-
Junior Member
- Вес репутации
- 60
Помогите излечить вирус
Юзверь обратился ко мне с вопросом что система виснет! Я прогнал нодом там оказалось несколько троянов, которые были удалены! Но передо мной он (юзер) успел еще кучу файлов поудалять! Короче остался один "C:\WINDOWS\ieupdr.exe - модифицированный Win32/TrojanDownloader.Tiny.NJ троян" и в системном трее не отовражаются значки локалки и USB (при подключении флешки)!
Подскажите как вылечить и что сделать для реанимирования системы?
Переустанавливать очень нежелательно! С помощью AVZ сделал исследование системы - результат в приложенном файле!
Последний раз редактировалось dimon8033; 20.08.2010 в 08:50.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1.В avz выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('%WinDir%\Temp\startdrv.exe','');
QuarantineFile('%Windir%\system32\drivers\runtime.sys','');
QuarantineFile('%Windir%\system32\drivers\runtime2.sys','');
QuarantineFile('%Windir%\system32\drivers\ip6fw.sys','');
DeleteFile('%Windir%\Temp\startdrv.exe');
DeleteFile('%Windir%\system32\drivers\runtime2.sys');
DeleteFile('%Windir%\system32\drivers\runtime.sys');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
QuarantineFile('C:\WINDOWS\system32\ramtmb.dll','');
QuarantineFile('C:\WINDOWS\system32\d4ghggf4g.dll','');
QuarantineFile('C:\WINDOWS\system32\jkd845jg.dll','');
QuarantineFile('sysfldr.dll','');
QuarantineFile('C:\temp\winlogan.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll','');
QuarantineFile('\??\C:\WINDOWS\system32\Drivers\TSKNF601.SYS','');
QuarantineFile('Tba14.sys','');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll');
DeleteFile('C:\temp\winlogan.exe');
DeleteFile('sysfldr.dll');
DeleteFile('C:\WINDOWS\system32\jkd845jg.dll');
DeleteFile('C:\WINDOWS\system32\d4ghggf4g.dll');
DeleteFile('C:\WINDOWS\system32\ramtmb.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
2.Выслать карантин согласно приложению 3 правил
-
-
Junior Member
- Вес репутации
- 60
Сообщение от
zerocorporated
1.В avz
выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('%WinDir%\Temp\startdrv.exe','');
QuarantineFile('%Windir%\system32\drivers\runtime.sys','');
QuarantineFile('%Windir%\system32\drivers\runtime2.sys','');
QuarantineFile('%Windir%\system32\drivers\ip6fw.sys','');
DeleteFile('%Windir%\Temp\startdrv.exe');
DeleteFile('%Windir%\system32\drivers\runtime2.sys');
DeleteFile('%Windir%\system32\drivers\runtime.sys');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
QuarantineFile('C:\WINDOWS\system32\ramtmb.dll','');
QuarantineFile('C:\WINDOWS\system32\d4ghggf4g.dll','');
QuarantineFile('C:\WINDOWS\system32\jkd845jg.dll','');
QuarantineFile('sysfldr.dll','');
QuarantineFile('C:\temp\winlogan.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll','');
QuarantineFile('\??\C:\WINDOWS\system32\Drivers\TSKNF601.SYS','');
QuarantineFile('Tba14.sys','');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll');
DeleteFile('C:\temp\winlogan.exe');
DeleteFile('sysfldr.dll');
DeleteFile('C:\WINDOWS\system32\jkd845jg.dll');
DeleteFile('C:\WINDOWS\system32\d4ghggf4g.dll');
DeleteFile('C:\WINDOWS\system32\ramtmb.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
2.Выслать карантин согласно приложению 3
правил
пока я бегал юзер успел воспользоваться адваре и часть поудалять!
Да, и к выше перечисленным проблемам еще и переключатель языков только с клавиатуры неработает!
-
После выполнения скрипта выполните полную проверку CureIt и повторите логи по правилам
-
-
Junior Member
- Вес репутации
- 60
Сообщение от
zerocorporated
После выполнения скрипта выполните полную проверку
CureIt и повторите логи
по правилам
какие логи: CureIt или AVZ?
-
Логи AVZ + лог hijackThis
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 60
Вот, наконец все сделал, шлю логи!
Да, CureIt нашел несколько файлов, я нажимал лечить, но он их удалил, поэтому шлю и его лог!
Последний раз редактировалось dimon8033; 20.08.2010 в 08:50.
-
пофиксите...
Код:
O20 - Winlogon Notify: sysfldr - C:\WINDOWS\
выполните скрипт ...
Код:
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\system32\ramtmb.dll','');
DeleteFile('C:\WINDOWS\system32\ramtmb.dll');
DelCLSID('C4DE5B15-4FFE-4c02-8CB3-CAD24A33562B');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
сделайте новые логи...
-
-
F2 - REG:system.ini: UserInit=userinit.exe, -- надо профикстить в hijackthis
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 60
Профиксил, применил скрипт, а система все равно если сетевой кабель подключен - виснет. Отключаю сетевой кабель, перезапускаю (жестко) - запускается, а затем только кабель подключаю! Короче, пока что ничего не получилось! Повторить все занового и опять вам логи прислать?
-
-
-
Junior Member
- Вес репутации
- 60
Последний раз редактировалось dimon8033; 20.08.2010 в 08:50.
-
-
-
Junior Member
- Вес репутации
- 60
Сообщение от
V_Bond
А я так и непонял, в каком режиме надо логи сделать?
-
В защищеннном (safe mode)
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 60
Последний раз редактировалось dimon8033; 20.08.2010 в 08:50.
-
выполните скрипт...
Код:
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('system32\DRIVERS\Arp1349.sys','');
QuarantineFile('Arp1349.sys','');
BC_QrSvc('Arp1349');
BC_Importall;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
-
-
Junior Member
- Вес репутации
- 60
-
Trojan-Proxy.Win32.Agent.nu C:\WINDOWS\system32\DRIVERS\Arp1349.sys
-
-
Junior Member
- Вес репутации
- 60