Junior Member
Вес репутации
59
после установки нового антивируса одолели вирусы
Установил новый антивирус.Он нашел пару десятков вирусов.Справиться с ними не может и не дает работать,приходиться постоянно еге отключать.В целом компюьтер работает, но сильно тормозит.
Антивирус находит TR/Dldr.Agent, но ничего с ним сделать не может
Вложения
Последний раз редактировалось Rene-gad; 21.07.2008 в 16:17 .
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Отключите антивирус и интернет!
Пофиксить
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\regwiz.exe,
O4 - HKCU\..\Run: [Firewall auto setup] C:\WINDOWS\TEMP\winlogon.exe
O4 - HKCU\..\Run: [herjek] C:\WINDOWS\herjek.exe
O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
O4 - HKUS\S-1-5-18\..\Run: [herjek] C:\WINDOWS\herjek.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [totacon] C:\WINDOWS\totacon.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [herjek] C:\WINDOWS\herjek.exe (User 'Default user')
O17 - HKLM\System\CCS\Services\Tcpip\..\{646E2D26-0C7A-454C-837C-C4B1F8DDA2DB}: NameServer = 85.255.116.94,85.255.112.62
O17 - HKLM\System\CCS\Services\Tcpip\..\{A9B6E160-8512-465D-99EE-73F3DC5EBBE9}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.94 85.255.112.62
O17 - HKLM\System\CS1\Services\Tcpip\..\{646E2D26-0C7A-454C-837C-C4B1F8DDA2DB}: NameServer = 85.255.116.94,85.255.112.62
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.94 85.255.112.62
O19 - User stylesheet: C:\WINDOWS\387667.css
O20 - Winlogon Notify: WinCtrl - C:\WINDOWS\SYSTEM32\WinCtrl.dll
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\amvo1.dll','');
QuarantineFile('globalroot\systemroot\system32\drivers\clbdriver.sys','');
QuarantineFile('C:\WINDOWS\twain_16.dll','');
QuarantineFile('kdkpr.exe','');
QuarantineFile('WinCtrl.dll','');
QuarantineFile('C:\WINDOWS\totacon.exe','');
QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
QuarantineFile('C:\WINDOWS\herjek.exe','');
QuarantineFile('C:\WINDOWS\TEMP\winlogon.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Uaf84.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\secdrv.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\runtime2.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\msthreat.sys','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl.dll','');
QuarantineFile('C:\WINDOWS\system32\msthreat.dll','');
QuarantineFile('C:\WINDOWS\system32\baseiolg32.dll','');
DeleteService('runtime2');
DeleteService('kprof');
DeleteService('Uaf84');
DeleteService('Secdrv');
DeleteService('tcpsr');
DeleteFile('C:\WINDOWS\system32\baseiolg32.dll');
DeleteFile('C:\WINDOWS\system32\msthreat.dll');
DeleteFile('C:\WINDOWS\system32\WinCtrl.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS');
DeleteFile('C:\WINDOWS\system32\kprof');
DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
DeleteFile('C:\WINDOWS\system32\DRIVERS\secdrv.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\system32\drivers\msthreat.sys ');
DeleteFile('C:\WINDOWS\System32\Drivers\Uaf84.sys');
DeleteFile('C:\WINDOWS\TEMP\winlogon.exe');
DeleteFile('C:\WINDOWS\herjek.exe');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('C:\WINDOWS\totacon.exe');
DeleteFile('WinCtrl.dll');
DeleteFile('kdkpr.exe');
DeleteFile('globalroot\systemroot\system32\drivers\clbdriver.sys');
DeleteFile('C:\WINDOWS\system32\amvo1.dll');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
DeleteFile(' C:\WINDOWS\system32\kdkpr.exe');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('runtime2 ');
BC_DeleteSvc('kprof ');
BC_DeleteSvc('Uaf84 ');
BC_DeleteSvc('Secdrv ');
BC_DeleteSvc('tcpsr ');
BC_Activate;
RebootWindows(true);
end.
Пришлите карантин по правилам и повторите логи...
Junior Member
Вес репутации
59
Вложения
C:\WINDOWS\system32\userinit.exe - Trojan.Win32.Pakes.ddu нужно заменить на чистый ...
выполните скрипт ...
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\twain_16.dll','');
QuarantineFile('C:\WINDOWS\SYSTEM32\Userinit.exe','');
DeleteService('qqd.sys');
QuarantineFile('C:\qqd.sys','');
DeleteService('poof');
QuarantineFile('C:\WINDOWS\system32\poof','');
DeleteFile('C:\WINDOWS\system32\poof');
DeleteFile('C:\qqd.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
Junior Member
Вес репутации
59
если честно не понял что необходимо сделать скрипта
Добавлено через 1 минуту
извини, вопрос до скрипта
Последний раз редактировалось msi; 22.07.2008 в 12:45 .
Причина: Добавлено
Junior Member
Вес репутации
59
готовлю логи
Добавлено через 17 минут
карантин пуст ,для обнаружения сделал все, сейчас вылетает TR/CRIPT.XPACK.GEN, что делать
Последний раз редактировалось msi; 22.07.2008 в 13:37 .
Причина: Добавлено
Замените файл C:\WINDOWS\system32\userinit.exe файлом с дистрибутива или из папки C:\WINDOWS\ServicePackFiles\i386. Нужно загрузиться с любого LIVE-CD и заменить.
Потом сделайте логи по правилам.
Junior Member
Вес репутации
59
все указанное сделал,высылаю логи
Вложения
В логах чисто. Как работает система? Нужно установить Сервис Пак 3.
Junior Member
Вес репутации
59
Сканирую диски ....по результатам видно будет
Сообщение от
msi
Сканирую диски ...
Чем сканируете?
Junior Member
Вес репутации
59
смущает в ветке run реестра параметр
KernelFaultCheck со значением %systemroot%\system32\dumprep 0 -k
Добавлено через 36 секунд
Avir Antivir
Добавлено через 44 секунды
Странно но DrWeb до вообще ничего не находил
Последний раз редактировалось msi; 22.07.2008 в 15:20 .
Причина: Добавлено
По порядку:
1.
Код:
%systemroot%\system32\dumprep 0 -k
- можно пофиксить, чтобы не смущал. Это дамп от Др.Ватсона.
2. Avir Antivir...Странно но DrWeb до вообще ничего не находил
Ничего странного: Детект у Авиры намного лучше, хотя и ложняков много. Если какие-то файлы Авира задетектит, как вирус, а Вы в этом сомневаетесь, закачайте их тут: http://analysis.avira.com/samples/index.php
Сообщение от
msi
TR/Agent.gnw Trojan -Avir нашел
WORM/zhelatin.yw
В каких файлах нашел? Плиз эти файлы закачайте по приложению 2 и 3 правил.
Сканлог Авиры прикрепите после окончания скана к сообщению.
Junior Member
Вес репутации
59
TR/Agent.gnw Trojan -Avir нашел
Добавлено через 53 секунды
WORM/zhelatin.yw
RKT/clbd.bj
Добавлено через 13 минут
если честно не пойму как сформировать карантин
из файлов которые Avir нашел
Добавлено через 7 минут
log avir выслал посмотреть
карантин из файлов по списку не удается сфорсировать-avz пишет ошибка прямого чтения
Добавлено через 1 минуту
"сфорсировать"- сформировать :-)
Последний раз редактировалось msi; 22.07.2008 в 15:51 .
Причина: Добавлено
Сообщение от
msi
если честно не пойму как сформировать карантин
из файлов которые Avir нашел
эти файлы переименованы и находятся в папке Quarantine где-то в папке Авиры - читайте мануал
Сообщение от
msi
log avir выслал посмотреть
Кому? Читайте что и как высылать в моих предыдущих сообщениях.
AVZ - Сервис - Поиск файлов на диске - Найти файлы в карантине Авиры и добавить их в карантин AVZ
Затем зархивировать и прислать.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
59
авир справился с последними проблемами,как выразить вам благодарность за оказанную помощь?
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 50 В ходе лечения обнаружены вредоносные программы:
c:\\autorun.inf - Worm.Win32.AutoRun.ehx c:\\windows\\system32\\amvo1.dll - Trojan-GameThief.Win32.OnLineGames.sisd (DrWEB: Trojan.Nsanti.Packed) c:\\windows\\system32\\kdkpr.exe - Trojan.Win32.Monder.gen (DrWEB: Trojan.Virtumod.based.14) c:\\windows\\system32\\userinit.exe - Trojan.Win32.Pakes.ddu (DrWEB: Trojan.PWS.FTPlich.2) c:\\windows\\system32\\winctrl.dll - Trojan.Win32.Inject.dki (DrWEB: Trojan.Inject.4604) c:\\windows\\totacon.exe - Email-Worm.Win32.Zhelatin.za (DrWEB: Trojan.Packed.46 d:\\autorun.inf - Worm.Win32.AutoRun.ehx