Добрый день.Терроризирует этот "мутант".Trojan-Downloader.Win32.Mutant.aim Каждый раз при последующем сканировании файл переименовывается.Активируется только при подключении к интернету.Помогите пожалуйста.
Добрый день.Терроризирует этот "мутант".Trojan-Downloader.Win32.Mutant.aim Каждый раз при последующем сканировании файл переименовывается.Активируется только при подключении к интернету.Помогите пожалуйста.
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Пришлите карантин по правилам и повторите логи...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\blwjytgk.dll',''); QuarantineFile('C:\RECYCLER\S-1-5-21-606747145-308236825-725345543-500\Dc134\antivirus-2008pro.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\NPZF0WAA\Antivirus2008PRO[1].exe',''); QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temp\dssc32.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temp\bindsrv2.exe',''); DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}'); DelBHO('{55D17579-F6FF-4A63-981B-6683F99B9972}'); DelBHO('{28EAB8D9-308A-4E1C-BBDE-ED6A5A3CB0B2}'); DelBHO('{186CCB6D-D302-40DE-B08E-870643695DC7}'); QuarantineFile('C:\WINDOWS\wnslvxtf.dll',''); DeleteService('Winxb82'); DeleteService('Winva58'); DeleteService('Winva14'); DeleteService('Wintw47'); DeleteService('Winpt71'); DeleteService('Winpt26'); DeleteService('Winpt04'); DeleteService('Winns26'); DeleteService('Winnr04'); DeleteService('Winko61'); DeleteService('Winko47'); DeleteService('Winkn14'); DeleteService('Winkn03'); DeleteService('Winhl71'); DeleteService('Winhl14'); DeleteService('Wingk37'); DeleteService('Winfj72'); DeleteService('Windh71'); DeleteService('Windh15'); DeleteService('Winae26'); QuarantineFile('C:\WINDOWS\System32\Drivers\Winxb82.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winva58.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winva14.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Wintw47.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winpt71.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winpt26.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winpt04.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winns26.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winnr04.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winko61.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winko47.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winkn14.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winkn03.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winhl71.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winhl14.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Wingk37.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winfj72.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Windh71.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Windh15.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winae26.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\Winwa25.sys',''); QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll',''); QuarantineFile('C:\WINDOWS\system32\qoMCroLC.dll',''); QuarantineFile('C:\WINDOWS\system32\opnoooPg.dll',''); QuarantineFile('C:\WINDOWS\system32\fnffwtcj.dll',''); QuarantineFile('C:\WINDOWS\eqvwamkl.dll',''); DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL'); DeleteFile('C:\WINDOWS\eqvwamkl.dll'); DeleteFile('C:\WINDOWS\system32\fnffwtcj.dll'); DeleteFile('C:\WINDOWS\system32\opnoooPg.dll'); DeleteFile('C:\WINDOWS\system32\qoMCroLC.dll'); DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll'); DeleteFile('C:\WINDOWS\System32\drivers\Winwa25.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winae26.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Windh15.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Windh71.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winfj72.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Wingk37.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winhl14.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winhl71.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winkn03.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winkn14.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winko47.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winko61.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winnr04.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winns26.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winpt04.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winpt26.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winpt71.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Wintw47.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winva14.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winva58.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winxb82.sys'); DeleteFile('C:\WINDOWS\wnslvxtf.dll'); DeleteFile('opnoooPg.dll'); DeleteFile('C:\WINDOWS\nfavxwdbska.dll'); DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\bindsrv2.exe'); DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\dssc32.exe'); DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\NPZF0WAA\Antivirus2008PRO[1].exe'); DeleteFile('C:\RECYCLER\S-1-5-21-606747145-308236825-725345543-500\Dc134\antivirus-2008pro.exe'); DeleteFile('C:\WINDOWS\system32\blwjytgk.dll'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Карантин выслан,логи прикреплены.
Скачайте IceSword , поищите файлы:
Сначала с помощью опции copy - скопируйте его куда-нибудь, чтобы нам прислать (см. правила Приложение 3), а потом удалите его через опцию force deleteКод:C:\WINDOWS\System32\drivers\Winbf71.sys
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
-Пофиксите
- Выполните скриптКод:O2 - BHO: (no name) - {45878655-7F3C-4A39-B037-A96D8D9FE3CB} - C:\WINDOWS\system32\qoMCroLC.dll (file missing) O2 - BHO: (no name) - {55D17579-F6FF-4A63-981B-6683F99B9972} - C:\WINDOWS\system32\opnoooPg.dll (file missing) O4 - HKLM\..\Run: [242c6d78] rundll32.exe "C:\WINDOWS\system32\qltlvcrc.dll",b O4 - HKLM\..\Run: [BM271f5ee4] Rundll32.exe "C:\WINDOWS\system32\ylkhpwug.dll",s O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.59 85.255.112.218 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.59 85.255.112.218 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.59 85.255.112.218 O20 - Winlogon Notify: opnoooPg - C:\WINDOWS\ O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('Winbf71'); DeleteService('Winae72'); DeleteService('Winjm83'); DeleteService('Winwa25'); QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winbf71.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winwa25.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winjm83.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winae72.sys',''); QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\Eps_Reg.exe',''); QuarantineFile('C:\WINDOWS\system32\ylkhpwug.dll',''); QuarantineFile('C:\WINDOWS\system32\qltlvcrc.dll',''); DeleteFile('C:\WINDOWS\system32\qltlvcrc.dll'); DeleteFile('C:\WINDOWS\system32\ylkhpwug.dll'); DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\Eps_Reg.exe'); DeleteFile('C:\WINDOWS\System32\Drivers\Winae72.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winjm83.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winwa25.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winbf71.sys'); DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('Winbf71'); BC_DeleteSvc('Winae72'); BC_DeleteSvc('Winjm83'); BC_DeleteSvc('Winwa25'); BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху страницы.
- Прикрепите логи к новому сообщению.
C:\WINDOWS\System32\drivers\Winbf71.sys - искомый файл не обнаружен
1.Не удалось пофиксить полностью.Отсутствует строка:
O4 - HKLM\..\Run: [BM271f5ee4] Rundll32.exe "C:\WINDOWS\system32\ylkhpwug.dll",s
2.Выполнил скрипт
3.почистил темп-папки, кэш проводников и корзину.
4.Карантин закачан,логи прикрепил.
выполните скрипт ...
повторите логи ....Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('Winbe15'); DeleteFile('C:\WINDOWS\System32\Drivers\Winbe15.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
При перезагрузках системы появляется следующее:
CPU Fan Error!
Pres F1 to Resume.
После нажатия F1 система загружается....
скрипт выполнен,логи прикреплены...
CPU Fan Error! - у вас проблемы с вентилятором на процессоре .... это серьезно проверте его работоспособность ....
в логах ничего плохого нет ...
Поактивная защита:
Модуль:\Driver\IsDrv122 - Обнаружен клавиатурный перехватчик...
это IceSword
Огромное Спасибо Всем спецам за помощь!
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 63
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\i386\\svcpack\\clean.exe - Trojan.Win32.Agent.aeez
- c:\\windows\\system32\\qltlvcrc.dll - Trojan.Win32.Monder.epx (DrWEB: Trojan.Virtumod.based.23)
- c:\\windows\\system32\\ylkhpwug.dll - Trojan.Win32.Monder.eqo (DrWEB: Trojan.Virtumod.based.23)
Уважаемый(ая) Flunaspik, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.