Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] винус rundll32.exe (http://forum.oszone.net/showthread.php?t=115697)

Jasmin 29-08-2008 19:19 886786
винус rundll32.exe
 
Вложений: 1
Здарвствуйте!
У меня похоже такая же проблема как здесь http://forum.oszone.net/post-806209.html
авелся вирус. не один из антивирусов его не обнаруживает, но в автозагрузке постоянно появлется ссылка на раные dll из папки system32. их удаление сразу же приводит к появлению новых

сейчас там qkhrdljb.dll

Скрипт скопировать не могу потому что у меня другие названия файлов, а я блондка.
Помогите кто может!

Severny 29-08-2008 20:07 886837
Сначала понадобится карантин.
В AVZ меню Файл - Выполнить скрипт. Скопируй код и нажми "Запустить".
Код:
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 QuarantineFile('C:\WINDOWS\system32\iifdeDWq.dll','');
 QuarantineFile('C:\WINDOWS\system32\wvUnKDvv.dll','');
 QuarantineFile('C:\WINDOWS\system32\wootikdh.dll','');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки еще один скрипт.
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Получившийся архив вышли в PM, или ссылку на него (выложить можно на zalil.ru).

Jasmin 29-08-2008 20:30 886860
Сделала.
Вирус пока там же.

Severny 29-08-2008 20:44 886866
Просканируй сначала этой утилитой.
После нужны еще раз логи (если утилита ничего не найдет, то логов не нужно, просто отпишись, что безрезультатно. Будет рецепт дополнительно).

Jasmin 29-08-2008 20:51 886870
Обнаружил два файла
C:\Windows\system32\divxdec_0407.dll
C:\Windows\system32\divxdec_0411.dll

Severny 29-08-2008 21:09 886893
В AVZ меню Файл-Выполнить скрипт. Скопируй код и нажми "Запустить".
Код:
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 DelBHO('{F296BE86-C4B7-4989-978A-9885B305909C}');
 DelBHO('{1F7039BB-CDAC-4753-B24F-6CA01987A726}');
 DelBHO('{681E9900-DC21-4AF2-9E85-3F34E751E552}');
 DelBHO('{6C517674-DE1C-4493-977C-34A1BFAB35BA}');
 DelBHO('{DBB75D3C-9D75-4214-8873-B8E4E057E38B}');
 DelBHO('{C3F6F4FE-85F6-4D0C-98DE-15324B09F149}');
 DeleteFile('C:\WINDOWS\system32\wootikdh.dll');
 DeleteFile('C:\WINDOWS\system32\wvUnKDvv.dll');
 DeleteFile('wvUnKDvv.dll');
 DeleteFile('C:\WINDOWS\system32\iifdeDWq.dll');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(12);
BC_Activate;
RebootWindows(true);
end.
Скачайте Malwarebytes' Anti-Malware , установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan",
после сканирования - Ok - Show Results - нажмите "Remove Selected", откройте лог и скопируйте в сообщение.
тут есть картинки по использованию Malwarebytes' Anti-Malware.
Логи нужно повторить.

Jasmin 29-08-2008 21:34 886905
Malwarebytes' Anti-Malware 1.25
Версия базы данных: 1095
Windows 5.1.2600 Service Pack 2

21:31:57 29.08.2008
mbam-log-08-29-2008 (21-29-44).txt

Тип проверки: Быстрая
Проверено объектов: 45666
Прошло времени: 2 minute(s), 42 second(s)

Заражено процессов в памяти: 0
Заражено модулей в памяти: 0
Заражено ключей реестра: 10
Заражено значений реестра: 1
Заражено параметров реестра: 0
Заражено папок: 0
Заражено файлов: 12

Заражено процессов в памяти:
(Вредоносные программы не обнаружены)

Заражено модулей в памяти:
(Вредоносные программы не обнаружены)

Заражено ключей реестра:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\IProxyProvider (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR (Trojan.Downloader) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ICF (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ICF (Rootkit.Agent) -> No action taken.

Заражено значений реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\bmc3704b6a (Trojan.Agent) -> No action taken.

Заражено параметров реестра:
(Вредоносные программы не обнаружены)

Заражено папок:
(Вредоносные программы не обнаружены)

Заражено файлов:
C:\WINDOWS\system32\kooxtgrl.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\lrgtxook.ini (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\viwxpext.exe (Trojan.Vundo) -> No action taken.
C:\Documents and Settings\Jassy\Local Settings\Temporary Internet Files\Content.IE5\4GJWECSO\kb456456[1] (Trojan.Vundo.H) -> No action taken.
C:\Documents and Settings\Jassy\Local Settings\Temporary Internet Files\Content.IE5\9ZVX6SFU\kb65666[1] (Trojan.Vundo) -> No action taken.
C:\Documents and Settings\Jassy\Рабочий стол\qip8070(2).exe (Adware.Sogou) -> No action taken.
C:\WINDOWS\system32\mcrh.tmp (Malware.Trace) -> No action taken.
C:\WINDOWS\cookies.ini (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\qkhrdljb.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\pskt.ini (Trojan.Vundo) -> No action taken.
C:\WINDOWS\BMc3704b6a.xml (Trojan.Vundo) -> No action taken.
C:\WINDOWS\BMc3704b6a.txt (Trojan.Vundo) -> No action taken.

Severny 29-08-2008 21:50 886924
Jasmin, Пролечи все, кроме qip. Логи заново нужно.

Jasmin 30-08-2008 17:54 887318
Вложений: 1
Вроде больше не появляется! :))

Severny 30-08-2008 18:08 887325
Ну вот после скрипта и HijackThis заработал как надо.
В HijackThis поставь галочки и нажми Fix checked перед значениями:
Код:
O2 - BHO: (no name) - {0666E9A6-1D28-4B72-8E19-6E963428A633} - C:\WINDOWS\system32\iifdeDWq.dll (file missing)
O2 - BHO: (no name) - {1F7039BB-CDAC-4753-B24F-6CA01987A726} - (no file)
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll (file missing)
O2 - BHO: (no name) - {681E9900-DC21-4AF2-9E85-3F34E751E552} - (no file)
O2 - BHO: (no name) - {6C517674-DE1C-4493-977C-34A1BFAB35BA} - (no file)
O2 - BHO: (no name) - {A53D8CAC-3A1A-482C-A574-5E898AF8B830} - (no file)
O2 - BHO: (no name) - {C3F6F4FE-85F6-4D0C-98DE-15324B09F149} - C:\WINDOWS\system32\wvUnKDvv.dll (file missing)
O2 - BHO: (no name) - {DBB75D3C-9D75-4214-8873-B8E4E057E38B} - (no file)
O2 - BHO: (no name) - {F296BE86-C4B7-4989-978A-9885B305909C} - (no file)
O20 - Winlogon Notify: wvUnKDvv - C:\WINDOWS\
O21 - SSODL: MSWM - {C757E3E4-0E4A-41E0-A4D1-DDB0BB2A4E87} - mswmsys.dll (file missing)
В AVZ меню Файл -- Мастер поиска и устраниения проблем. Запусти мастер и исправь проблемы :)
Сделай лог HijackThis еще раз.

Jasmin 30-08-2008 18:51 887346
Вложений: 1
Большое спасибо!

Severny 30-08-2008 19:27 887364
Пожалуйста, Жасмин. Захаживайте.

To All:
Еще один способ борьбы с этим типом malware.
Благодарим специалиста уважаемую Saule!


Время: 12:28.

Время: 12:28.
© OSzone.net 2001-