-
Junior Member
- Вес репутации
- 58
Win32:Trojan-Gen + Win32:Agent-VGV + Заблокированный реестр= Oh, Mine!
Здравствуите уважаемые,
Вот в чем проблема!
Некоторое время назад застал комп на том, что svhost отправлял кучу пакетов неизвестного мне происхождения на неизвестные мне SMTP сервера... из чего можно было понять, что svhost рассылает спам... так вот... и ни SpyWareTerminator, DrWeb CureIT, AVZ, HJT, Avast:anti-rootkit ничего не нашли, только аваст руласля на Win32:Trojan-Gen и Win32:Agent-VGV... но удалить их так и не смог... попытался закрыть 25й порт через реестр, но доступ к нему был закрыт какой-то другой живностью (удалил ее пару днеи назад, но реестр так и закрыт)... сканировал авастом перед загрузкой винды... ничего... сделал репаер системы с установочного диска - безрезультатно... вот пару дней назад аваст базы обновил, посему нашел он вновь эти Win32:Trojan-Gen и Win32:Agent-VGV и с горем пополам их удалил.... но (!) кач трафика в непоределенном направлении продолжается!... и теперь уже никто из этой могучей кучки ниможет никого наити....
Логи во вложениях...
Последний раз редактировалось MInner; 29.08.2008 в 19:48.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
MInner
Логи во вложениях...
Выполнить логи в строгом соответствии с правилами: http://virusinfo.info/showthread.php?t=1235
Пролечиться, как написано тут: http://virusinfo.info/showthread.php?t=15927
-
-
Junior Member
- Вес репутации
- 58
вот... а проверку именно так уже выполнил....
Последний раз редактировалось MInner; 29.08.2008 в 19:48.
-
Нарушения правил при сборе информации для раздела Помогите.
- Отсутствует лог Hijackthis после выполнения логов АВЗ.
- Не выключено системное восстановление.
- Не закрыты все программы
- Не запущен Интернет Эксплорер.
- Не выключен установленный антивирус.
Логи выполненные с нарушением правил рассматриваться не будут.
Спасибо за понимание.
Скачайте IceSword , поищите и скопируйте файлы:
Код:
C:\WINDOWS\System32\WinCtrl32.dll
C:\WINDOWS\System32\WinCtrl32.bak
C:\WINDOWS\System32\WinCtrl32.dl_
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
Потом удалите их с помощью force delete
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Bonjour Service');
DeleteService('WZCSVCNetman');
DeleteService('WZCSVCEventlog');
DeleteService('wuauservProtectedStorageRSVP');
DeleteService('WebClient Antivirus');
DeleteService('RDSessMgrwscsvc');
DeleteService('ProtectedStorageRSVP');
DeleteService('NtLmSspFastUserSwitchingCompatibility');
DeleteService('MSDTCERSvc');
DeleteService('mnmsrvcAddFiltr');
DeleteService('EventSystemTermService');
DeleteService('EventlogDhcpThemes');
DeleteService('dmserverBITS');
DeleteService('DhcpThemes');
DeleteService('DhcpTermService');
DeleteService('DhcpAlerter');
DeleteService('ClipSrvCOMSysAppPolicyAgent');
DeleteService('ClipSrvCOMSysApp');
DeleteService('BITSWmdmPmSN');
DeleteService('Winxw54');
DeleteService('Winwv22');
DeleteService('Winvm55');
DeleteService('Winrf81');
DeleteService('Winoh21');
DeleteService('Winlv08');
DeleteService('Winls03');
DeleteService('Winlh08');
DeleteService('Winjb32');
DeleteService('Winir10');
DeleteService('Winhl67');
DeleteService('Winfn08');
DeleteService('Winbi64');
DeleteService('Winam83');
DeleteService('Winam11');
DeleteService('Winak52');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winxw54.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winwv22.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winvm55.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winrf81.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winoh21.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winlv08.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winls03.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winlh08.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winjb32.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winir10.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winhl67.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winfn08.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winbi64.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winam83.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winam11.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winak52.sys','');
QuarantineFile('C:\WINDOWS\System32\WinCtrl32.dll','');
DeleteFile('C:\WINDOWS\System32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Winak52.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winam11.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winam83.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winbi64.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winfn08.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winhl67.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winir10.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winjb32.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winlh08.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winls03.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winlv08.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winoh21.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winrf81.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winvm55.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winwv22.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winxw54.sys');
DeleteFile('c:\program files\bonjour\mdnsresponder.exe');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('WZCSVCNetman');
BC_DeleteSvc('WZCSVCEventlog');
BC_DeleteSvc('wuauservProtectedStorageRSVP');
BC_DeleteSvc('WebClient Antivirus');
BC_DeleteSvc('RDSessMgrwscsvc');
BC_DeleteSvc('ProtectedStorageRSVP');
BC_DeleteSvc('NtLmSspFastUserSwitchingCompatibility');
BC_DeleteSvc('MSDTCERSvc');
BC_DeleteSvc('mnmsrvcAddFiltr');
BC_DeleteSvc('EventSystemTermService');
BC_DeleteSvc('EventlogDhcpThemes');
BC_DeleteSvc('dmserverBITS');
BC_DeleteSvc('DhcpThemes');
BC_DeleteSvc('DhcpTermService');
BC_DeleteSvc('DhcpAlerter');
BC_DeleteSvc('ClipSrvCOMSysAppPolicyAgent');
BC_DeleteSvc('ClipSrvCOMSysApp');
BC_DeleteSvc('BITSWmdmPmSN');
BC_DeleteSvc('Winxw54');
BC_DeleteSvc('Winwv22');
BC_DeleteSvc('Winvm55');
BC_DeleteSvc('Winrf81');
BC_DeleteSvc('Winoh21');
BC_DeleteSvc('Winlv08');
BC_DeleteSvc('Winls03');
BC_DeleteSvc('Winlh08');
BC_DeleteSvc('Winjb32');
BC_DeleteSvc('Winir10');
BC_DeleteSvc('Winhl67');
BC_DeleteSvc('Winfn08');
BC_DeleteSvc('Winbi64');
BC_DeleteSvc('Winam83');
BC_DeleteSvc('Winam11');
BC_DeleteSvc('Winak52');
ExecuteRepair(13);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Последний раз редактировалось Rene-gad; 28.08.2008 в 15:28.
-
-
Junior Member
- Вес репутации
- 58
Сделал все, что Вы сказали... закачал карантин (он выдал ошибку при закачке, но как написано в правилах не стал перезагружать)....
Антивирус полностью выключить не имею возможности, но остановил все его службы (хотя возможно можно выключить avast, но я его недавно поставил)....
вот логи от AVZ и Hijackthis... (приписал в конце "1" т.к. ругалось на то, что такие фаилы уже есть)...
Зарание спасибо...
Последний раз редактировалось MInner; 29.08.2008 в 19:48.
-
выполните скрипт ....
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('WinCtrl32.dll');
DeleteFile('C:\Documents and Settings\Sergey\Шаблоны\Brengkolang.com');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
удалите задания в планировщике ....
повторите логи ...
-
-
Junior Member
- Вес репутации
- 58
сделал...
вообщем-то скачка прекратилась... но раз в 30-60 секунд отправляется ~60Кб в никуда... (выключены все приложения, которые могли бы эти 60Кб сьедать)... не смертельно....но не приятно....
Спасибо Вам, огромное!
Последний раз редактировалось MInner; 29.08.2008 в 19:48.
-
Нарушения правил при сборе информации для раздела Помогите.
- Не обновлены базы АВЗ. Обновите базы Файл/Обновление баз.
- Не закрыты все программы
- Не запущен Интернет Эксплорер.
- Не выключен установленный антивирус.
Логи выполненные с нарушением правил рассматриваться не будут.
Спасибо за понимание.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите
Код:
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\SoftwareDistribution\Download\eced8b5ea8e636fb8bff2b719fa62647\tree.com',''); QuarantineFile('C:\WINDOWS\SoftwareDistribution\Download\eced8b5ea8e636fb8bff2b719fa62647\more.com',''); QuarantineFile('C:\WINDOWS\SoftwareDistribution\Download\eced8b5ea8e636fb8bff2b719fa62647\format.com','');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи начиная от п.10 правил.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
-
-
Junior Member
- Вес репутации
- 58
Последний раз редактировалось MInner; 29.08.2008 в 21:06.
-
Сообщение от
MInner
вот
Я подожду, когда Вы выполните логи в точном соответствии с правилами и моими указаниями жирным красным шрифтом в предыдущем сообщении.
Как маленько облегчение задачи: Spyware Terminator можете удалить совсем.
-
-
Junior Member
- Вес репутации
- 58
"- Не обновлены базы АВЗ. Обновите базы Файл/Обновление баз."
Обновлены
"- Не закрыты все программы"
Выключено все, что можно выключить в трее (и Аваст тоже... вероятно библиотеки еще не выгружены)... в Диспетчере задач ничего не выключал, чтобы не фальфисицировать данные о запущенных приложениях
"- Не запущен Интернет Эксплорер"
Включен
"- Не выключен установленный антивирус"
Выклюючен
-
Сообщение от
MInner
"- Не закрыты все программы"
Выключено все, что можно выключить в трее (и Аваст тоже... вероятно библиотеки еще не выгружены)... в Диспетчере задач ничего не выключал, чтобы не фальфисицировать данные о запущенных приложениях
Работает Аутлук, Неро+Lightscribe- что Вы собираетесь писать сейчас на диск - не знаю, Спайваре Терминатор.
Запуск системы в минимальной конфигурации
1. Пуск/Выполнить... набрать msconfig, нажать клавишу ВВОД.
2. В карточке Автозапуск - Все отключить
3. В карточке Службы - Службы Windows не показывать, остальные отключить.
4. Перегрузить систему, далее по тексту.
-
-
Junior Member
- Вес репутации
- 58
Последний раз редактировалось MInner; 30.08.2008 в 20:54.
-
-Пофиксите
Код:
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
Больше ничего плохого не вижу.
Поставьте Сервис Пак 3, возможно потребуется активация системы.
Обновите Джаву - очень старая и дырявая.
Можно обновить Интернет Эксплорер до 7-й версии.
-
-
Junior Member
- Вес репутации
- 58
"Поставьте Сервис Пак 3, возможно потребуется активация системы."
упс.... значит винду переустанавливать... т.к. отдельно третего сервиспака нету.... а можно через репаер c устанавленой sp2 переити имея диск с цельнои системой sp3....
"Обновите Джаву - очень старая и дырявая."
ну.... 16Мб при моем нете - не даи бог)...
"Можно обновить Интернет Эксплорер до 7-й версии."
Пользуюсь Оперой...
-
Сообщение от
MInner
упс.... значит винду переустанавливать... т.к. отдельно третего сервиспака нету...
Скачайте Сетап по ссылке в моей подписи и запустите как обычное приложение. Систему переустанавливать не надо. Достаточно при установке отключить все резидентные программы, включая антивирус.
ну.... 16Мб при моем нете - не даи бог)...
Получите пару руткитов через ее дыры, они больше скачают.
Зловреды об этом не знают и используют дыры ИЕ, который является частью ОС.
-
-
Junior Member
- Вес репутации
- 58
300 Мб по цене 3р\Мб((((.... так можно ли репаем сделать?... (тоесть вообщем-то переустановить винду, на сколько я понимаю работу репая)... или поставить ее отдельно...?... если будет уставлено 2 инды, то драивера, программы и реест общие будут?...
можно яву тогда совсем удалить... черт с ней...
если ИЕ удалить, как елемент системы?....
Добавлено через 45 минут
черт возьми... все равно траффик куда-то улетает... не опнятно куда....
Последний раз редактировалось MInner; 29.08.2008 в 23:31.
Причина: Добавлено
-
ну на вашем месте я бы отключил службу обнаружения ...
-
-
Junior Member
- Вес репутации
- 58
можн по подробнее....?
Добавлено через 27 минут
пробывал отключить
"служба обнаружения сети" и "служба обнаружения SSDP" - ничерта....
Добавлено через 7 минут
хм... я конечно понимаю, что это не ваша проблема но по неизвестным причинам банальным QIP начал скачивать и отправлять ка ненормальный по ~400Кб\сек...
неа... это тут не при чем... кач идет!...
Последний раз редактировалось Rene-gad; 30.08.2008 в 18:56.
-
Будете продолжать монолог Чацкого или сделаете новые логи?
Если первое - то плиз не тут.
-