Junior Member
Вес репутации
58
Не могу вычистить
В процессах висит много процессов service (причем завершаются все кроме одного), в профиле появляется svhost.exe, dll-ка (отправил на сайт), которая сканить нажатия клавы и мыши... Антивирус блокируется, даже AVZ не запускался, пока не переименовал...
Через некоторое время после логина в систему, пропадает возможность что-либо запустить, ругается, что нет такого файла (хотя фактически конечно есть)...
Сканирование и чистка ничего не дала: чего-то удаляет, чего-то ругает, требует перезагрузку, после которой снова тоже самое...
Требуемые логи в аттаче.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Пофиксите в HijackThis:
Код:
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,C:\WINNT\system32\drivers\services.exe
O4 - HKLM\..\Run: [[system]] C:\WINNT\system32\drivers\services.exe
O4 - HKLM\..\Run: [winlogon] C:\Documents and Settings\Корнева\svchost.exe
O4 - HKCU\..\Run: [[system]] C:\WINNT\system32\drivers\services.exe
O4 - HKCU\..\Run: [winlogon] C:\Documents and Settings\Корнева\svchost.exe
O4 - HKUS\.DEFAULT\..\Run: [[system]] C:\WINNT\system32\drivers\services.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [winlogon] C:\Documents and Settings\Default User\svchost.exe (User 'Default user')
O4 - .DEFAULT Startup: userinit.exe (User 'Default user')
O4 - .DEFAULT User Startup: userinit.exe (User 'Default user')
O4 - Startup: userinit.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Default User\svchost.exe','');
QuarantineFile('C:\Program Files\Common Files\System\apcsvra.dll','');
QuarantineFile('C:\WINNT\system32\drivers\fsfgin.sys','');
QuarantineFile('C:\Documents and Settings\Корнева\ie_updates3r.exe','');
QuarantineFile('C:\WINNT\system32\ftp34.dll','');
QuarantineFile('C:\WINNT\system32\drivers\services.exe','');
QuarantineFile('C:\WINNT\system32\basegqx32.dll','');
QuarantineFile('C:\Documents and Settings\Корнева\Главное меню\Программы\Автозагрузка\userinit.exe','');
QuarantineFile('C:\Documents and Settings\Корнева\svchost.exe','');
QuarantineFile('C:\Documents and Settings\Корнева\ftp34.dll','');
DeleteFile('C:\Documents and Settings\Корнева\ftp34.dll');
DeleteFile('C:\Documents and Settings\Корнева\svchost.exe');
DeleteFile('C:\Documents and Settings\Корнева\Главное меню\Программы\Автозагрузка\userinit.exe');
DeleteFile('C:\WINNT\system32\drivers\services.exe');
DeleteFile('C:\WINNT\system32\ftp34.dll');
DeleteFile('C:\Documents and Settings\Корнева\ie_updates3r.exe');
DeleteFile('C:\WINNT\system32\drivers\fsfgin.sys');
DeleteFile('C:\Program Files\Common Files\System\apcsvra.dll');
DeleteFile('C:\Documents and Settings\Default User\svchost.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-776561741-1606980848-854245398-1241\Dc5.EXE');
DeleteFile('C:\RECYCLER\S-1-5-21-776561741-1606980848-854245398-1241\Dc6.EXE');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(1);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=24806 ).
Сделайте новые логи, начиная с п.10 правил.
I am not young enough to know everything...
Junior Member
Вес репутации
58
Спасибо, вроде почистилось. Карантин отослал.
Вложения
Пофиксите в HijackThis:
Код:
O4 - .DEFAULT Startup: userinit.exe (User 'Default user')
O4 - .DEFAULT User Startup: userinit.exe (User 'Default user')
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINNT\system32\basegqx32.dll');
BC_DeleteFile('C:\WINNT\system32\basegqx32.dll');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новые логи, начиная с п.10 правил.
I am not young enough to know everything...
Junior Member
Вес репутации
58
После выполнения скрипта, комп просто постоянно перегружается... Хоть в безопасном, хоть в обычном режимах..
А!!!...
Надо загрузиться с Live CD (или подцепить диск к другой машине) и скопировать C:\WINNT\system32\basesrv.dll на место удалённого C:\WINNT\system32\basegqx32.dll
На всякий случай уточню:
Надо сделать копию файла C:\WINNT\system32\basesrv.dll в этой же папке, но под именем basegqx32.dll .
I am not young enough to know everything...
Junior Member
Вес репутации
58
На всякий случай уточню... Загрузиться с Live-CD и просто сделать копию имещегося файла в систем32 под другим именем?
I am not young enough to know everything...
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 8 В ходе лечения обнаружены вредоносные программы:
c:\\documents and settings\\default user\\svchost.exe - P2P-Worm.Win32.Socks.ea (DrWEB: Trojan.DownLoader.63152) c:\\documents and settings\\корнева\\ftp34.dll - Trojan-Downloader.Win32.Agent.nsx (DrWEB: Trojan.DownLoader.63153) c:\\documents and settings\\корнева\\svchost.exe - P2P-Worm.Win32.Socks.ea (DrWEB: Trojan.DownLoader.63152) c:\\documents and settings\\корнева\\главное меню\\программы\\автозагрузка\\userinit.exe - P2P-Worm.Win32.Socks.ea (DrWEB: Trojan.DownLoader.63152) c:\\program files\\common files\\system\\apcsvra.dll - Trojan.Win32.Pakes.cot (DrWEB: Trojan.Inject.302 c:\\winnt\\system32\\basegqx32.dll - Trojan.Win32.SubSys.eg (DrWEB: Trojan.Okuks.based) c:\\winnt\\system32\\drivers\\services.exe - P2P-Worm.Win32.Socks.ea (DrWEB: Trojan.DownLoader.63152) c:\\winnt\\system32\\ftp34.dll - Trojan-Downloader.Win32.Agent.nsx (DrWEB: Trojan.DownLoader.63153)