-
Junior Member
- Вес репутации
- 58
Китайские хакеры!
Здравствуйте!
Такая проблема, при подключение к интернету постоянно открываются китайские сайты:
http://www.caiyi8.com
http://qianming.eastad8.cn
http://kk.51kaokaoni.cn
http://love.kk.shadingding.com
http://person.9189.com
Антивирирус(Avast) постоянно сигналит о найденных вирусах в памяти, но дозагрузочное сканирование не излечивает компьютер. Компьютер часто начинает зависать, не открываются нормальные сайты и т.д.
Вот такая проблема.
Последний раз редактировалось Rene-gad; 02.08.2009 в 17:44.
Причина: деактивировал ссылки
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Отключите восстановление системы!
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('vrgv');
StopService('rfrr');
StopService('rf');
StopService('ffffffffffdv');
StopService('fffff');
StopService('fdos');
StopService('fdcd');
StopService('csgv');
StopService('clos');
StopService('clfdsfos');
StopService('Ativxx');
QuarantineFile('C:\WINDOWS\Fonts\59F2229D.DLL','');
QuarantineFile('C:\WINDOWS\Fonts\5298FBB1.EXE','');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\restore.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Hnr61.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\ctl_w32.sys','');
QuarantineFile('C:\WINDOWS\system32\aspx.exe','');
QuarantineFile('C:\WINDOWS\system32\W7VXBPSK59\J002.exe','');
QuarantineFile('C:\WINDOWS\system32\VOCO8PV80X\J001.exe','');
QuarantineFile('C:\WINDOWS\system32\S4BBXOH7O0\J002.exe','');
QuarantineFile('c:\windows\system32\rumttoc.dll','');
QuarantineFile('C:\WINDOWS\system32\NDW52S1L4K\J002.exe','');
QuarantineFile('C:\WINDOWS\system32\i\K001.exe','');
QuarantineFile('C:\WINDOWS\system32\i\J002.exe','');
QuarantineFile('C:\WINDOWS\system32\i\J001.exe','');
QuarantineFile('c:\windows\system32\cmptes.dll','');
QuarantineFile('C:\WINDOWS\clile.exe','');
QuarantineFile('C:\WINDOWS\clfile.exe','');
QuarantineFile('C:\WINDOWS\clfdfle.exe','');
QuarantineFile('C:\WINDOWS\Atvxx.exe','');
DeleteFile('C:\WINDOWS\Atvxx.exe');
DeleteFile('C:\WINDOWS\clfdfle.exe');
DeleteFile('C:\WINDOWS\clfile.exe');
DeleteFile('C:\WINDOWS\clile.exe');
DeleteFile('c:\windows\system32\cmptes.dll');
DeleteFile('C:\WINDOWS\system32\i\J001.exe');
DeleteFile('C:\WINDOWS\system32\i\J002.exe');
DeleteFile('C:\WINDOWS\system32\i\K001.exe');
DeleteFile('C:\WINDOWS\system32\NDW52S1L4K\J002.exe');
DeleteFile('C:\WINDOWS\system32\S4BBXOH7O0\J002.exe');
DeleteFile('C:\WINDOWS\system32\VOCO8PV80X\J001.exe');
DeleteFile('C:\WINDOWS\system32\W7VXBPSK59\J002.exe');
DeleteFile('C:\WINDOWS\system32\aspx.exe');
DeleteFile('C:\WINDOWS\system32\drivers\ctl_w32.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Hnr61.sys');
DeleteFile('C:\WINDOWS\system32\drivers\restore.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\Fonts\5298FBB1.EXE');
DeleteFile('C:\WINDOWS\Fonts\59F2229D.DLL');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('ASPX');
BC_DeleteSvc('vrgv');
BC_DeleteSvc('rfrr');
BC_DeleteSvc('rf');
BC_DeleteSvc('ffffffffffdv');
BC_DeleteSvc('fffff');
BC_DeleteSvc('fdos');
BC_DeleteSvc('fdcd');
BC_DeleteSvc('csgv');
BC_DeleteSvc('clos');
BC_DeleteSvc('clfdsfos');
BC_DeleteSvc('Ativxx');
BC_DeleteSvc('ctl_w32');
BC_DeleteSvc('Hnr61');
BC_DeleteSvc('restore');
BC_DeleteSvc('tcpsr');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=51170).
Сделайте новые логи.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 58
Добрый день!
Спасибо! Сайты(хакерские) перестали открываться и компьютер больше не виснет.
Восстановление системы пытался отключить еще в первый раз, но в свойствах не было такой вкладки, смотрел в реестре и тоже не нашел нужной строки, поэтому решил что Восстановление и так отстутствует. Сейчас же, через стороннюю утилиту я его всё-таки отключил.
Карантин отправил, здесь выкладываю новые логи:
-
Однако, судя по логам, восстановление по-прежнему включено...
Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\WinHelp32.exe','');
QuarantineFile('C:\WINDOWS\Fonts\5298FBB1.EXE','');
QuarantineFile('C:\WINDOWS\vfhyjh.exe','');
QuarantineFile('C:\WINDOWS\system32\tgsno.exe','');
DeleteFile('C:\WINDOWS\system32\tgsno.exe');
DeleteFile('C:\WINDOWS\vfhyjh.exe');
DeleteFile('C:\WINDOWS\Fonts\5298FBB1.EXE');
DeleteFile('C:\WINDOWS\system32\WinHelp32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('WinHelp32');
BC_DeleteSvc('F44253F9');
BC_DeleteSvc('tgsno');
BC_DeleteSvc('gjunj');
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил.
Проверьте, не появилась ли вкладка Восстановление в свойствах Системы.
Если появилась - отключите его.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 58
Добрый вечер!
Вкладка "Восстановления" в свойствах к сожалению так и не появилась, но я еще раз попробовал отключить ее с помощью соответствующей утилиты Auslogics Service Manager. Может просто удалить архивы с контрольными точками восстановления системы?
-
Папку C:\System Volume Information удалите вручную
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\rqmttqc.dll','');
DeleteFile('c:\windows\system32\rqmttqc.dll');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(11);
ExecuteRepair(16);
ExecuteRepair(17);
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
-
-
Junior Member
- Вес репутации
- 58
Здравствуйте!
Папку Систем Ресторе удалил. Новые логи прикрепляю.
Еще хочу сказать, что свой антивирус я отключаю след. образом, захожу в программу и деактивирую все провайдеры(т.к. выхода из приложения там нет). А отключить полностью в трее не могу, не знаю какими модулями подписан Аваст, т.е. нет там имен типа avast.exe.
Карантин залил по соответствующей ссылке.
-
Сообщение от
Alex9999
А отключить полностью в трее не могу.
Ok
- В логах ничего подозрительного.
- Установите Сервис Пак 3 - возможно потребуется активация, и все последующие важные патчи.
Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите IE 8
- Обновите JavaRE
- Обновите Acrobat Reader
-
-
Junior Member
- Вес репутации
- 58
Хорошо, большое спасибо Вам за помощь и советы!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 11
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\fonts\5298fbb1.exe - Trojan.Win32.Agent.cvgh ( DrWEB: Trojan.Popwin.1161, BitDefender: Win32.Worm.Winko.I )
- c:\windows\fonts\59f2229d.dll - Trojan-Downloader.Win32.Agent.clad ( DrWEB: Trojan.Popwin.1161, BitDefender: Win32.Worm.Winko.I )
- c:\windows\system32\rqmttqc.dll - Backdoor.Win32.PcClient.beii ( DrWEB: BackDoor.Siggen.138, BitDefender: Gen:Trojan.Heur.eC8@u4NrUWlb )
- c:\windows\system32\tgsno.exe - Trojan-Downloader.Win32.Apher.gmf ( DrWEB: Trojan.DownLoad.41529, BitDefender: Trojan.Downloader.Agent.AAQE )
- c:\windows\system32\winhelp32.exe - Trojan-Dropper.Win32.Agent.ayqh ( DrWEB: BackDoor.Darkshell.96 )
- c:\windows\vfhyjh.exe - Trojan-Downloader.Win32.Agent.claa ( DrWEB: Trojan.DownLoad.42397 )
-