Junior Member
Вес репутации
58
ТАкая проблема
Перестал воиспроизводиться звук с таких сайтов как Рутуб Ютуб Вконтакте и etc...
Переустановка всех надстроект типа Flash Player не помогли
Перестали скачиваться приложения ссылаясь на "Невозможно отообразить страницу"
НЕ запускается приложение FireFox не выдавая при этом никаких ошибок
Avast ничего не показал
Что либо другое поставить не удалось
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
скачайте -
все что найдется из этого списка
C:\WINDOWS\system32\Drivers\Din73.sys
C:\WINDOWS\system32\Drivers\Msx05.sys
C:\WINDOWS\System32\drivers\tcpsr.sys
C:\WINDOWS\system32\DRIVERS\Ude19.sys
C:\WINDOWS\system32\Drivers\Wingm27.sys
- force delete (правой кнопкой мыши)
затем выполните скрипт в авз ...
Код:
begin
QuarantineFile('','');
SetAVZGuardStatus(True);
QuarantineFile('WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\msauc.exe','');
QuarantineFile('C:\WINDOWS\herjek.exe','');
QuarantineFile('C:\WINDOWS\helloserv.exe','');
QuarantineFile('C:\WINDOWS\TEMP\winlogon.exe','');
BC_DeleteSvc('Wingl73');
BC_DeleteSvc('Winkp16');
BC_DeleteSvc('Winlq16');
BC_DeleteSvc('Winns38');
BC_DeleteSvc('Winye38');
BC_DeleteSvc('Wingm27');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wingm27.sys','');
BC_DeleteSvc('tcpsr');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
BC_DeleteSvc('Msx05');
QuarantineFile('C:\WINDOWS\System32\Drivers\Msx05.sys','');
BC_DeleteSvc('Din73');
QuarantineFile('C:\WINDOWS\System32\Drivers\Din73.sys','');
BC_DeleteSvc('avast!Browser');
BC_DeleteSvc('COMSysAppclr_optimization_v2.0.50727_32');
BC_DeleteSvc('FastUserSwitchingCompatibilityWmdmPmSN');
BC_DeleteSvc('HTTPFilterwinmgmt');
BC_DeleteSvc('ImapiServiceMSDTC');
BC_DeleteSvc('Netmanmnmsrvc');
BC_DeleteSvc('ProtectedStorageCOMSysApp');
BC_DeleteSvc('ProtectedStoragewscsvcProtectedStorageCOMSysApp');
BC_DeleteSvc('RasAutoSpooler');
BC_DeleteSvc('TapiSrvWmi');
BC_DeleteSvc('TlntSvrRSVP');
BC_DeleteSvc('WmiWmiApSrv');
BC_DeleteSvc('wscsvcProtectedStorageCOMSysApp');
BC_DeleteSvc('WZCSVCHTTPFilter');
BC_DeleteSvc('ZZZsvc_lich');
QuarantineFile('C:\lich.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Wingm27.sys','');
QuarantineFile('Ude19.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Msx05.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Din73.sys','');
QuarantineFile('\??\globalroot\systemroot\system32\drivers\clbdriver.sys','');
QuarantineFile('C:\WINDOWS\xmlmimefilter.dll','');
QuarantineFile('C:\WINDOWS\system32\WinNt64.dll','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\basejkv32.dll','');
QuarantineFile('c:\windows\msauc.exe','');
DeleteFile('c:\windows\msauc.exe');
DeleteFile('C:\WINDOWS\system32\basejkv32.dll');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\WinNt64.dll');
DeleteFile('C:\WINDOWS\xmlmimefilter.dll');
DeleteFile('\??\globalroot\systemroot\system32\drivers\clbdriver.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Din73.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Msx05.sys');
DeleteFile('Ude19.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Wingm27.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Din73.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Msx05.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wingm27.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wingl73.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winkp16.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winlq16.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winns38.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winye38.sys');
DeleteFile('C:\WINDOWS\TEMP\winlogon.exe');
DeleteFile('C:\WINDOWS\helloserv.exe');
DeleteFile('C:\WINDOWS\herjek.exe');
DeleteFile('C:\WINDOWS\msauc.exe');
DeleteFile('WinCtrl32.dll');
DeleteFile('WinNt64.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
Junior Member
Вес репутации
58
вот, архив карантина пришлось выслать 2-й раз т.к. добавился новый файл
Вложения
в IceSword удаление производитось ? если нет все операции проделать поновой
Junior Member
Вес репутации
58
если в IceSword нужно было искать в процессах - то там ничего небыло
если нет - тогда где прочитать где удалять )
Junior Member
Вес репутации
58
Вложения
Восст системы надо отключить обязательно!
Карантин не был загружен!!!
Все надо будет проделывать еще раз.
Через IceSword удалить:
Код:
C:\WINDOWS\system32\Drivers\Msx05.sys
C:\WINDOWS\System32\drivers\tcpsr.sys
Ude19.sys
C:\WINDOWS\system32\Drivers\Wingm27.sys
Затем Скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\lich.sys','');
DeleteService('ZZZdrv_lich');
SetServiceStart('Wingm27', 4);
DeleteService('Msx05');
SetServiceStart('Msx05', 4);
DeleteService('Din73');
SetServiceStart('Din73', 4);
QuarantineFile('srv.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Wingm27.sys','');
QuarantineFile('Ude19.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Msx05.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\Msx05.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('Ude19.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Wingm27.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Din73.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Msx05.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wingm27.sys');
DeleteFile('C:\lich.sys');
DeleteFile('WinCtrl32.dll');
DeleteFile('WinNt64.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
58
Сделали.
Карантин пустой.
Сейчас всё видео/аудио воспроизводится со звуком. Спасибо!!
Вложения
Живучая сволочь.
Опять в IceSword убивать:
C:\WINDOWS\System32\drivers\tcpsr.sys
C:\WINDOWS\System32\Drivers\Pvb62.sys
Профиксить:
Код:
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
O20 - Winlogon Notify: WinNt64 - C:\WINDOWS\
Выполнить:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\Drivers\Pvb62.sys','');
DeleteService('wuauservNla');
DeleteService('wscsvcProtectedStorageCOMSysAppCOMSysApp');
DeleteService('WmiApSrvRemoteAccess');
DeleteService('WmdmPmSNupnphost');
DeleteService('stisvcRasMan');
DeleteService('SoundMAXTrkWks');
DeleteService('SamSsImapiService');
DeleteService('mnmsrvcdmserver');
DeleteService('LmHostsShellHWDetection');
DeleteService('FCINtLmSspDnscache');
DeleteService('FCINtLmSsp');
DeleteService('EventSystemNtLmSsp');
DeleteService('EventlogNla');
DeleteService('DcomLaunchNetDDEdsdm');
DeleteService('COMSysAppCiSvc');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Логи попробуй удалить из директории Logs и сделать заново.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
58
Вложения
Junior Member
Вес репутации
58
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Pvb62.sys');
BC_DeleteSvc('wuauservNla');
BC_DeleteSvc('wscsvcProtectedStorageCOMSysAppCOMSysApp');
BC_DeleteSvc('WmiApSrvRemoteAccess');
BC_DeleteSvc('WmdmPmSNupnphost');
BC_DeleteSvc('stisvcRasMan');
BC_DeleteSvc('SoundMAXTrkWks');
BC_DeleteSvc('SamSsImapiService');
BC_DeleteSvc('mnmsrvcdmserver');
BC_DeleteSvc('LmHostsShellHWDetection');
BC_DeleteSvc('FCINtLmSspDnscache');
BC_DeleteSvc('FCINtLmSsp');
BC_DeleteSvc('EventSystemNtLmSsp');
BC_DeleteSvc('EventlogNla');
BC_DeleteSvc('DcomLaunchNetDDEdsdm');
BC_DeleteSvc('COMSysAppCiSvc');
BC_Activate;
RebootWindows(true);
end.
Повторить логи с п.10
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
58
Как мы поняли. п. 8 не нужно было выполнять..
Вложения
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 16 В ходе лечения обнаружены вредоносные программы:
c:\\system volume information\\_restore{e259c42a-fcfb-4008-9106-1f9367ae2912}\\rp93\\a0044108.dll - Trojan.Win32.Small.alk (DrWEB: Trojan.MulDrop.11845) c:\\system volume information\\_restore{e259c42a-fcfb-4008-9106-1f9367ae2912}\\rp93\\a0069622.exe - Trojan.PHP.Turame.a (DrWEB: Trojan.Roro) c:\\windows\\helloserv.exe - Email-Worm.Win32.Zhelatin.zy (DrWEB: Trojan.DownLoader.62867) c:\\windows\\herjek.exe - Email-Worm.Win32.Zhelatin.zb (DrWEB: Trojan.Packed.46 c:\\windows\\msauc.exe - Trojan.Win32.Agent.quj (DrWEB: Trojan.PWS.ICQSniff.25) c:\\windows\\system32\\basejkv32.dll - Trojan.Win32.SubSys.dr (DrWEB: Trojan.Okuks.based) c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.agm (DrWEB: Trojan.DownLoader.63553) c:\\windows\\system32\\winnt64.dll - Trojan-Downloader.Win32.Mutant.aer (DrWEB: Trojan.DownLoader.63655)