-
Junior Member
- Вес репутации
- 60
Неубиваемый драйвер ++
В общем, в попытках найти что то о неизвестной группе набрел на сайт, который загрузил мне на винчестер штучек 20ть "левых файлов". Некоторые лезли в планировщий, некоторые в службы и драйвера, некоторые конечно в автозапуск.
Избавился от большинства.
Осталась малость.
Видимая проблема по крайней мере в том, что перед экраном приветствия я вижу на секунду стандартную обоину виндоус - зелень и облака. После появляется приветствие и мой рабочий стол.
PS: Мсу(чего-то там) через BC не удаляется. Через службы тоже.
PSS: BrainFetch чистый.
Последний раз редактировалось nismoxid; 19.05.2010 в 00:19.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Temp\gold.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\IAKU4WXY\access[1].htm','');
QuarantineFile('C:\Documents and Settings\LocalService\cftmon.exe','');
QuarantineFile('C:\Documents and Settings\C. Four\Local Settings\Temporary Internet Files\Content.IE5\0FP7E2Z5\access[2].htm','');
QuarantineFile('C:\Documents and Settings\C. Four\Local Settings\Temporary Internet Files\Content.IE5\0FP7E2Z5\access[1].htm','');
QuarantineFile('C:\WINDOWS\nldfmtapnvb.dll','');
QuarantineFile('C:\Documents and Settings\C. Four\ie_updates3r.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Msy41.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS\system32\WinNt32.dll','');
DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Msy41.sys');
DeleteFile('C:\Documents and Settings\C. Four\ie_updates3r.exe');
DeleteFile('C:\Documents and Settings\C. Four\Local Settings\Temporary Internet Files\Content.IE5\0FP7E2Z5\access[1].htm');
DeleteFile('C:\Documents and Settings\C. Four\Local Settings\Temporary Internet Files\Content.IE5\0FP7E2Z5\access[2].htm');
DeleteFile('C:\Documents and Settings\LocalService\cftmon.exe');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\IAKU4WXY\access[1].htm');
DeleteFile('C:\WINDOWS\Temp\gold.exe');
DeleteService('Msy41');
DeleteService('Google Online Services');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=23199
85.255.115.92,85.255.112.108 - это Ваше? если нет то
2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Код:
O17 - HKLM\System\CCS\Services\Tcpip\..\{010F0C47-7489-482B-A25F-BE0000FFDA24}: NameServer = 85.255.115.92,85.255.112.108
O17 - HKLM\System\CCS\Services\Tcpip\..\{503BA05F-0FE3-47CF-A8B0-920968FE3DA1}: NameServer = 85.255.115.92,85.255.112.108
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.92 85.255.112.108
O17 - HKLM\System\CS1\Services\Tcpip\..\{010F0C47-7489-482B-A25F-BE0000FFDA24}: NameServer = 85.255.115.92,85.255.112.108
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.92 85.255.112.108
O17 - HKLM\System\CS2\Services\Tcpip\..\{010F0C47-7489-482B-A25F-BE0000FFDA24}: NameServer = 85.255.115.92,85.255.112.108
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.92 85.255.112.108
Повторите логи
-
Junior Member
- Вес репутации
- 60
Выполнил.
Изображение перед приветствием осталось, так же как и служба Msy41.
Карантин загрузил.
-
Что мое? Имеется ввиду мой ли это публ. ИП адрес?
Последний раз редактировалось nismoxid; 22.05.2008 в 02:36.
Причина: Добавлено
-
Сделайте новые логи, этого Msy41 мы задавим, можете не сомневаться.
П.С. По поводу адреса - речь о Вашем провайдере.
-
-
Junior Member
- Вес репутации
- 60
Логи заново не загружаются - якобы нет прав. Так что залил все 3 лога сюда - http://ifolder.ru/6665755 Один Архив.
-
Скачайте IceSword.
Запустите его, внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файл C:\WINDOWS\system32\Drivers\Msy41.sys и если есть - сначала скопируйте его куда хотите при помощи Copy to..., а потом удалите с помощью force delete (нажмите по нему правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да").
Затем выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\Vfys58.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\asc3550p.sys','');
DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
DeleteFile('C:\WINDOWS\nldfmtapnvb.dll');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Msy41.sys');
DeleteFile('asc3550p.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\asc3550p.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Vfys58.sys');
DeleteFile('WinNt32.dll');
DelBHO('{2AB0CA27-95E4-437A-8093-FADF3A2FAC42}');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('tcpsr');
BC_DeleteSvc('Msy41');
BC_DeleteSvc('asc3550p');
BC_DeleteSvc('Vfys58');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин, включая скопированный Вами файл.
Сделайте новые логи.
Отключите восстановление системы, как написано в правилах.
Последний раз редактировалось kps; 22.05.2008 в 03:10.
Причина: Добавлено
-
-
По предыдущему карантину access[1].htm1, access[1].htm, access[2].htm - not-a-virus: Porn-Dialer.Win32.GBDialer.j
Это файлы порнографического характера.
cftmon.exe, gold.exe - Trojan-Downloader.Win32.BHO.cy, WinNt32.dll - Trojan-Downloader.Win32.Mutant.yq, nldfmtapnvb.dll - Trojan.Win32.Vapsup.fmk
-
Junior Member
- Вес репутации
- 60
Прислал карантин. Повторил логи. http://ifolder.ru/6668917
Но восстановление системы отключил только после логов - забыл. Так что файла из System Restore больше нет.
-
Экран до приветствия все еще меня посещает. Мелочь, а неприятно. Или это уже "навсегда", до переустановки системы?
-
Логи чистые. Осталось почистить мусор.
Пофиксите в HijackThis:
Код:
O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\
Как видите, Msy41.sys пролетел, как фанера над Парижем
Еще пофиксите
Код:
O4 - HKLM\..\Run: [e4a6eb6c] rundll32.exe
Последний раз редактировалось kps; 22.05.2008 в 13:05.
-
-
-