Антивирусник ESET NOD32 информировал об огромном количестве атак. Началось вчера и продолжалось до момента, пока не выполнила «Правила! Читать перед запросом о помощи». Что это было и всё ли в порядке сейчас?
Антивирусник ESET NOD32 информировал об огромном количестве атак. Началось вчера и продолжалось до момента, пока не выполнила «Правила! Читать перед запросом о помощи». Что это было и всё ли в порядке сейчас?
Интересно, по каким же помойкам вы гуляли и на что кликали? Пришлите мне в личку списочек
Такое под ограниченным пользователем не установиться, это точно На будущее учтите.
P.S. Если вы считаете, что набор руткитов и троянов- это порядок, то да
1. Скачайте IceSword: http://uploading.com/ru/files/VVKG3ZDO/1.zip.html
распакуйте в новую папку.
2. Запустите, слева внизу нажмите File, найдите файлы:
Сделайте копии командой Copy to... (правой кнопкой мыши),Код:C:\WINDOWS\System32\drivers\Yfk84.sys C:\WINDOWS\System32\drivers\Yfk28.sys C:\WINDOWS\System32\drivers\Wek86.sys C:\WINDOWS\System32\drivers\Wej73.sys C:\WINDOWS\System32\drivers\Wdj62.sys C:\WINDOWS\system32\drivers\nkv2.sys C:\WINDOWS\System32\drivers\Vci85.sys C:\WINDOWS\System32\drivers\Syf73.sys C:\WINDOWS\System32\drivers\Sye73.sys C:\WINDOWS\System32\drivers\Sye38.sys C:\WINDOWS\System32\drivers\Qwc27.sys C:\WINDOWS\System32\drivers\Qvb27.sys C:\WINDOWS\System32\drivers\Oua05.sys C:\WINDOWS\System32\drivers\Msx73.sys C:\WINDOWS\System32\drivers\Msx62.sys C:\WINDOWS\System32\drivers\Krw62.sys C:\WINDOWS\System32\drivers\Kqv38.sys C:\WINDOWS\System32\drivers\Jpu40.sys C:\WINDOWS\System32\drivers\Iot40.sys C:\WINDOWS\System32\drivers\Iot16.sys C:\WINDOWS\System32\drivers\Hot52.sys C:\WINDOWS\System32\drivers\Hns38.sys C:\WINDOWS\System32\drivers\Gns05.sys C:\WINDOWS\System32\drivers\Gmr51.sys C:\WINDOWS\System32\drivers\Gmr27.sys C:\WINDOWS\System32\drivers\Flq40.sys C:\WINDOWS\System32\drivers\Flq38.sys C:\WINDOWS\System32\drivers\Dkp40.sys C:\WINDOWS\System32\drivers\Djo62.sys C:\WINDOWS\System32\drivers\Bhm38.sys C:\WINDOWS\system32\WLCtrl32.dll
затем удалите все эти файлы командой Force Delete.
3. Пофиксите в HijackThis:
4. Выполните скрипт в AVZ:Код:O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
Пункты 2-4 выполнять подряд, без промежуточных перезагрузок, при отключенном интернете и антивирусе. После скрипта система перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Program Files\Windows Media Connect 2\Wmccds.exe',''); QuarantineFile('c:\windows\system32\wuauserv.dll',''); QuarantineFile('C:\WINDOWS\Temp\BN1.tmp',''); QuarantineFile('C:\WINDOWS\system32\ntos.exe',''); QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\spool.exe',''); QuarantineFile('C:\WINDOWS\System32\drivers\Yfk84.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\Yfk28.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\Wek86.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\Wej73.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\Wdj62.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\nkv2.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\Vci85.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\Syf73.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\Sye73.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\Sye38.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\Qwc27.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\Qvb27.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\Oua05.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\Msx73.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\Msx62.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\Krw62.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\Kqv38.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\Jpu40.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\Iot40.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\Iot16.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\Hot52.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\Hns38.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\Gns05.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\Gmr51.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\Gmr27.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\Flq40.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\Flq38.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\Dkp40.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\Djo62.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\Bhm38.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\ctfmon.exe',''); QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll',''); QuarantineFile('C:\WINDOWS\system32\ftpdll.dll',''); TerminateProcessByName('c:\windows\temp\253.tmp'); QuarantineFile('c:\windows\temp\253.tmp',''); DeleteFile('c:\windows\temp\253.tmp'); DeleteFile('C:\WINDOWS\system32\ftpdll.dll'); DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll'); DeleteFile('C:\WINDOWS\System32\drivers\Bhm38.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Djo62.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Dkp40.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Flq38.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Flq40.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Gmr27.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Gmr51.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Gns05.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Hns38.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Hot52.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Iot16.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Iot40.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Jpu40.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Kqv38.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Krw62.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Msx62.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Msx73.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Oua05.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Qvb27.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Qwc27.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Sye38.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Sye73.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Syf73.sys'); DeleteFile('C:\WINDOWS\system32\drivers\nkv2.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Vci85.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Wdj62.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Wej73.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Wek86.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Yfk28.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Yfk84.sys'); DeleteFile('C:\WINDOWS\Temp\BN1.tmp'); DeleteFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\spool.exe'); DeleteService('Bhm38'); DeleteService('Djo62'); DeleteService('Dkp40'); DeleteService('Flq38'); DeleteService('Flq40'); DeleteService('Gmr27'); DeleteService('Gmr51'); DeleteService('Gns05'); DeleteService('Hns38'); DeleteService('Hot52'); DeleteService('Msx62'); DeleteService('Msx73'); DeleteService('Oua05'); DeleteService('Qvb27'); DeleteService('Qwc27'); DeleteService('Sye38'); DeleteService('Sye73'); DeleteService('Syf73'); DeleteService('USB2_04'); DeleteService('Vci85'); DeleteService('Wdj62'); DeleteService('Wej73'); DeleteService('Wek86'); DeleteService('Yfk28'); DeleteService('Yfk84'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(6); ExecuteRepair(8); ExecuteRepair(12); ExecuteRepair(13); BC_Activate; RebootWindows(true); end.
Снова повторите логи.
Копии, сделанные в п.2, пришлите по правилам.
напоминаю: в zip архиве с паролем virus
карантин от avz тоже прислать, по той же ссылке в шапке вашей темы.
Последний раз редактировалось drongo; 02.05.2008 в 20:01.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Понимаю, что меня, видимо, ругают за что-то...
По помойкам гуляли? Ну да, наверно гуляли... Кликали всё на что кликалось. Вот и накликали
Теперь сидим, ждём-с...
План работы готов, выполняйте
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Вот что получилось на данный момент...
Продолжаем битву.
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\spool.exe',''); QuarantineFile('C:\WINDOWS\system32\ntos.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\ctfmon.exe',''); QuarantineFile('C:\WINDOWS\system32\WinNt32.dll',''); DeleteFile('C:\WINDOWS\system32\WinNt32.dll'); DeleteFile('C:\WINDOWS\system32\drivers\ctfmon.exe'); DeleteFile('C:\WINDOWS\System32\drivers\Ekp84.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Fmr73.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Iot38.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Ygm73.sys'); DeleteFile('WinNt32.dll'); DeleteFile('C:\WINDOWS\system32\ntos.exe'); DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\spool.exe'); BC_ImportAll; BC_DeleteSvc('Ygm73'); BC_DeleteSvc('Iot38'); BC_DeleteSvc('Fmr73'); BC_DeleteSvc('Ekp84'); BC_DeleteSvc('Schedule'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=22373
Повторите логи.
Последние новости с полей сражений...
Почти добили врагов.
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\System32\drivers\Cin73.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Qwc27.sys'); BC_ImportDeletedList; BC_DeleteSvc('Qwc27'); BC_DeleteSvc('Cin73'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=
2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Повторите логи начиная с пункта 10 правил.Код:O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\
Почти без сил, с высунутым языком, подчиняюсь...
Ну вот что получилось...
Вы скрипт из поста №8 выполняли?
Если номер 8 вот этот: "Запустите AVZ. Выберите из меню "Файл"=>"Стандартные скрипты" и поставьте галку напротив "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info". Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое сканирование, лечение и исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscure.zip.", то да.
Все подряд
не пункт 8 правил, а сообщение номер 8 http://virusinfo.info/showpost.php?p=222899&postcount=8
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Мне кажется, что да... Но спорить не буду. Надо повторить?
Перед его выполнением Запустите IceSword: слева внизу нажмите File, найдите файлы, если будут: C:\WINDOWS\System32\drivers\Cin73.sys; C:\WINDOWS\System32\drivers\Qwc27.sys удалите все эти файлы командой Force Delete, потом выполните скрипт из сообщения №8 и повторите логи начиная с п.10 правил.
Ага... Сейчас сделаю...
Добавлено через 7 минут
C:\WINDOWS\System32\drivers\Cin73.sys - вот этого не было, а этот был - C:\WINDOWS\System32\drivers\Qwc27.sys
Последний раз редактировалось Homo Sapience; 03.05.2008 в 00:58. Причина: Добавлено
А вот сейчас как?
Теперь все нормально врагов в логах нет.
Если не вы вносили эту запись в хост файл
то пофиксите её.Код:O1 - Hosts: 89.111.184.115 wiz2wix.com
Больше ничего подозрительного в логах нет.
Нам интересно Ваше мнение о нашей работе, будем очень благодарны за ответ. Ваш ответ поможет нам улучшить оказание помощи.
Ага, поняла, сейчас сделаю.
Последний раз редактировалось Homo Sapience; 03.05.2008 в 01:45.
Я имел ввиду, что если вы ничего не дописывали в хост файл, тогда нужно пофиксить указанную строчку.
Уважаемый(ая) Homo Sapience, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.