Здравствуйте,
в С:\WINDOWS\System32\Темр
расплодились файлы BN??.ТМР.
COMODO сообщает, что они лезут в Интернет.
Помогите, пожалуйста.
Здравствуйте,
в С:\WINDOWS\System32\Темр
расплодились файлы BN??.ТМР.
COMODO сообщает, что они лезут в Интернет.
Помогите, пожалуйста.
1. Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin BC_DeleteSvc('ZZZdrv_lich'); BC_DeleteSvc('Ykx16'); BC_DeleteSvc('Ygg45'); BC_DeleteSvc('Xwm52'); BC_DeleteSvc('Wts87'); BC_DeleteSvc('Wqo25'); BC_DeleteSvc('Wej67'); BC_DeleteSvc('Vym61'); BC_DeleteSvc('Vef05'); BC_DeleteSvc('Uul37'); BC_DeleteSvc('Utq41'); BC_DeleteSvc('Uly02'); BC_DeleteSvc('Uaf32'); BC_DeleteSvc('Txc85'); BC_DeleteSvc('Ttk23'); BC_DeleteSvc('Tqx65'); BC_DeleteSvc('Swe40'); BC_DeleteSvc('Snx48'); BC_DeleteSvc('Sca32'); BC_DeleteSvc('Rws88'); BC_DeleteSvc('Rsi55'); BC_DeleteSvc('Rab05'); BC_DeleteSvc('Qsf43'); BC_DeleteSvc('Qmg20'); BC_DeleteSvc('Pni24'); BC_DeleteSvc('Pmm43'); BC_DeleteSvc('Pks33'); BC_DeleteSvc('Pdx16'); BC_DeleteSvc('Pcr26'); BC_DeleteSvc('Otp30'); BC_DeleteSvc('Oja88'); BC_DeleteSvc('Nkr50'); BC_DeleteSvc('Mnw85'); BC_DeleteSvc('Mky83'); BC_DeleteSvc('Mkx78'); BC_DeleteSvc('Mjk31'); BC_DeleteSvc('Lpq12'); BC_DeleteSvc('Kue27'); BC_DeleteSvc('Jwv03'); BC_DeleteSvc('Jvd06'); BC_DeleteSvc('Jjd35'); BC_DeleteSvc('Jdv08'); BC_DeleteSvc('Jdr00'); BC_DeleteSvc('Its21'); BC_DeleteSvc('Ira43'); BC_DeleteSvc('Imt47'); BC_DeleteSvc('Hoo51'); BC_DeleteSvc('Hfv60'); BC_DeleteSvc('Hdl73'); BC_DeleteSvc('Haq20'); BC_DeleteSvc('Haj26'); BC_DeleteSvc('Gqw14'); BC_DeleteSvc('Gkp50'); BC_DeleteSvc('Gfv74'); BC_DeleteSvc('Fxo34'); BC_DeleteSvc('Fte21'); BC_DeleteSvc('Fry33'); BC_DeleteSvc('Ffq88'); BC_DeleteSvc('Eks71'); BC_DeleteSvc('Ekc78'); BC_DeleteSvc('Edo36'); BC_DeleteSvc('Ean25'); BC_DeleteSvc('Csh66'); BC_DeleteSvc('Cly17'); BC_DeleteSvc('Che78'); BC_DeleteSvc('Bjj44'); BC_DeleteSvc('Bfk83'); BC_DeleteSvc('Bfe85'); BC_DeleteSvc('Awn20'); BC_DeleteSvc('Awe35'); BC_DeleteSvc('Avk77'); BC_DeleteSvc('Asy12'); BC_DeleteSvc('Agg48'); BC_DeleteSvc('Aap16'); BC_Activate; RebootWindows(true); end.
2. Выполните второй скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); StopService('Eta46'); SetServiceStart('Eta46', 4); QuarantineFile('c:\1D02.tmp',''); QuarantineFile('C:\WINDOWS\System32\drivers\Eta46.sys',''); QuarantineFile('C:\WINDOWS\TEMP\BN14.tmp',''); QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll',''); QuarantineFile('C:\WINDOWS\system32\msnethlp.dll',''); QuarantineFile('c:\windows\system32\appmgmtss.dll',''); DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll'); DeleteFile('C:\WINDOWS\TEMP\BN14.tmp'); DeleteFile('C:\WINDOWS\System32\drivers\Eta46.sys'); DeleteFile('c:\1D02.tmp'); BC_ImportALL; BC_DeleteSvc('Eta46'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
3. Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=19853).
4. Обновите базы AVZ и сделайте новые логи.
I am not young enough to know everything...
Спасибо за отклик.
Оба скрипта успешно выполнила.
Карантин отправила.
Логи прилагаю.
Очень жду инструкций.
Все получилось отлично, осталось подчистить кое-что по мелочи.
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:O20 - Winlogon Notify: WLCtrl32 - WLCtrl32.dll (file missing)
Компьютер перезагрузится.Код:begin BC_DeleteSvc('Yax01'); BC_DeleteSvc('Hxs78'); BC_DeleteSvc('Dcb54'); BC_Activate; RebootWindows(true); end.
Добавлено через 11 минут
Откройте Проводник или Мой компьютер, выберите в меню Сервис - Свойства папки, на вкладке Вид снимите галку Скрывать расширения для зарегистрированных.
Откройте Блокнот, скопируйте и вставьте туда следующий текст:
Сохраните файл и измените ему расширение на .reg, затем запустите его двойным щелчком. На вопрос о добавлении в реестр ответить положительно. Галку верните обратно.Код:Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess] "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
После этого сделайте новые логи, начиная с п.10 правил.
Добавлено через 48 минут
Очистите полностью папку C:\WINDOWS\TEMP - есть предположение, что там еще могут быть вредоносные bn??.tmp, да и вообще полезно почистить "мусоросборник".
Попробуйте также поискать через AVZ - Сервис - Поиск файлов на диске, задав маску поиска bn??.tmp и область - диск С:. Если что-то найдется - удаляйте.
(Karlson - спасибо за подсказку).
Последний раз редактировалось Bratez; 15.03.2008 в 14:21. Причина: Добавлено
I am not young enough to know everything...
Спасибо.
Здорово, когда есть кто-то, кто поможет справиться с бедой.
А вдвойне приятно, когда этот кто-то знает как с ней, зловредной, справиться!
Докладываю:
1. Пофиксила.
2. Скрипт выполнила.
3. Галку сняла.
4. Добавила текст в реестр.
(Ой, галку обратно не вернула...
Сейчас отвечу - и верну. Надеюсь, что это не страшно)
5. Логи прикрепляю.
6. И только хотела спросить, что делать с кучей этих BN...TMPов, которые остались в TEMP, а Вы уже добавили разъяснение.
Еще раз спасибо. И Карлсону я тоже очень благодарна.
УРА!
7. Поискала BN*.TMP через AVZ - нет! Ура еще раз!
(Галку вернула)
Последний раз редактировалось Мiшелька; 15.03.2008 в 15:43. Причина: добавлено
Теперь все чисто.
Рекомендуется отключить все что вам не нужно из этого списка:
Код:>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр) >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Alerter (Оповещатель) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя
I am not young enough to know everything...
Хорошо.
Еще раз - СПАСИБО!
И УРА!
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 18
- В ходе лечения обнаружены вредоносные программы:
- \\bn14f.tmp - Trojan.Win32.Agent.apck (DrWEB: BackDoor.Bulknet.320)
- c:\\windows\\system32\\wlctrl32.dll - Trojan-Downloader.Win32.Agent.kif (DrWEB: Trojan.DownLoader.49451)
- c:\\windows\\temp\\bn14.tmp - Trojan-Downloader.Win32.Agent.leu (DrWEB: Trojan.DownLoader.50217)
- \\wscui.cpl - not-a-virus:FraudTool.Win32.XPSecurityCenter.bt (DrWEB: Trojan.Fakealert.208
Уважаемый(ая) Мiшелька, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.