-
Junior Member
- Вес репутации
- 60
ПК живет своей жизнью
Все началось с появления в интернет експлорере картинок неприличного содержания! После проверки сьюитом, которая прервалась из-за перезагрузки, ПК начал сильно тормозить. Сканер от касперского вообще не устанавливается, вылетает из-за ошибки установки. АВЗ просканировало систему не с первой попытки, но после поиска руткитов, удалось выполнить 3й скрипт. Сложность заключается в том, что к машине имеется только удаленный доступ через радмин, поэтому проверялось все в обычном режиме, под администратором. Буду очень благодарен за помощь!
Последний раз редактировалось bo4karev; 27.01.2010 в 20:55.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Temp\26.tmp','');
QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
QuarantineFile('C:\WINDOWS\system32\twext.exe','');
QuarantineFile('C:\WINDOWS\system32\twex.exe','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\SYSTEM32\winhelp32.exe','');
QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\WINDOWS\system32\twex.exe');
DeleteFile('C:\WINDOWS\system32\twext.exe');
DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
DeleteFile('C:\WINDOWS\Temp\26.tmp');
BC_ImportDeletedList;
ExecuteSysClean;
DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
ExecuteRepair(13);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=40864).
Сделайте новые логи.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 60
3й скрипт удалось выполнить тока после 1го (проверка на руткиты). Логи высылаю.
Последний раз редактировалось bo4karev; 07.12.2009 в 16:44.
-
"Пофиксите" в HijackThis
Код:
O2 - BHO: myiebho - {7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD} - %SystemRoot%\system32\vmmreg32.dll (file missing)
O4 - HKLM\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
В AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
DeleteService('VIDEO');
DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
BC_ImportDeletedList;
BC_DeleteSvc('VIDEO');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Логи повторяем.
-
-
Junior Member
- Вес репутации
- 60
3й скрипт провести до конца не удалось, несколько раз пробовал выкидывает программу на сканировании дисков. Поэтому высылаю лог только после 2го скрипта.
Последний раз редактировалось bo4karev; 07.12.2009 в 16:44.
-
Скачайте AVZ у меня из подписи и сделайте им пункт 1 диагностики.
-
-
Junior Member
- Вес репутации
- 60
скачал, запускаю, но при выполнении тоже выкидывает!
-
В логах чисто, установите SP3+all updates...
-
-
Сообщение от
bo4karev
скачал, запускаю, но при выполнении тоже выкидывает!
Вероятная причина - ошибка файловой системы. Сделайте Chkdsk с включенным исправлением ошибок.
I am not young enough to know everything...
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 6
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\sdra64.exe - Trojan-Spy.Win32.Zbot.ooa( DrWEB: Trojan.PWS.Panda.114, BitDefender: Backdoor.Bot.87247 )
- c:\windows\system32\twex.exe - Trojan-Spy.Win32.Zbot.ojd( DrWEB: Trojan.PWS.Panda.106 )
- c:\windows\system32\twext.exe - Trojan-Banker.Win32.Banker.aezo( BitDefender: Trojan.Generic.1449841 )
- c:\windows\system32\video.sys - Trojan-PSW.Win32.Agent.mem( BitDefender: Trojan.Generic.1535977 )
- c:\windows\system32\vmmreg32.dll - Trojan-Dropper.Win32.BHO.ax( DrWEB: BackDoor.Zapinit.106, BitDefender: Trojan.Generic.1539470 )
- c:\windows\temp\26.tmp - Trojan-Spy.Win32.Zbot.kup( BitDefender: Backdoor.Bot.77321 )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
-