Добрый день. С компа идёт рассылка спама. Логи и карантин выкладываю.
Добрый день. С компа идёт рассылка спама. Логи и карантин выкладываю.
Отключите восстановление системы.
Выполните в АВЗ:
Пришлите карантин согласно приложения 3 правил...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\System32\ntos.exe',''); QuarantineFile('C:\Documents and Settings\User\Рабочий стол\.//..//win.exe',''); QuarantineFile('c:\program files\common files\system\svchost.exe',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Tyh56.sys',''); QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll',''); QuarantineFile('MSWin--1006534185.exe',''); QuarantineFile('C:\PROGRA~1\COMMON~1\System\vd3_sys.dat',''); DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll'); DeleteFile('C:\WINDOWS\System32\Drivers\Tyh56.sys'); DeleteFile('C:\WINDOWS\System32\ntos.exe'); DeleteFile('WLCtrl32.dll'); BC_ImportAll; BC_DeleteSvc('Tyh56'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Повторите логи.
Последний раз редактировалось wise-wistful; 08.04.2008 в 13:15.
@wise-wistful
Парочку строчек добавь в скрипт:
Код:QuarantineFile('MSWin--1006534185.exe',''); QuarantineFile('C:\PROGRA~1\COMMON~1\System\vd3_sys.dat','');
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
@PavelA добавил.
отправил
Скачиваем http://uploading.com/ru/files/VVKG3ZDO/1.zip.html
Запускаем, ищем 'C:\WINDOWS\system32\WLCtrl32.dll', нажимаем force delete, подтверждаем Ок
Тоже самое для 'C:\WINDOWS\System32\Drivers\Tyh56.sys' и
'C:\WINDOWS\System32\Drivers\Too41.sys'
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
удалил все, кроме C:\WINDOWS\System32\Drivers\Tyh56.sys - нет в исходной директории. Возможно скрытый от API Windows? Поместить в карантин с помощью avz также не удалось.
Сделайте новый комплект логов.
готово
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\System32\Drivers\Too41.sys'); DeleteFile('WLCtrl32.dll'); BC_ImportDeletedList; BC_DeleteSvc('Too41'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Поищите при помощи АВЗ сервис--поиск файлов на диске vd3_sys.dat, c:\program files\common files\system\svchost.exe, 1006534185.exe и 1.exe. Пришлите их согласно приложения 2 правил.
Поищите через AVZ то, что не попало в карантин.
MSWin--1006534185.exe
1.exe - переименованный Хиджак, наверное.
Последний раз редактировалось PavelA; 08.04.2008 в 15:22.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Too41.sys и WLCtrl32.dll - были удалены IceSword, сейчас их в системе нет. 1.exe это скачанный по ссылке IceSword.
Остальные файлы находятся, но в карантин не помещаются. avz выдаёт ошибку.
Дополнительная информация - в качестве антивируса стоял NOD32 - оказался заражён. Стормозил, сразу не проверил, сорри. И службы потенциально опасные все были запущены - хотя пару месяцев назад сам всё отключал. Всё отключил.
1006534185.exe - поиском файлов АВЗ его не находит. Добавлением в карантин по списку - Ошибка карантина файла, попытка прямого чтения (1006534185.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\1006534185.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\1006534185.exe)
Карантин с использованием прямого чтения - ошибка
Добавлено через 9 минут
Определил визуально - зашёл в папку C:\Program Files\ESET\cashe обнаружил кроме файла cashe.ndb файлы с таким же именем и другими расширениями (cashe.nd1 и т.д.). CureIt всегда в таких случаях определяет их как вирусы. NOD деинсталлировал ещё после выполнения первого скрипта.
Последний раз редактировалось turtle; 08.04.2008 в 16:35. Причина: Добавлено
vd3_sys.dat - удалил CureIt (Trojan.Downloader)
Модифицирован ключ запуска проводника - с этим что делать? Мастер устранения проблем не помог. FileptcIconOverlay.dll - чистая, я так понимаю?
Логи обновил.
Спам не рассылается теперь.
Профиксить:
Код:O4 - Startup: MSWin--1006534185.exe O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Пофиксил, лечение можно считать успешным?
Да
Нам интересно Ваше мнение о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Всем огромное спасибо. Мнение по ресурсу обязательно отпишу.
Уважаемый(ая) turtle, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.