Junior Member
Вес репутации
47
aadrive32, acleaner, dddwwj и др.
"стандартные", часто встречающиеся паразиты
сидят в RECYCLER, System Volume Information, реестре, WINDOWS, system32, C:\Documents and Settings\"User"
пробовал и Dr.Web CureIt!, и Dr.Web LiveUSB, и Kaspersky Virus Removal Tool - но они если что-то и находят, то только результаты деятельности паразитов (наприимер файлы вида ##.exe), а не их самих
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe','');
QuarantineFile('C:\Documents and Settings\Lowe\Application Data\Tmmgmz.exe','');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tmmgmz');
DeleteFile('C:\Documents and Settings\Lowe\Application Data\Tmmgmz.exe');
DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1343\jwjqa.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-8763\lsq.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1457\system.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1457\system.exe');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psyjo3.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psyjo3.exe');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-9043\jwkd.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-9043\jwkd.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1343\jwjqa.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-8763\lsq.exe');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )
- Сделайте лог MBAM
Junior Member
Вес репутации
47
"Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы"
не нашёл такой ссылки. как прислать карантин?
Вложения
Ссылка временно недоступна.
Файл quarantine.zip загрузите сюда . Спасибо
Junior Member
Вес репутации
47
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-9143\jikd.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-8333\lsvb.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-6883\dfe.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-2734\ju7bd.exe','');
TerminateProcessByName('c:\windows\aadrive32.exe');
DeleteFile('c:\windows\aadrive32.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-2734\ju7bd.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-6883\dfe.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-8333\lsvb.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-9143\jikd.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
DeleteFile('C:\WINDOWS\aadrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
DeleteFileMask('c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5', '*.*', true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- удалите в MBAM
Код:
Зараженные процессы в памяти:
c:\WINDOWS\aadrive32.exe (Backdoor.IRCBot) -> 348 -> No action taken.
Зараженные ключи в реестре:
HKEY_CURRENT_USER\Software\VB and VBA Program Settings\SrvID (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\Software\winxarj (Hoax.ArchSMS) -> No action taken.
Зараженные параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\12CFG214-K641-12SF-N85P (Worm.AutoRun.Gen) -> Value: 12CFG214-K641-12SF-N85P -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Fnfx (Worm.AutoRun.Gen) -> Value: Fnfx -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Fvbk (Worm.AutoRun.Gen) -> Value: Fvbk -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\jkqq (Worm.AutoRun.Gen) -> Value: jkqq -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ju7bd (Worm.AutoRun.Gen) -> Value: ju7bd -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Microsoft Driver Setup (Backdoor.IRCBot) -> Value: Microsoft Driver Setup -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Driver Setup (Backdoor.IRCBot) -> Value: Microsoft Driver Setup -> No action taken.
Зараженные папки:
c:\documents and settings\Lowe\application data\microsoft\Iso64 (Stolen.Data) -> No action taken.
Зараженные файлы:
c:\WINDOWS\aadrive32.exe (Backdoor.IRCBot) -> No action taken.
c:\WINDOWS\logfile32.txt (Malware.Trace) -> No action taken.
c:\documents and settings\Lowe\application data\data.dat (Stolen.Data) -> No action taken.
c:\documents and settings\Lowe\application data\microsoft\Iso64\l.txt (Stolen.Data) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\SFYX0PQN\bb6[1].jpg (Extension.Mismatch) -> No action taken.
e:\system volume information\_restore{19be03ce-1938-4711-998c-f4a34577cfa7}\RP2\A0002750.exe (Trojan.Downloader) -> No action taken.
e:\system volume information\_restore{19be03ce-1938-4711-998c-f4a34577cfa7}\RP2\A0002751.exe (Trojan.Downloader) -> No action taken.
e:\system volume information\_restore{19be03ce-1938-4711-998c-f4a34577cfa7}\RP2\A0002753.exe (Trojan.Downloader) -> No action taken.
e:\system volume information\_restore{19be03ce-1938-4711-998c-f4a34577cfa7}\RP2\A0002754.exe (Trojan.Downloader) -> No action taken.
g:\system volume information\_restore{19be03ce-1938-4711-998c-f4a34577cfa7}\RP2\A0002739.exe (RiskWare.Tool.CK) -> No action taken.
g:\system volume information\_restore{19be03ce-1938-4711-998c-f4a34577cfa7}\RP2\A0002740.exe (RiskWare.Tool.CK) -> No action taken.
- Сделайте повторный лог MBAM
- Сделайте повторный лог virusinfo_syscheck.zip ;
Последний раз редактировалось polword; 14.07.2011 в 07:04 .
Причина: Добавлено
Junior Member
Вес репутации
47
карантин загрузил сюда: http://virusinfo.info/upload_virus.php?tid=105549
"Файл сохранён как 110714_170428_quarantine_4e1f219c0c877.zip
Размер файла 3148"
всё выполнял при включённом интернете (так как не было указано обратное)
Вложения
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('ujury.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Сделайте повторный лог virusinfo_syscheck.zip ;
Junior Member
Вес репутации
47
ну вроде бы всё) огромное спасибо!)
Вложения
Последний раз редактировалось Veb; 18.07.2011 в 10:56 .
Причина: не добавил вложение
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 33 В ходе лечения обнаружены вредоносные программы:
c:\\documents and settings\\lowe\\application data\\tmmgmz.exe - Trojan-Dropper.Win32.Agent.fknx ( DrWEB: Trojan.Packed.21788, BitDefender: Trojan.Generic.KDV.281300, AVAST4: Win32:Trojan-gen ) c:\\recycler\\r-1-5-21-1482476501-1644491937-682003330-1013\\acleaner.exe - Backdoor.Win32.Floder.arw ( DrWEB: Trojan.Packed.21795, BitDefender: Trojan.Generic.6971001, AVAST4: Win32:AutoRun-CEQ [Trj] ) c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-1343\\jwjqa.exe - Worm.Win32.Ngrbot.br ( DrWEB: BackDoor.IRC.Bot.1162, BitDefender: Trojan.Generic.6211199, AVAST4: Win32:MalOb-EI [Cryp] ) c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-1413\\syitm.exe - Trojan.Win32.Scar.ehja ( DrWEB: Trojan.Packed.21795, BitDefender: Trojan.Generic.6558971, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Kolab-JO [Trj] ) c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-1457\\system.exe - Worm.Win32.Ngrbot.cq ( DrWEB: BackDoor.IRC.Bot.1162, BitDefender: Trojan.Generic.6211199, AVAST4: Win32:MalOb-EI [Cryp] ) c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-8763\\lsq.exe - Backdoor.Win32.Ruskill.ace ( DrWEB: BackDoor.IRC.Bot.1162, BitDefender: Trojan.Generic.6211199, AVAST4: Win32:MalOb-EI [Cryp] ) c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-9043\\jwkd.exe - Backdoor.Win32.Ruskill.acb ( DrWEB: BackDoor.IRC.Bot.1162, BitDefender: Trojan.Generic.6211199, AVAST4: Win32:MalOb-EI [Cryp] )