Junior Member
Вес репутации
62
Вот такой цветочник у буха
Вообщем после просмотра одного сайта с гороскопом, как говорит бухгалтер, у нее вырубилась машина, после чего синий экран смерти, помогло прокатка винды сверху, но комп страшно глючит, даже заблокирован диспечер задач, после установки нод 32 нашел 3 вируса, avz не запускался до тех пор, пока не переименовал и т.д. Плиз, помогите....
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Профиксить в HijackThis:
Код:
O2 - BHO: Microsoft copyright - {734F63ED-89AD-4c1a-A499-1688D26D780A} - soinc.dll (file missing)
O20 - Winlogon Notify: botreg - C:\Documents and Settings\All Users\Документы\Settings\bot.dll
O20 - Winlogon Notify: Xmxrpth - C:\WINDOWS\SYSTEM32\Xmxrpth.dll
O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINDOWS\system32\svshost.dll
O23 - Service: MS Internet Countermeasures Framework (ICF) - Unknown owner - C:\WINDOWS\system32\svchost.exe:exe.exe (file missing)
Далее напишу скрипт.
в AVZ выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\SpamPal\spampalLSP.dll','');
QuarantineFile('Xmxrpth.dll','');
QuarantineFile('\SystemRoot\System32\drivers\protect.sys','');
QuarantineFile('\SystemRoot\SYSTEM32\spooldr.sys','');
QuarantineFile('C:\WINDOWS\system32\soinc.dll','');
QuarantineFile('C:\WINDOWS\system32\svshost.dll','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll','');
QuarantineFile('c:\windows\system32\wininet.exe','');
QuarantineFile('c:\windows\spooldr.exe','');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll');
DeleteFile('C:\WINDOWS\system32\soinc.dll');
DeleteFile('C:\WINDOWS\system32\svshost.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки загрузить карантин по ссылке вверху темы.
Сделать новые логи, прикрепить к теме.
Последний раз редактировалось PavelA; 10.09.2007 в 19:10 .
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
62
Добавочка.
Еще один скрипт (THK Bratez):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('Yux51.sys','');
QuarantineFile('\WINDOWS\system32\ntoskrnl.exe','');
DeleteFile('Yux51.sys');
BC_DeleteFile('Yux51.sys');
BC_DeleteSvc('Yux51');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Попавшее в карантин загрузить.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
62
Выполнено!
Вот выполнил все, что сказали.
Junior Member
Вес репутации
62
Сорри, не прикрепилось...
Вложения
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Xmxrpth.dll','');
DeleteFile('C:\WINDOWS\spooldr.exe');
DeleteFile('C:\WINDOWS\SYSTEM32\spooldr.sys');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки еще один:
Код:
begin
SearchRootkit(false, true);
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Yux51', 'Start');
RebootWindows(true);
end.
Снова будет перезагрузка.
После этого поищите с помощью AVZ (Сервис - Поиск файлов на диске) следующие файлы:
protect.sys
Yux51.sys
добавьте их в карантин, и весь карантин отправьте через эту форму:
http://virusinfo.info/upload_virus.php?tid=12320
P.S. Что за программа spampal ? Вы ее сами ставили?
I am not young enough to know everything...
Junior Member
Вес репутации
62
SpamPal-это программа, которая фильтрует почту и письма спам помечает меткой **SPAM**, очень удобная.
Остальное все сделал и выгрузил карантин!
Ответ из ЛК:
C:\WINDOWS\system32\Xmxrpth.dll- Trojan.Win32.Inject.er,
C:\WINDOWS\system32\drivers\Yux51.sys - Rootkit.Win32.Agent.ea
C:\WINDOWS\system32\drivers\protect.sys - чистый. Я, правда, в этом не уверен
Вот итог по protect.sys:
Код:
AVG 7.5.0.485 2007.09.10 PSW.Agent.NWI
BitDefender 7.2 2007.09.11 -
CAT-QuickHeal 9.00 2007.09.10 -
ClamAV 0.91.2 2007.09.11 Trojan.Agent-7550
DrWeb 4.33 2007.09.10 Trojan.NtRootKit.361
eSafe 7.0.15.0 2007.09.04 -
eTrust-Vet 31.1.5124 2007.09.10 -
Ewido 4.0 2007.09.10 -
FileAdvisor 1 2007.09.11 -
Fortinet 3.11.0.0 2007.09.11 -
F-Prot 4.3.2.48 2007.09.11 -
F-Secure 6.70.13030.0 2007.09.11 -
Ikarus T3.1.1.12 2007.09.11 -
Kaspersky 4.0.2.24 2007.09.11 -
McAfee 5116 2007.09.10 -
Microsoft 1.2803 2007.09.11 -
NOD32v2 2520 2007.09.11 Win32/SpamTool.Agent.NAJ
Norman 5.80.02 2007.09.10 -
Panda 9.0.0.4 2007.09.11 Rootkit/Agent.GJE
Последний раз редактировалось PavelA; 11.09.2007 в 12:09 .
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
62
Это,наверное, еще не все. Сделай новый комплект логов для контроля ситуации.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 5 В ходе лечения обнаружены вредоносные программы:
c:\\windows\\system32\\drivers\\protect.sys - Rootkit.Win32.Agent.jj (DrWEB: Trojan.NtRootKit.429) c:\\windows\\system32\\drivers\\yux51.sys - Rootkit.Win32.Agent.it (DrWEB: Trojan.NtRootKit.371) c:\\windows\\system32\\xmxrpth.dll - Trojan-PSW.Win32.LdPinch.dvz (DrWEB: Trojan.Inject.39