата:
Вручную удалять чревато, в реестре останется мусор, соответственно при старте могут появиться ошибки (т.к. не чиститься реестр) |
Скрипт тут не причем - он не выполнился
Цитата:
|
Master-ok, по представленным логам, кроме файлов, которые карантились скриптом, не вижу к чему можно придраться. Другими антивирусами проверялись (AVPTool, cureit)?
Скачайте и запустите Online Solutions Autorun Manager (можно использовать версию, не требующую установки), дождитесь пока закончится сканирование и затем нажмите на третью кнопку в верхнем меню - (кнопка Export). Сохраните отчет в формате .html, заархвируйте лог и вложите в сообщение. Скачайте и запустите GetSystemInfo (GSI), укажите с помощью обзора папку для сохранения протокола, полученный файл протокола в архиве прикрепите к сообщению. |
AVPTool, cureit и Avira ни чего не дали. Я и сам удивлен, что ни чего кроме этих tmp-ых файлов не нашел(по этому и обратился к вам).
|
Master-ok, по логам ничего плохого не видно
|
Тогда что это? Сегодня опять антивир выдал, но уже 16 файлов :(
|
Цитата:
Можете провериться другими антивирусами - free antivirus software , рекомендую (не забудьте обновить антивирусные базы) Avira AntiVir, F-Secure Online Virus Scanner, SUPERAntiSpyware После проверки можете вернуться к SEP |
Время: 02:52. |
Время: 02:52.
© OSzone.net 2001-