Прошу помощи в лечении!
Прошу помощи в лечении!
Последний раз редактировалось vector; 08.11.2009 в 16:25.
Вы CureIt ом проверялись? Если нет - сделайте как написано в прявилах прежде чем дальше пойдете.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
-Пофиксите
- Выполните скриптКод:F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe O2 - BHO: deapi - {7FB39539-665D-4D47-873C-D3FD9719FC3A} - C:\WINDOWS\system32\deapi.dll O2 - BHO: ADSTechnology module - {831CBAC0-8283-4653-9D81-FEB9F3F6E47C} - C:\Program Files\ADSTechnology\ADSTechnology.dll O2 - BHO: ActivationManager module - {86A44EF7-78FC-4e18-A564-B18F806F7F56} - C:\Program Files\ActivationManager\ActivationManager.dll (file missing) O4 - HKLM\..\Run: [Nbect Control] nwdrvte.exe O4 - HKLM\..\RunOnce: [Install completion] desme.exe O4 - HKLM\..\Policies\Explorer\Run: [Internet Service] rtlib.exe O4 - Global Startup: mfserver.lnk = ?
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('Phh74'); DeleteService('Phc75'); DeleteService('Upf44'); QuarantineFile('C:\WINDOWS\system32\updceb.exe',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Phh74.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Phc75.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Upf44.sys',''); QuarantineFile('C:\WINDOWS\system32\nwdrvte.exe',''); QuarantineFile('C:\WINDOWS\system32\rtlib.exe',''); QuarantineFile('C:\WINDOWS\system32\viwc.exe',''); QuarantineFile('C:\WINDOWS\system32\desme.exe',''); DelBHO('{7FB39539-665D-4D47-873C-D3FD9719FC3A}'); QuarantineFile('C:\WINDOWS\system32\deapi.dll',''); DelBHO('{831CBAC0-8283-4653-9D81-FEB9F3F6E47C}'); QuarantineFile('C:\Program Files\ADSTechnology\ADSTechnology.dll',''); DelBHO('{86A44EF7-78FC-4e18-A564-B18F806F7F56}'); QuarantineFile('C:\Program Files\ActivationManager\ActivationManager.dll',''); DelCLSID('{5E2121EE-0300-11D4-8D3B-444553540000}'); DeleteFile('C:\Program Files\ActivationManager\ActivationManager.dll'); DeleteFile('C:\Program Files\ADSTechnology\ADSTechnology.dll'); DeleteFile('C:\WINDOWS\system32\deapi.dll'); DeleteFile('C:\WINDOWS\system32\desme.exe'); DeleteFile('C:\WINDOWS\system32\viwc.exe'); DeleteFile('C:\WINDOWS\system32\rtlib.exe'); DeleteFile('C:\WINDOWS\system32\nwdrvte.exe'); DeleteFile('C:\WINDOWS\System32\Drivers\Upf44.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Phc75.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Phh74.sys'); DeleteFile('C:\WINDOWS\system32\updceb.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('Phh74'); BC_DeleteSvc('Phc75'); BC_DeleteSvc('Upf44'); BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Cureitom все прошел в самом начале. Почти ним сутки проганял.
По вашему первому ответу сделал все по полочкам.
Досылаю вложения. Помоему ничего не изменилось
Последний раз редактировалось vector; 08.11.2009 в 16:25.
то есть?
Откройте редактор реестра, пройдите по очереди к папкам и удалите ключи
Потом выполните скриптКод:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce - Install completion HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run - Nbect Control HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run - Internet Service
После перезагрузки логи начиная от п.10 правил - в студию.Код:begin executerepair(9); executerepair(11); executerepair(17); executerepair(13); rebootwindows(true); end.
Сделал все.
Последний раз редактировалось vector; 08.11.2009 в 16:25.
А что может означать следующее, оно красным цветом в AVZ отображается..:
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=08C500)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80563500
KiST = 804E4F40 (284)
Функция NtCreateKey (29) перехвачена (80579528->F75380B0), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
Функция NtEnumerateKey (47) перехвачена (8057A69E->F753D84E), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
Функция NtEnumerateValueKey (49) перехвачена (80590C93->F753DBEE), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
Функция NtOpenKey (77) перехвачена (80573F1D->F7538090), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
Функция NtQueryKey (A0) перехвачена (8057A29E->F753DCC6), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
Функция NtQueryValueKey (B1) перехвачена (80574361->F753DB46), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
Функция NtSetValueKey (F7) перехвачена (80584921->F753DD5, перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
Проверено функций: 284, перехвачено: 7, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Анализ для процессора 2
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
>> Маскировка драйвера: Base=BAA7A000, размер=163840, имя = "\SystemRoot\system32\DRIVERS\nwrdr.sys"
Поиск маскировки процессов и драйверов завершен
Драйвер успешно загружен
1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_CREATE] = 86F5E1D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 86F5E1D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 86F5E1D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 86F5E1D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 86F5E1D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 86F5E1D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 86F5E1D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 86F5E1D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 86F5E1D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 86F5E1D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 86F5E1D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 86F5E1D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 86F5E1D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 86F5E1D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 86F5E1D8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 86F5E1D8 -> перехватчик не определен
Проверка завершена
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 7
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\desme.exe - Trojan-Downloader.Win32.Agent.aenf (DrWEB: Trojan.KeyLogger.2451)
- c:\\windows\\system32\\nwdrvte.exe - Trojan-Downloader.Win32.Agent.aenf (DrWEB: Trojan.KeyLogger.2451)
- c:\\windows\\system32\\rtlib.exe - Trojan-Downloader.Win32.Agent.aenf (DrWEB: Trojan.KeyLogger.2451)
- c:\\windows\\system32\\updceb.exe - Trojan-Downloader.Win32.Agent.aenf (DrWEB: Trojan.KeyLogger.2451)
Уважаемый(ая) vector, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.