Доброго времени суток!
Комп постоянно ломится в интернет... что за зараза - не знаю.. но попробовал сделать по правилам. Остается просить помощи...
Доброго времени суток!
Комп постоянно ломится в интернет... что за зараза - не знаю.. но попробовал сделать по правилам. Остается просить помощи...
ПофикситеСкачайте IceSword.Код:R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://internetsearchservice.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://internetsearchservice.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://internetsearchservice.com/ie6.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://internetsearchservice.com R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://internetsearchservice.com O4 - HKLM\..\Run: [svhost] C:\WINDOWS\System32\drivers\svchost.exe O4 - HKLM\..\Run: [winload] C:\Windows\system\winload.exe O4 - HKLM\..\Run: [advap32] C:\Windows\system\1011.exe/r O20 - Winlogon Notify: winnt32 - C:\WINDOWS\SYSTEM32\WinNt32.dll
Запустите его, внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файлы C:\WINDOWS\system32\Drivers\Xej74.sys и C:\WINDOWS\system32\sywtdxaz.sys и если есть - сначала скопируйте их куда хотите при помощи Copy to..., чтобы прислать нам, а потом удалите их с помощью force delete (нажмите по кажому из них правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да").
Затем выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\system\winload.exe'); TerminateProcessByName('c:\windows\system32\drivers\svchost.exe'); TerminateProcessByName('c:\documents and settings\user\ie_updates3r.exe'); QuarantineFile('C:\WINDOWS\system32\sywtdxaz.sys',''); QuarantineFile('C:\Windows\system\1011.exe/r',''); QuarantineFile('C:\Windows\system\1011.exe',''); QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Xej74.sys',''); QuarantineFile('C:\WINDOWS\system32\WinNt32.dll',''); QuarantineFile('c:\windows\system\winload.exe',''); QuarantineFile('c:\windows\system32\drivers\svchost.exe',''); QuarantineFile('c:\documents and settings\user\ie_updates3r.exe',''); DeleteFile('c:\documents and settings\user\ie_updates3r.exe'); DeleteFile('c:\windows\system32\drivers\svchost.exe'); DeleteFile('c:\windows\system\winload.exe'); DeleteFile('C:\WINDOWS\system32\WinNt32.dll'); DeleteFile('C:\WINDOWS\system32\Drivers\Xej74.sys'); DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys'); DeleteFile('C:\Windows\system\1011.exe/r'); DeleteFile('C:\Windows\system\1011.exe'); DeleteFile('C:\WINDOWS\system32\sywtdxaz.sys'); DelWinlogonNotifyByKeyName('winnt32'); BC_ImportALL; ExecuteSysClean; BC_DeleteSvc('Xej74'); BC_DeleteSvc('Google Online Services'); BC_DeleteSvc('tcpsr'); BC_Activate; ExecuteRepair(1); ExecuteRepair(6); RebootWindows(true); end.
Пришлите карантин согласно приложению №3 правил и два скопированных Вами файла в архиве с паролем virus (загружать здесь: http://virusinfo.info/upload_virus.php?tid=23665 ).
Сделайте новые логи.
Последний раз редактировалось Rene-gad; 29.05.2008 в 15:34. Причина: скрипт какой-то короткий получилса...:--)))
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
C:\WINDOWS\system32\sywtdxaz.sys этот файл не удаляется IceSword. Вернее при перезагрузке появляется опять. Второй фаqл высылаю. Все выполнил, но опять ломится в инет постоянно
А где новые логи? По поводу файла, о котором вы сказали - Вы его скопировали в IceSword ?
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Выкладываю новые логи
[moderated: Файлы присылаются согласно приложения 3 правил]
Последний раз редактировалось Shu_b; 30.05.2008 в 09:52.
И еще. Файл C:\WINDOWS\system32\sywtdxaz.sys скопировал, но при попытке архивирования WInZip выдает ошибку... так что как zip-файл не могу его отправить
карантин из темы - убрать ...
прислать по ссылке над темой ...
выполните скрипт ...
пришлите карантин согласно приложения 3 правил ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\sywtdxaz.sys',''); QuarantineFile('C:\WINDOWS\systemroot\system32\drivers\clbdriver.sys',''); QuarantineFile('C:\Program Files\Internet Explorer\SETUPAPI.dll',''); DeleteFile('C:\Program Files\Internet Explorer\SETUPAPI.dll'); DeleteFile('C:\WINDOWS\\system32\drivers\clbdriver.sys'); DeleteFile('C:\WINDOWS\system32\sywtdxaz.sys'); BC_Importall; ExecuteSysClean; ExecuteRepair(9); BC_Activate; RebootWindows(true); end.
повторите логи ...
Новые логи...
Все-таки надо пытаться удалить этот файл через IceSword:
C:\WINDOWS\system32\sywtdxaz.sys
AVZ с этим справиться пока не сможет.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Вроде бы убивается... но после перезагрузки появляется опять
Скачайте Gmer. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Результат сканирования gmer`ом...
Попробуйте в Gmer'е на закладке Files скопировать C:\WINDOWS\system32\sywtdxaz.sys, чтобы прислать нам.
Затем этому файлу сделайте force delete в IceSword и сразу затем выполните такой скрипт в AVZ:
Компьютер перезагрузится. Прикрепите новые логи по правилам и boot_clr.log из папки AVZ.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\sywtdxaz.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('sywtdxaz'); BC_LogFile(GetAVZDirectory + 'boot_clr.log'); BC_Activate; RebootWindows(true); end.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Очередные логи... похоже, что умер, активности не видно
А вот и эта ранее неубиваемая зараза
Последний раз редактировалось Макcим; 30.05.2008 в 14:24.
Удалите ее отсюда, здесь нельзя, надо прислать ее сюда: http://virusinfo.info/upload_virus.php?tid=23665
В логах чисто, зловред удален.
На всякий случай можете выполнить пункт 2 правил.
Какие-то проблемы остались?
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Да вроде бы проблем сейчас нет. Поставил Dr.Web и запустил полную проверку системы
Добавлено через 6 минут
И эту заразу отправил куда надо...
Большое спасибо всем, кто помог!!!
Последний раз редактировалось SteppenWolf; 30.05.2008 в 14:47. Причина: Добавлено
Нам интересно Ваше мнение о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Статистика проведенного лечения:
- Получено карантинов: 4
- Обработано файлов: 4
- В ходе лечения обнаружены вредоносные программы:
- \\syw - Rootkit.Win32.Agent.avm (DrWEB: Trojan.Spambot.3329)
- \\xej74.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: BackDoor.Bulknet.207)
Уважаемый(ая) SteppenWolf, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.