Ребята посмотрите плиз логи. После подключени к инету и загрузки через оперу сайта "вконтакте" начинаются проблемы, появляется файл
tcpwamllib.exe а так же он запускается. Меняются ДНС адреса на:
8.8.8.8
8.8.4.4
Проверялся в безопастном режиме вебом, но он ничего не находит. Переодически в папке C:\Windows\system32 появляются папки типа "i740" (буква i и трехзначное число) туда закачиваются файлы D001.exe но с ними удачно борется НОД.
Жду помощи. Заранее спасибо.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
procedure FixUpdate;
var j:integer; NumStr:string;
begin
for j:=0 to 999 do
begin
if j=0 then
NumStr:='CurrentControlSet' else
if j<10 then
NumStr:='ControlSet00'+IntToStr(j) else
if j<100 then
NumStr:='ControlSet0'+IntToStr(j) else
NumStr:='ControlSet'+IntToStr(j);
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.');
end;
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.');
end;
end;
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
TerminateProcessByName('c:\windows\system32\tcpwamllib.exe');
SetServiceStart('WamlSvc', 4);
StopService('WamlSvc');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\Acowik\egse.exe','');
QuarantineFile('c:\windows\system32\tcpwamllib.exe','');
DeleteFile('c:\windows\system32\tcpwamllib.exe');
DeleteFile('C:\Documents and Settings\Admin\Application Data\Acowik\egse.exe');
FixUpdate;
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run-','{8FCA1CFC-9128-42C6-E073-8379D1ED074C}');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
DeleteService('WamlSvc');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('WamlSvc');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится
После перезагрузки:
- Выполните в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
- Обновите базы АВЗ (АВЗ -> меню "Файл" -> "Обновление баз" -> "Пуск") и Повторите логи.
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('c:\documents and settings\localservice\local settings\temporary internet files\Content.IE5\8PMKKX64\A22[1].exe','');
QuarantineFile('c:\documents and settings\localservice\local settings\temporary internet files\Content.IE5\FCMQPPZB\A22[1].exe','');
QuarantineFile('c:\documents and settings\localservice\local settings\temporary internet files\Content.IE5\NOAXFUGS\A22[2].exe','');
QuarantineFile('c:\documents and settings\localservice\local settings\temporary internet files\Content.IE5\NOAXFUGS\A22[3].exe','');
QuarantineFile('c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\8PMKKX64\nb_server[1].exe','');
QuarantineFile('C:\WINDOWS\system32\tAScxIPZ.exe','');
QuarantineFile('C:\Program Files\dyvboa.exe','');
QuarantineFile('C:\Program Files\qyiosa.exe','');
DeleteFile('c:\documents and settings\localservice\local settings\temporary internet files\Content.IE5\8PMKKX64\A22[1].exe');
DeleteFile('c:\documents and settings\localservice\local settings\temporary internet files\Content.IE5\FCMQPPZB\A22[1].exe');
DeleteFile('c:\documents and settings\localservice\local settings\temporary internet files\Content.IE5\NOAXFUGS\A22[2].exe');
DeleteFile('c:\documents and settings\localservice\local settings\temporary internet files\Content.IE5\NOAXFUGS\A22[3].exe');
DeleteFile('c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\8PMKKX64\nb_server[1].exe');
DeleteFile('C:\Program Files\qyiosa.exe');
DeleteFile('C:\Program Files\dyvboa.exe');
DeleteFile('C:\WINDOWS\system32\tAScxIPZ.exe');
RegKeyParamDel('HKEY_CURRENT_USER','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceClassicControlPanel','ForceClassicControlPanel');
RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\netsvcs_0x0');
DeleteService('PnbPBHur');
DeleteService('MSUpdqtesqi');
DeleteService('MSUpdqtecko');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('MSUpdqtecko');
BC_DeleteSvc('MSUpdqtesqi');
BC_DeleteSvc('PnbPBHur');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится
После перезагрузки:
- Выполните в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
Повторённые логи АВЗ,hijackthis в предыдущем сообщении. MBAM добавлю.
По обновлениям виндовс есть небольшие трудности связанные с отключением и выкочёвыванием службы обновления. Если Вам известно какое именно нужно установить обновление, сообщите пожалуйста. Я же могу написать список установленных.
Повторно выполнил http://safezone.cc/forum/showthread.php?t=9188 этот скрипт
Почистил папку c:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\
Было куча закаченных exe файлов, возможно они будут в логах
Почистил папку c:\WINDOWS\system32\ удалил новые exe файлу появившиеся за прошедший период.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: