wowfx.dll

[Daddymoroz]

ребят не знаю как, но сегодня подхватил троян. Spyboat SandD определяет его как Win32.Qhost.abh

Nod32 определяет как Win32/BHO.NHF trojan. Каспер онлайн никак не определяет. тельце этой сволочи лежит в файле wowfx.dll . Нод постоянно его удаляет и ставит в карантин, но эта [censored]а каждую секунду восстанавливается, в ручную тоже не удалишь. Каспер онлайн ваще не видит. Пробежался по инету- там хрен что полезного нашел, кроме того, что "да это троян"

Вот что конкретней пишет Спайбот -

Win32.Qhost.abh: [sBI $3A790D0C] Settings (Registry value, nothing done)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SecurityProviders\SecurityProviders=...wowfx.dll...

Win32.Qhost.abh: [sBI $BC2EDA4D] Settings (Registry value, nothing done)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SecurityProviders\SecurityProviders=...wowfx.dll...

То есть получается что проги его удаляют а он восстанавливается, у меня уже за несколько тысяч звездочек у Нода с этим трояном. Может кто сталкивался? Уже мозг вскрыл пытаясь его убить :( :( :(

п.с. Кто поможет- тому пожизненно плюсы :rolleyes:

[Акабоши но Теньши]

ребят не знаю как, но сегодня подхватил троян. Spyboat SandD определяет его как Win32.Qhost.abh

Nod32 определяет как Win32/BHO.NHF trojan. Каспер онлайн никак не определяет. тельце этой сволочи лежит в файле wowfx.dll . Нод постоянно его удаляет и ставит в карантин, но эта [censored]а каждую секунду восстанавливается, в ручную тоже не удалишь. Каспер онлайн ваще не видит. Пробежался по инету- там хрен что полезного нашел, кроме того, что "да это троян"

Вот что конкретней пишет Спайбот -

Поставь на второй хард вторую винду. Загружаешся под ней и вычиащаешь в ручную эту гадость из первой. Через шифт-делит ясен пень. А вообще юзайте Доктор Веб и будет вам щастье

Изменено 13 сентября, 2008 пользователем Благодарное Человечество

[Daddymoroz]

Поставь на второй хард вторую винду. Загружаешся под ней и вычиащаешь в ручную эту гадость из первой. Через шифт-делит ясен пень. А вообще юзайте Доктор Веб и будет вам щастье

Да тут такое дело, второго харда нет, думал мне одного на 520 хватит <_< А второй купить щас не могу, так как все свободные средства распределены на покупку Айподнано и всяких причиндалов девушке на др :deever: Спасибо что про Веба напомнил- последняя надежда запустить cureIt и молиться Омниссии :( :( :(

[Амфицион]

А разбить этот на пару логических не пробовал?

[Jack the great mage]

Я конечно не хакер, но если файл постоянно восстанавливается(каждую секунду как ты говоришь), то в памяти висит какой-то процесс, который его и восстанавливает. Посмотри в диспечере задач список процессов и заверши все подозрительные, а потом удаляй файл.

[Trollevich]

Я в этом совсем не разбираюсь.Н охотел бы спросить если такую же длльку взять с другого компа и ею заменить уже существующую с трояном то что будет?

[Jack the great mage]

Я в этом совсем не разбираюсь.Н охотел бы спросить если такую же длльку взять с другого компа и ею заменить уже существующую с трояном то что будет?

Троян ее опять заразит.

[Trollevich]

Ясно, спасибо.

[Амфицион]

есть мнение что троян эту длл сам и создал.

А чем пользуетесь для изведения тварюшки-то?

только Авири иили что-то ручками? хоть тот же процесс рег эксплорер в наличаи есть?

[Gideon]

Загрузись в безопасном режиме. Вырежи этот файл и вставь в другую папку. Если не появится - создай поверх новый файл с таким же названием и расширением и аттрибутами +r, +s, +h - это будет почти несносимый с места файл. Если появится - убивай процессы в диспетчере. Ищи процессы запущенные от имени твоего пользователя. Потом через msconfig проверь автозагрузку на предмет подозрительных прог.

[Daddymoroz]

RecCleaner,SpyboatSearch and Destroy, Nod32, Kasperskiy Online Scanner, Web тоже не смог, в итоге чтобы запустить веб, мне пришлось остановить Нод и его нонстоп борьбу с трояном, в итоге комп сдох и выскочил синий экран смерти, сейчас я 42 минуты переношу на сьемный диск (нашел все-таки у соседей!!!) свои гигабайты с торентов и 4 гигабайта своих документов и т.д. В итоге всю ночь инсталить по новой винду =(((

гидеон в том то и дело что через мсконфиг давно уже убрал все прогои кроме моеого вай-вай адаптера и нода =(

13.09.2008 19:52:17 Real-time file system protection file C:\WINDOWS\system32\wowfx.dll Win32/BHO.NHF trojan cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\WINDOWS\system32\svchost.exe. Вот что пишет в журнале своем Нод

Изменено 13 сентября, 2008 пользователем Daddymoroz

[Амфицион]

быдь осторожен: оно могло прикрепиться к какому-то из файлов в архивах.

[Daddymoroz]

быдь осторожен: оно могло прикрепиться к какому-то из файлов в архивах.

O_o O_o O_o

[Акабоши но Теньши]

RecCleaner,SpyboatSearch and Destroy, Nod32, Kasperskiy Online Scanner, Web тоже не смог, в итоге чтобы запустить веб, мне пришлось остановить Нод и его нонстоп борьбу с трояном, в итоге комп сдох и выскочил синий экран смерти, сейчас я 42 минуты переношу на сьемный диск (нашел все-таки у соседей!!!) свои гигабайты с торентов и 4 гигабайта своих документов и т.д. В итоге всю ночь инсталить по новой винду =(((

гидеон в том то и дело что через мсконфиг давно уже убрал все прогои кроме моеого вай-вай адаптера и нода =(

13.09.2008 19:52:17 Real-time file system protection file C:\WINDOWS\system32\wowfx.dll Win32/BHO.NHF trojan cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\WINDOWS\system32\svchost.exe. Вот что пишет в журнале своем Нод

Мдя.. не хорошо с вебом получилось.....

А ты фаерволы не ставишь из принципа? Таже комода многое из подобных приколов перехватывает и позволяет застопить. Даже если они через svchost.exe работают.

И что упало в мертвую, так что не пускается даже в безопаске?

[Daddymoroz]

Мдя.. не хорошо с вебом получилось.....

А ты фаерволы не ставишь из принципа? Таже комода многое из подобных приколов перехватывает и позволяет застопить. Даже если они через svchost.exe работают.

И что упало в мертвую, так что не пускается даже в безопаске?

Стабильно без синих экранов работает только с включенным Есетом, так как он постаянно блочит и удаляет эту гадость каждую секунду. Насчет перехватывает- у меня Нод перехватывал и блочил страницы или всякую пакость. Я наверное понял откуда подхватил =( Иногда смотрю разные ролики с разных сайтов ( не порнуху если кто щас скажет > )

[Акабоши но Теньши]

Стабильно без синих экранов работает только с включенным Есетом, так как он постаянно блочит и удаляет эту гадость каждую секунду. Насчет перехватывает- у меня Нод перехватывал и блочил страницы или всякую пакость. Я наверное понял откуда подхватил =( Иногда смотрю разные ролики с разных сайтов ( не порнуху если кто щас скажет > )

Не.. фаервол блочит сам процесс.. это не как антивирус, это в дополнение как бы.. Тоесть ты видишь вражеский процесс... и говоришь - запретить ему гаду все! И процесс сидит себе и зделать ничего не может. Он конечно у тебя на компе сидит - но гадить не способен.. Я так на работе жил полгода, потому что вирусы лень было колбасить на одном из компов:)

Попробуй поставить комоду, должно помочь.. Она у мну одновременно офигачивала 4 вируса помнится

[Daddymoroz]

Хорошо попробую) Зы, я вот думаю мне быстрой очистки диска хватит или полную очистку запустить?

[Акабоши но Теньши]

Хорошо попробую) Зы, я вот думаю мне быстрой очистки диска хватит или полную очистку запустить?

Если уж ты колбасишь все заново - убей раздел акрониксом и создай заново ... что б ничерта не осталось

[Daddymoroz]

Черт, ребят, как спасти все письма из thunderbirda????

Вот нахрена почтовым клиентам удалять письма на сервере? Меня щас только эти письма держат =((

Изменено 13 сентября, 2008 пользователем Daddymoroz

[Акабоши но Теньши]

Черт, ребят, как спасти все письма из thunderbirda????

Вот нахрена почтовым клиентам удалять письма на сервере? Меня щас только эти письма держат =((

По аналогии с оутлуком ищи гдето в таких папках:

E:\Documents and Settings\Кор Кант\Application Data

E:\Documents and Settings\Кор Кант\Local Settings\Application Data

ну ясен пень что диск тот что у тебя системный и имя пользователя другое...

точней не скажу, но както там вытаскивал.

[Vilgeforcz]

качаешь http://www.freedrweb.com/cureit/, грузишь ось в безопасном режиме, запускаешь.

[Daddymoroz]

качаешь http://www.freedrweb.com/cureit/, грузишь ось в безопасном режиме, запускаешь.

Поздняк метаться если несколько раз синий экран когда Нод отрубаешь =) =)

Короче товарищи-форумчане! Доканчиваю последние дрова качать и сажусь переустанавливать винду, да, на ночь глядя, надеюсь к трем утра закончу =)

[Акабоши но Теньши]

Поздняк метаться если несколько раз синий экран когда Нод отрубаешь =) =)

Короче товарищи-форумчане! Доканчиваю последние дрова качать и сажусь переустанавливать винду, да, на ночь глядя, надеюсь к трем утра закончу =)

Удач!

Да ты раньше придешь.. винда с дравами и настройками инета час в максимуме.. а скорее всего быстрей.

[Daddymoroz]

Удач!

Да ты раньше придешь.. винда с дравами и настройками инета час в максимуме.. а скорее всего быстрей.

520 гигов фулл формат наверное начну, а не быструю очистку

[Акабоши но Теньши]

520 гигов фулл формат наверное начну, а не быструю очистку

Так я ж говорю акрониксом... 20 минут колбасит 500 гигов