Поймал subj. Одновременно с ним - куча файлов с расширениями .dll и .sys в C:\WINDOWS\system32\. CureIt обнаруживает, говорит, что удаляет, просит перегрузиться... и все остается на своих местах...
Прошу помощи.
WMSetup и все-все-все...
Поймал subj. Одновременно с ним - куча файлов с расширениями .dll и .sys в C:\WINDOWS\system32\. CureIt обнаруживает, говорит, что удаляет, просит перегрузиться... и все остается на своих местах...
Прошу помощи.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
м - да .... "рука бойца колоть устала ...."
сп1 + отсутствие антивируса ...
віполните скрипт ...
пришлите карантин согласно приложения 3 правил ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelBHO('{9490415F-65F8-B5C5-D8BA-9405FB120549}'); DelBHO('{91698482-6555-3666-1222-954784129019}'); DelBHO('{83BA45AF-FAAA-CDDD-BEEE-BCDE1234AB38}'); DelBHO('{81954FAC-1023-154F-895A-1458258AD818}'); DelBHO('{6319A1F1-9410-9654-3201-345FFA349136}'); DelBHO('{5A069845-2036-6084-9054-6087502480A5}'); DelBHO('{55694105-5108-9405-3695-954187462155}'); DelBHO('{50940F85-F015-14F1-A05F-F69858AC6D05}'); DelBHO('{4FD45A54-9875-698F-E56E-65102358FDF4}'); DelBHO('{37AC9076-C898-B098-D098-A18319080973}'); DelBHO('{33512378-9874-5641-1025-985420368733}'); DelBHO('{32023698-6984-8541-9654-698745012523}'); DelBHO('{2B69874A-C58C-458D-69F0-698F874E41B2}'); DelBHO('{22596546-2036-9451-6058-658402589722}'); DelBHO('{13FD5987-65D2-C58D-D87E-987451F12531}'); QuarantineFile('C:\WINDOWS\TEMP\wmsetup.dll',''); QuarantineFile('C:\WINDOWS\System32\zywmfime.dll',''); QuarantineFile('C:\WINDOWS\System32\zxptejpg.dll',''); QuarantineFile('C:\WINDOWS\System32\zptlcsys.dll',''); QuarantineFile('C:\WINDOWS\System32\zdesfx.dll',''); QuarantineFile('C:\WINDOWS\System32\yzztimsn.dll',''); QuarantineFile('C:\WINDOWS\System32\yxfhcjpg.dll',''); QuarantineFile('C:\WINDOWS\System32\ypdjfbmp.dll',''); QuarantineFile('C:\WINDOWS\System32\ydgn.dll',''); QuarantineFile('C:\WINDOWS\System32\xfgnfx.dll',''); QuarantineFile('C:\WINDOWS\System32\xdhdg.dll',''); QuarantineFile('C:\WINDOWS\System32\wyrsdj.dll',''); QuarantineFile('C:\WINDOWS\System32\ukrth.dll',''); QuarantineFile('C:\WINDOWS\System32\thef.dll',''); QuarantineFile('C:\WINDOWS\System32\swsxachu.dll',''); QuarantineFile('C:\WINDOWS\System32\sthth.dll',''); QuarantineFile('C:\WINDOWS\System32\skqncbib.dll',''); QuarantineFile('C:\WINDOWS\System32\sefawe.dll',''); QuarantineFile('C:\WINDOWS\System32\ozfyebyt.dll',''); QuarantineFile('C:\WINDOWS\System32\oswxcttb.dll',''); QuarantineFile('C:\WINDOWS\System32\oqrthc.dll',''); QuarantineFile('C:\WINDOWS\System32\opshbbty.dll',''); QuarantineFile('C:\WINDOWS\System32\njritc.dll',''); QuarantineFile('C:\WINDOWS\System32\nhmxcjkl.dll',''); QuarantineFile('C:\WINDOWS\System32\mpwdeapi.dll',''); QuarantineFile('C:\WINDOWS\System32\lassaplo.dll',''); QuarantineFile('C:\WINDOWS\System32\lariytrz.dll',''); QuarantineFile('C:\WINDOWS\System32\kduy.dll',''); QuarantineFile('C:\WINDOWS\System32\jkhjsd.dll',''); QuarantineFile('C:\WINDOWS\System32\jhrcar.dll',''); QuarantineFile('C:\WINDOWS\System32\hjmh.dll',''); QuarantineFile('C:\WINDOWS\System32\hjk.dll',''); QuarantineFile('C:\WINDOWS\System32\hhrdxd.dll',''); QuarantineFile('C:\WINDOWS\System32\hgfhk.dll',''); QuarantineFile('C:\WINDOWS\System32\hfrdzx.dll',''); QuarantineFile('C:\WINDOWS\System32\gjbhr.dll',''); QuarantineFile('C:\WINDOWS\System32\fydgky.dll',''); QuarantineFile('C:\WINDOWS\System32\dtrgjy.dll',''); QuarantineFile('C:\WINDOWS\System32\dehkj.dll',''); QuarantineFile('C:\WINDOWS\System32\crugd.dll',''); QuarantineFile('C:\WINDOWS\System32\apsgdjba.dll',''); QuarantineFile('C:\WINDOWS\linkinfo.dll',''); QuarantineFile('C:\DOCUME~2\Father\LOCALS~1\Temp\wmsetup.dll',''); DeleteFile('C:\DOCUME~2\Father\LOCALS~1\Temp\wmsetup.dll'); DeleteFile('C:\WINDOWS\System32\apsgdjba.dll'); DeleteFile('C:\WINDOWS\System32\crugd.dll'); DeleteFile('C:\WINDOWS\System32\dehkj.dll'); DeleteFile('C:\WINDOWS\System32\dtrgjy.dll'); DeleteFile('C:\WINDOWS\System32\fydgky.dll'); DeleteFile('C:\WINDOWS\System32\gjbhr.dll'); DeleteFile('C:\WINDOWS\System32\hfrdzx.dll'); DeleteFile('C:\WINDOWS\System32\hgfhk.dll'); DeleteFile('C:\WINDOWS\System32\hhrdxd.dll'); DeleteFile('C:\WINDOWS\System32\hjk.dll'); DeleteFile('C:\WINDOWS\System32\hjmh.dll'); DeleteFile('C:\WINDOWS\System32\jhrcar.dll'); DeleteFile('C:\WINDOWS\System32\jkhjsd.dll'); DeleteFile('C:\WINDOWS\System32\kduy.dll'); DeleteFile('C:\WINDOWS\System32\lariytrz.dll'); DeleteFile('C:\WINDOWS\System32\lassaplo.dll'); DeleteFile('C:\WINDOWS\System32\mpwdeapi.dll'); DeleteFile('C:\WINDOWS\System32\nhmxcjkl.dll'); DeleteFile('C:\WINDOWS\System32\njritc.dll'); DeleteFile('C:\WINDOWS\System32\opshbbty.dll'); DeleteFile('C:\WINDOWS\System32\oqrthc.dll'); DeleteFile('C:\WINDOWS\System32\oswxcttb.dll'); DeleteFile('C:\WINDOWS\System32\ozfyebyt.dll'); DeleteFile('C:\WINDOWS\System32\skqncbib.dll'); DeleteFile('C:\WINDOWS\System32\sthth.dll'); DeleteFile('C:\WINDOWS\System32\swsxachu.dll'); DeleteFile('C:\WINDOWS\System32\thef.dll'); DeleteFile('C:\WINDOWS\System32\ukrth.dll'); DeleteFile('C:\WINDOWS\System32\wyrsdj.dll'); DeleteFile('C:\WINDOWS\System32\xdhdg.dll'); DeleteFile('C:\WINDOWS\System32\xfgnfx.dll'); DeleteFile('C:\WINDOWS\System32\ydgn.dll'); DeleteFile('C:\WINDOWS\System32\ypdjfbmp.dll'); DeleteFile('C:\WINDOWS\System32\yxfhcjpg.dll'); DeleteFile('C:\WINDOWS\System32\yzztimsn.dll'); DeleteFile('C:\WINDOWS\System32\zdesfx.dll'); DeleteFile('C:\WINDOWS\System32\zptlcsys.dll'); DeleteFile('C:\WINDOWS\System32\zxptejpg.dll'); DeleteFile('C:\WINDOWS\System32\zywmfime.dll'); DeleteFile('C:\WINDOWS\TEMP\wmsetup.dll'); DeleteFile('awef.dll'); DeleteFile('bjrvm.dll'); DeleteFile('bnxnb.dll'); DeleteFile('cdxbfxdb.dll'); DeleteFile('chmfcmh.dll'); DeleteFile('dbfb.dll'); DeleteFile('dfhsh.dll'); DeleteFile('dhugtj.dll'); DeleteFile('dnteh.dll'); DeleteFile('drghszd.dll'); DeleteFile('dscef.dll'); DeleteFile('ektvm.dll'); DeleteFile('ethsh.dll'); DeleteFile('fhjfg.dll'); DeleteFile('fjyjy.dll'); DeleteFile('fngn.dll'); DeleteFile('frntrn.dll'); DeleteFile('fxgnfx.dll'); DeleteFile('fxnfnh.dll'); DeleteFile('gfcfg.dll'); DeleteFile('gjkhj.dll'); DeleteFile('gmnait.dll'); DeleteFile('hfjg.dll'); DeleteFile('hfther.dll'); DeleteFile('hgnmjsdg.dll'); DeleteFile('hjaiq.dll'); DeleteFile('hjtdrh.dll'); DeleteFile('hkfgh.dll'); DeleteFile('hyjmt.dll'); DeleteFile('ijatnaw.dll'); DeleteFile('jwlah.dll'); DeleteFile('jzijj.dll'); DeleteFile('mrjhtjd.dll'); DeleteFile('qrhhb.dll'); DeleteFile('rdthr.dll'); DeleteFile('rgghjj.dll'); DeleteFile('rhs.dll'); DeleteFile('sehhter.dll'); DeleteFile('serger.dll'); DeleteFile('serghjm.dll'); DeleteFile('setrhes.dll'); DeleteFile('stehs.dll'); DeleteFile('thsddh.dll'); DeleteFile('tjdegtr.dll'); DeleteFile('uyjtd.dll'); DeleteFile('wfhyt.dll'); DeleteFile('xbcvxb.dll'); DeleteFile('xdfntt.dll'); DeleteFile('xdndn.dll'); DeleteFile('xfgnhcgfm.dll'); DeleteFile('xgnfn.dll'); DeleteFile('yjrfe.dll'); DeleteFile('ytjkyer.dll'); DeleteFile('zdbdb.dll'); DeleteFile('zfdzb.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи ...
1. Параллельно хочу сказать, что методом, описанным у Вас, отключить восстановление системы не удается. Идет "Ошибка восстановления системы при включении/отключении одного или нескольких устройств. Перезагрузите и повторите попытку". Перезагружаю - то же самое. Могу отключить лишь службу восстановления...
После выполнения скрипта:
2. Некоторые файлы .dll в директории C:\WINDOWS\system32\ стали .bak'ами.
3. Та же wmsetup.dll (и wmsetup.bak) есть и в C:\WINDOWS\Temp\ и в c:\Documents and Settings\Father\Local Settings\Temp\. В последней еще и подозрительные файлы .gif.
4. Подозрительные файлы (включая Jview.dll) есть и в директории c:\WINDOWS\AppPatch\.
Карантин прилагаю. Логи чуть позже, время же надо...
PS Попытался кинуть карантин. Не вышло..."
virus.zip:
388.3 Кбайт превысил(а) предел на форуме. Нажмите здесь для просмотра ваших вложений "
Что делать?
an2000 Вас же просили выслать карантин согласно приложения 3 правил, т.е. по ссылке http://virusinfo.info/upload_virus.php?tid=24100
Я и хотел отослать, нажав на "прислать запрошенный карантин", но уже начал писать ответ (а ссылка в этоот момент пропадает!). Я ее не нашел и...Сообщение от wise-wistful
PS Отправил. Как положено.
Последний раз редактировалось an2000; 06.06.2008 в 00:54. Причина: дополнение
А вот и логи. Правда, чем они будут отличаться от первоначальных - я не знаю.
Восстановление системы - отключить ...
пофиксите ...
віполните скрипт ...Код:O2 - BHO: swsxachu.dll - {13FD5987-65D2-C58D-D87E-987451F12531} - C:\WINDOWS\System32\swsxachu.dll (file missing) O2 - BHO: opshbbty.dll - {22596546-2036-9451-6058-658402589722} - C:\WINDOWS\System32\opshbbty.dll (file missing) O2 - BHO: lassaplo.dll - {2B69874A-C58C-458D-69F0-698F874E41B2} - C:\WINDOWS\System32\lassaplo.dll (file missing) O2 - BHO: skqncbib.dll - {32023698-6984-8541-9654-698745012523} - C:\WINDOWS\System32\skqncbib.dll (file missing) O2 - BHO: oswxcttb.dll - {33512378-9874-5641-1025-985420368733} - C:\WINDOWS\System32\oswxcttb.dll (file missing) O2 - BHO: yxcschlp.dll - {35671234-7890-ABCD-CDEF-567801237653} - C:\WINDOWS\System32\yxcschlp.dll O2 - BHO: nhmxcjkl.dll - {37AC9076-C898-B098-D098-A18319080973} - C:\WINDOWS\System32\nhmxcjkl.dll (file missing) O2 - BHO: apsgdjba.dll - {4FD45A54-9875-698F-E56E-65102358FDF4} - C:\WINDOWS\System32\apsgdjba.dll (file missing) O2 - BHO: zptlcsys.dll - {50940F85-F015-14F1-A05F-F69858AC6D05} - C:\WINDOWS\System32\zptlcsys.dll (file missing) O2 - BHO: mpwdeapi.dll - {55694105-5108-9405-3695-954187462155} - C:\WINDOWS\System32\mpwdeapi.dll (file missing) O2 - BHO: ozfyebyt.dll - {5A069845-2036-6084-9054-6087502480A5} - C:\WINDOWS\System32\ozfyebyt.dll (file missing) O2 - BHO: zywmfime.dll - {6319A1F1-9410-9654-3201-345FFA349136} - C:\WINDOWS\System32\zywmfime.dll (file missing) O2 - BHO: mnmhgsrv.dll - {7C8D1401-A58D-A81C-CD24-A5915C4517C7} - C:\WINDOWS\System32\mnmhgsrv.dll O2 - BHO: ypdjfbmp.dll - {81954FAC-1023-154F-895A-1458258AD818} - C:\WINDOWS\System32\ypdjfbmp.dll (file missing) O2 - BHO: yxfhcjpg.dll - {83BA45AF-FAAA-CDDD-BEEE-BCDE1234AB38} - C:\WINDOWS\System32\yxfhcjpg.dll (file missing) O2 - BHO: zxptejpg.dll - {91698482-6555-3666-1222-954784129019} - C:\WINDOWS\System32\zxptejpg.dll (file missing) O2 - BHO: yzztimsn.dll - {9490415F-65F8-B5C5-D8BA-9405FB120549} - C:\WINDOWS\System32\yzztimsn.dll (file missing) O20 - AppInit_DLLs: dehkj.dll,dtrgjy.dll,grgrjj.dll,wergjuk.dll,sergy.dll,ergfwe.dll,hjfgth.dll,trhth.dll,rthrk.dll,dgrdgr.dll,hrergh.dll,ghthhh.dll,hjk.dll,gjbhr.dll,gfcfg.dll,frntrn.dll,qrhhb.dll,drghszd.dll,fngn.dll,gnfctt.dll,xgnfn.dll,xfgnhcgfm.dll,serger.dll,bnxnb.dll,fxgnfx.dll,jzijj.dll,xfgnfx.dll,serghjm.dll,thsddh.dll,xbcvxb.dll,zfdzb.dll,xdndn.dll,xdfntt.dll,hgfhk.dll,dnteh.dll,xfng.dll,njritc.dll,chmfcmh.dll,jwlah.dll,gmnait.dll,hfjg.dll,thurh.dll,mgmgmm.dll,oqrthc.dll,thyut.dll,jyjlt.dll,ijatnaw.dll,sehhter.dll,fhjfg.dll,zdbdb.dll,ydgn.dll,dbfb.dll,fjnbv.dll,fgffthui.dll,setrhes.dll,cdxbfxdb.dll,xfgnxfn.dll,gjkhj.dll,xdhdg.dll,rhs.dll,mrjhtjd.dll,zdbfbd.dll,fjyjy.dll,fxnfnh.dll,bjrvm.dll,ektvm.dll,rdthr.dll,yjrfe.dll,dscef.dll,crugd.dll,lariytrz.dll,hjaiq.dll,kduy.dll,hkfgh.dll,awef.dll,dfhsh.dll,ethsh.dll,stehs.dll,sthth.dll,wfhyt.dll,rgghjj.dll,ghjkdr.dll,hfther.dll,
пришлите карантин согласно приложения 3 правил ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelBHO('{9490415F-65F8-B5C5-D8BA-9405FB120549}'); DelBHO('{91698482-6555-3666-1222-954784129019}'); DelBHO('{83BA45AF-FAAA-CDDD-BEEE-BCDE1234AB38}'); DelBHO('{81954FAC-1023-154F-895A-1458258AD818}'); DelBHO('{6319A1F1-9410-9654-3201-345FFA349136}'); DelBHO('{5A069845-2036-6084-9054-6087502480A5}'); DelBHO('{55694105-5108-9405-3695-954187462155}'); DelBHO('{50940F85-F015-14F1-A05F-F69858AC6D05}'); DelBHO('{4FD45A54-9875-698F-E56E-65102358FDF4}'); DelBHO('{37AC9076-C898-B098-D098-A18319080973}'); DelBHO('{35671234-7890-ABCD-CDEF-567801237653}'); DelBHO('{33512378-9874-5641-1025-985420368733}'); DelBHO('{32023698-6984-8541-9654-698745012523}'); DelBHO('{22596546-2036-9451-6058-658402589722}'); DelBHO('{13FD5987-65D2-C58D-D87E-987451F12531}'); QuarantineFile('C:\WINDOWS\System32\yxcschlp.dll',''); QuarantineFile('C:\WINDOWS\System32\mnmhgsrv.dll',''); QuarantineFile('C:\DOCUME~2\Father\LOCALS~1\Temp\wmsetup.dll',''); DeleteFile('C:\DOCUME~2\Father\LOCALS~1\Temp\wmsetup.dll'); DeleteFile('C:\WINDOWS\System32\mnmhgsrv.dll'); DeleteFile('C:\WINDOWS\System32\yxcschlp.dll'); DeleteFile('C:\WINDOWS\System32\hfrdzx.dll'); DeleteFile('C:\WINDOWS\System32\hhrdxd.dll'); DeleteFile('C:\WINDOWS\System32\jhrcar.dll'); DeleteFile('C:\WINDOWS\System32\lassaplo.dll'); DeleteFile('C:\WINDOWS\System32\mpwdeapi.dll'); DeleteFile('C:\WINDOWS\System32\nhmxcjkl.dll'); DeleteFile('C:\WINDOWS\System32\opshbbty.dll'); DeleteFile('C:\WINDOWS\System32\oswxcttb.dll'); DeleteFile('C:\WINDOWS\System32\ozfyebyt.dll'); DeleteFile('C:\WINDOWS\System32\skqncbib.dll'); DeleteFile('C:\WINDOWS\System32\swsxachu.dll'); DeleteFile('C:\WINDOWS\System32\wyrsdj.dll'); DeleteFile('C:\WINDOWS\System32\ypdjfbmp.dll'); DeleteFile('C:\WINDOWS\System32\yxfhcjpg.dll'); DeleteFile('C:\WINDOWS\System32\zptlcsys.dll'); DeleteFile('C:\WINDOWS\System32\zxptejpg.dll'); DeleteFile('C:\WINDOWS\System32\zywmfime.dll'); DeleteFile('awef.dll'); DeleteFile('bjrvm.dll'); DeleteFile('cdxbfxdb.dll'); DeleteFile('chmfcmh.dll'); DeleteFile('crugd.dll'); DeleteFile('dbfb.dll'); DeleteFile('dehkj.dll'); DeleteFile('dgrdgr.dll'); DeleteFile('dnteh.dll'); DeleteFile('drghszd.dll'); DeleteFile('ektvm.dll'); DeleteFile('ergfwe.dll'); DeleteFile('fgffthui.dll'); DeleteFile('fhjfg.dll'); DeleteFile('fjyjy.dll'); DeleteFile('fngn.dll'); DeleteFile('fxgnfx.dll'); DeleteFile('fxnfnh.dll'); DeleteFile('ghjkdr.dll'); DeleteFile('ghthhh.dll'); DeleteFile('gjkhj.dll'); DeleteFile('hfjg.dll'); DeleteFile('hfther.dll'); DeleteFile('hgfhk.dll'); DeleteFile('hjk.dll'); DeleteFile('hrergh.dll'); DeleteFile('jwlah.dll'); DeleteFile('jyjlt.dll'); DeleteFile('mgmgmm.dll'); DeleteFile('mrjhtjd.dll'); DeleteFile('njritc.dll'); DeleteFile('oqrthc.dll'); DeleteFile('rgghjj.dll'); DeleteFile('sehhter.dll'); DeleteFile('serghjm.dll'); DeleteFile('sthth.dll'); DeleteFile('thsddh.dll'); DeleteFile('wergjuk.dll'); DeleteFile('wfhyt.dll'); DeleteFile('xdfntt.dll'); DeleteFile('xdhdg.dll'); DeleteFile('xfgnfx.dll'); DeleteFile('xfgnhcgfm.dll'); DeleteFile('xfng.dll'); DeleteFile('zdbdb.dll'); DeleteFile('yjrfe.dll'); DeleteFile('zdbfbd.dll'); DeleteFile('zfdzb.dll'); DeleteFile('C:\WINDOWS\System32\apsgdjba.dll'); DeleteFile('C:\WINDOWS\System32\yzztimsn.dll'); DeleteFile('C:\WINDOWS\system32\zxfhajpg.exe'); DeleteFile('C:\WINDOWS\system32\zxcsahlp.exe'); DeleteFile('C:\WINDOWS\system32\zsdjabmp.exe'); DeleteFile('C:\WINDOWS\system32\zptlcsys.bak'); DeleteFile('C:\WINDOWS\system32\zdesfx.bak'); DeleteFile('C:\WINDOWS\system32\yxcschlp.dll'); DeleteFile('C:\WINDOWS\system32\wyrsdj.bak'); DeleteFile('C:\WINDOWS\system32\ukrth.bak'); DeleteFile('C:\WINDOWS\system32\sfsxachu.exe'); DeleteFile('C:\WINDOWS\system32\opshbbty.bak'); DeleteFile('C:\WINDOWS\system32\mnmhgsrv.dll'); DeleteFile('C:\WINDOWS\system32\lpsgajba.exe'); DeleteFile('C:\WINDOWS\system32\jhrcar.bak'); DeleteFile('C:\WINDOWS\system32\hjmh.bak'); DeleteFile('C:\WINDOWS\system32\hhrdxd.bak'); DeleteFile('C:\WINDOWS\system32\hfrdzx.bak'); DeleteFile('C:\WINDOWS\system32\azwmaime.exe'); DeleteFile('C:\WINDOWS\system32\apsgdjba.bak'); DeleteFile('C:\WINDOWS\system32\aitlasys.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи ...
Насчет отключения системы я писал выше. Службу отключил. Выполнять?
выполняйте...
HiJack пофиксил. Скрипт выполнил. Перегрузился. При запуске в AVZ скрипта лечения/карантина и сбора информации система стала перегружаться.
Жду указаний.
Последний раз редактировалось an2000; 06.06.2008 в 18:56. Причина: дополнение
делайте логи начиная с пункта 10 правил ...
Done.
уже лучше ...
выполните скрипт ...
пришлите карантин согласно приложения 3 правил ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('c:\windows\apppatch\acxtrnel.dll',''); DelBHO('{7C8D1401-A58D-A81C-CD24-A5915C4517C7}'); DelBHO('{35671234-7890-ABCD-CDEF-567801237653}'); QuarantineFile('C:\WINDOWS\System32\mnmhgsrv.dll',''); QuarantineFile('C:\WINDOWS\System32\yxcschlp.dll',''); QuarantineFile('C:\WINDOWS\System32\zdesfx.dll',''); QuarantineFile('C:\DOCUME~2\Father\LOCALS~1\Temp\wmsetup.dll',''); QuarantineFile('C:\WINDOWS\TEMP\wmsetup.dll',''); DeleteFile('C:\WINDOWS\TEMP\wmsetup.dll'); DeleteFile('C:\DOCUME~2\Father\LOCALS~1\Temp\wmsetup.dll'); DeleteFile('C:\WINDOWS\System32\zdesfx.dll'); DeleteFile('C:\WINDOWS\System32\yxcschlp.dll'); DeleteFile('C:\WINDOWS\System32\mnmhgsrv.dll'); DeleteFile('c:\windows\apppatch\acxtrnel.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи ...
Карантин выслал (2008-06-06.zip). Старые файлы из него убрал (для уменьшения). Первый скрипт все так же перегружает комп. Остальные два лога прилагаю.
выполните скрипт ...
повторите логи ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\Downloaded Program Files\ThunderAdvise.dll'); DeleteFile('C:\WINDOWS\AppPatch\Jview.dll'); DeleteFile('c:\windows\apppatch\acxtrnel.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Информация к размышлению.
В директории C:\WINDOWS\system32\drivers\ торчат vdexntq5.sys, cdralw.sys.
В C:\WINDOWS\Temp\ и c:\Documents and Settings\Father\Local Settings\Temp\ постоянно присутствует wmsetup.bak (той же длины - 5632).
Сейчас будут логи.
Вот и они!
пофиксите ...
віполните скрипт ...Код:O2 - BHO: ThunderAdvise - {97421D0D-E07F-40DF-8F07-99597B9585AD} - C:\WINDOWS\Downloaded Program Files\ThunderAdvise.dll (file missing)
пришлите карантин согласно приложения 3 правил ...Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile(' C:\WINDOWS\system32\drivers\IsDrv122.sys',''); QuarantineFile(' C:\WINDOWS\system32\drivers\cdralw.sys',''); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end.
Запустил HiJack, чтобы пофиксить... а там... гляньте...
.... выполните пункт 2 правил , затем установите пробную версию антивируса касперского - провертесь .... и потом новые логи ....
Уважаемый(ая) an2000, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
