все в теме сказано, помогите добить.
логи прилагаю.
ассоциации все восстановлены, система работает почти нормально. на вид. однако не все в порядке точно
все в теме сказано, помогите добить.
логи прилагаю.
ассоциации все восстановлены, система работает почти нормально. на вид. однако не все в порядке точно
Последний раз редактировалось antivor; 23.06.2008 в 16:31.
На время выполнения скрипта, отключитесь от сети и отключите антивирусный монитор.
Пофиксите с помощью Hijackthis строки:Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:Код:R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file) O2 - BHO: H - {3E94C28B-76C9-456f-9A7D-E80C6B2A4380} - matahsw.dll (file missing) O2 - BHO: (no name) - {81A35F39-4850-474E-92C9-B4CF283207E0} - (no file) O2 - BHO: Flash Module - {B8754114-53BA-4b82-9B87-AB07B3AC07BB} - btasv.dll (file missing) O2 - BHO: (no name) - {E43C06B3-3518-4A2D-847B-D155A324AF86} - (no file) O4 - HKLM\..\Run: [runwinlogon] C:\WINDOWS\winlogon.exe O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dllСистема будет перезагружена. После перезагрузки, карантин AVZ загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=23647 , как написано в прил. 3 правил, и повторите логи, начиная с п. 10 правил.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\msindeo.dll',''); QuarantineFile('C:\WINDOWS\System32\Drivers\yfK51.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\cmylpaph.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\wcH51.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\vbG73.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\kpU84.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Jqw05.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\flQ62.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\ekP73.sys',''); QuarantineFile('C:\WINDOWS\winlogon.exe',''); QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll',''); QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll',''); QuarantineFile('c:\windows\winlogon.exe',''); TerminateProcessByName('c:\windows\winlogon.exe'); DeleteFile('c:\windows\winlogon.exe'); BC_DeleteFile('c:\windows\winlogon.exe'); DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll'); BC_DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll'); DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll'); BC_DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll'); DeleteFile('C:\WINDOWS\winlogon.exe'); BC_DeleteFile('C:\WINDOWS\winlogon.exe'); DeleteFile('C:\WINDOWS\system32\srvany.exe'); BC_DeleteFile('C:\WINDOWS\system32\srvany.exe'); DeleteFile('C:\WINDOWS\System32\Drivers\Afk27.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\Afk27.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\ekP73.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\flQ62.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\Jqw05.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\kpU84.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\vbG73.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\wcH51.sys'); BC_DeleteFile('C:\WINDOWS\system32\drivers\cmylpaph.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\yfK51.sys'); BC_Deletesvc('yfK51'); BC_Deletesvc('wwlreaji'); BC_Deletesvc('wcH51'); BC_Deletesvc('vbG73'); BC_Deletesvc('kpU84'); BC_Deletesvc('Jqw05'); BC_Deletesvc('ekP73'); BC_Deletesvc('flQ62'); BC_Deletesvc('Reset 5'); BC_Deletesvc('PO system service'); BC_Deletesvc('Kbdctdiru'); BC_ImportquarantineList; BC_Activate; ExecuteSysClean; end.
скрипты выпонены. карантин закачал.
скрипты чуть позже, пока не успеваю.
сделал, смотрите!
Последний раз редактировалось antivor; 23.06.2008 в 16:31.
Пофиксите с помощью Hijackthis строку:Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:Код:O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)Система будет перезагружена. После перезагрузки, повторите логи, начиная с п. 10 правил.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys'); DeleteFile('ddsxeiservice.sys'); DeleteFile('C:\WINDOWS\System32\drivers\ddsxeiservice.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\ddsxeiservice.sys'); BC_DeleteSvc('ddsxeiservice'); BC_DeleteSvc('tcpsr'); BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Добавлено через 5 минут
В дополнение, для статистики, в карантине были:
C:\WINDOWS\system32\WinCtrl32.dll - Trojan.DownLoader.61474
C:\WINDOWS\system32\WLCtrl32.dll - Trojan.DownLoader.59701
C:\WINDOWS\winlogon.exe - Trojan.Spambot.3202
(по классификации DrWeb)
Последний раз редактировалось Numb; 30.05.2008 в 09:38. Причина: Добавлено
Сделал все, новые логи сделал.
Последний раз редактировалось antivor; 23.06.2008 в 16:30.
Еще раз выполните скрипт в таком виде:После перезагрузки, повторите логи, начиная с п. 10 правил (для экономии вашего же времени, лог лечения AVZ можно не делать, только лог исследования системы.)Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('tcpsr'); DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys'); bc_DeleteSvc('tcpsr'); BC_Activate; ExecuteSysClean; RebootWindows(true); end.
ситуация, к сожалению, усложнилась. в момент моего отстутсвия системник был поюзан хозяином. судя по всему с выходом в инет.
почему я так думаю - в логах увидите, появилось кое-что новенькое
В общем выкладываю...
давайте добьем эту заразу.
Последний раз редактировалось antivor; 23.06.2008 в 16:30.
хотел уточнить, последний скрипт, указанные Numb, выполнен. логи сделаны после его выполнения.
Отключите восстановление системы!
Пофиксить
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".Код:O2 - BHO: (no name) - {7ACB5731-5839-13AB-EABC-124791194525} - C:\WINDOWS\system32\msindeo.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
Пришлите карантин и повторите логи.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\iykers.exe',''); QuarantineFile('C:\WINDOWS\Temp\BN2B.tmp',''); QuarantineFile('C:\WINDOWS\system32\msindeo.dll',''); DeleteFile('C:\WINDOWS\system32\msindeo.dll'); DeleteFile('C:\WINDOWS\Temp\BN2B.tmp'); DeleteFile('C:\System Volume Information\_restore{3EAA97FC-EA43-45D4-96D7-3939AC68D37C}\RP1\A0001068.dll'); DeleteFile('C:\System Volume Information\_restore{3EAA97FC-EA43-45D4-96D7-3939AC68D37C}\RP1\A0001069.dll'); DeleteFile('C:\iykers.exe'); DelBHO('{855F3B16-6D32-4fe6-8A56-BBB695989046}'); DelBHO('{7ACB5731-5839-13AB-EABC-124791194525}'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
новый комплект логов. скрипт выполнил. восстановление системы отрубил.
Последний раз редактировалось antivor; 23.06.2008 в 16:30.
Теперь чисто,почти
Нужно обновить систему:
Жалобы есть?Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Жалоба одна - хозяин компа )))) одолел.
спасибо большое за помощь, завтра отдам ему железо, пущай дальше мучит, может, научится чему. хотя вряд ли.
про обновление понял, благодарю еще раз!
Уважаемый(ая) antivor, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.