Всем привет! Уже неделю мучаюсь с этим buritos, ни чего не получается! Буду благодарен за любую помощь.
Всем привет! Уже неделю мучаюсь с этим buritos, ни чего не получается! Буду благодарен за любую помощь.
Последний раз редактировалось Steel; 03.10.2008 в 22:57.
Пунк 2 Правил выполняли?
Отключитесь от Интернета.
Закройте все программы.
Запустите AVZ.
Выполните скрипт через меню Файл:
Компьютер перезагрузится.Код:Begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\services.exe',''); DelBHO('{E5EA86CB-8010-4A0F-9B2E-B0BA7571EC3C}'); QuarantineFile('C:\WINDOWS\system32\Cc3250m.dll',''); QuarantineFile('C:\WINDOWS\system32\mrcmgr.exe',''); QuarantineFile('C:\WINDOWS\system32\karina.dat',''); BC_DeleteSvc('Aka33'); BC_DeleteSvc('Fet77'); BC_DeleteSvc('Fek77'); BC_DeleteSvc('Ems00'); BC_DeleteSvc('Ksr00'); BC_DeleteSvc('Osr88'); BC_DeleteSvc('Yhw55'); BC_DeleteSvc('Winyw11'); BC_DeleteSvc('Winys55'); BC_DeleteSvc('Winyc00'); BC_DeleteSvc('Winxd00'); BC_DeleteSvc('Winxb55'); BC_DeleteSvc('Winxb22'); BC_DeleteSvc('Winwh00'); BC_DeleteSvc('Winwc66'); BC_DeleteSvc('Winvu66'); BC_DeleteSvc('Winvp44'); BC_DeleteSvc('Winvo22'); BC_DeleteSvc('Winvk88'); BC_DeleteSvc('Winvf00'); BC_DeleteSvc('Winve77'); BC_DeleteSvc('Winuj77'); BC_DeleteSvc('Winuh44'); BC_DeleteSvc('Winty00'); BC_DeleteSvc('Wintg11'); BC_DeleteSvc('Winsk88'); BC_DeleteSvc('Winsk55'); BC_DeleteSvc('Winre11'); BC_DeleteSvc('Winra11'); BC_DeleteSvc('Winqk33'); BC_DeleteSvc('Winpn00'); BC_DeleteSvc('Winph55'); BC_DeleteSvc('Winpa55'); BC_DeleteSvc('Winon11'); BC_DeleteSvc('Winoi00'); BC_DeleteSvc('Winnh66'); BC_DeleteSvc('Winnc88'); BC_DeleteSvc('Winmw22'); BC_DeleteSvc('Winmt66'); BC_DeleteSvc('Winmn00'); BC_DeleteSvc('Winmg77'); BC_DeleteSvc('Winmb22'); BC_DeleteSvc('Winmb11'); BC_DeleteSvc('Winlm22'); BC_DeleteSvc('Winlj44'); BC_DeleteSvc('Winla33'); BC_DeleteSvc('Winks66'); BC_DeleteSvc('Winkc55'); BC_DeleteSvc('Winkc11'); BC_DeleteSvc('Winjk77'); BC_DeleteSvc('Winjf11'); BC_DeleteSvc('Winiu55'); BC_DeleteSvc('Winiq55'); BC_DeleteSvc('Winij77'); BC_DeleteSvc('Winhm11'); BC_DeleteSvc('Winhg55'); BC_DeleteSvc('Wings55'); BC_DeleteSvc('Wingh66'); BC_DeleteSvc('Winex66'); BC_DeleteSvc('Winej33'); BC_DeleteSvc('Wined66'); BC_DeleteSvc('Windw66'); BC_DeleteSvc('Winds55'); BC_DeleteSvc('Windn22'); BC_DeleteSvc('Winde77'); BC_DeleteSvc('Windc66'); BC_DeleteSvc('Winck11'); BC_DeleteSvc('Wincb88'); BC_DeleteSvc('Wincb66'); BC_DeleteSvc('Winbe66'); BC_DeleteSvc('Winbe22'); BC_DeleteSvc('Winai44'); BC_DeleteSvc('Vkj88'); BC_DeleteSvc('Uts33'); BC_DeleteSvc('Vba55'); BC_DeleteSvc('ziuojlnf'); QuarantineFile('C:\WINDOWS\system32\drivers\qzqpdmqw.dat',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS',''); QuarantineFile('C:\WINDOWS\System32\drivers\Wingc88.sys',''); QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll',''); QuarantineFile('c:\docume~1\e25a~1\locals~1\temp\winlogon.exe',''); QuarantineFile('c:\windows\system32\buritos.exe',''); DeleteFile('c:\windows\system32\buritos.exe'); DeleteFile('c:\docume~1\e25a~1\locals~1\temp\winlogon.exe'); BC_DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Wingc88.sys'); BC_DeleteFile('C:\WINDOWS\system32\drivers\qzqpdmqw.dat'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Vba55.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Uts33.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Vkj88.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Yhw55.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Winyw11.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Winys55.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Winyc00.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Winxd00.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Winxb55.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Winxb22.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Winwh00.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Winwc66.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Winvu66.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Winvp44.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Winvo22.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Winvk88.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Winvf00.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Winve77.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Winuj77.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Winuh44.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Winty00.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Wintg11.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Winsk88.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Winsk55.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Winre11.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Winra11.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Winqk33.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Winpn00.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Winph55.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Winpa55.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Winon11.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Winoi00.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Winnh66.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Winnc88.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Winmw22.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Winmt66.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Winmn00.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Winmg77.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Winmb22.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Winmb11.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Winlm22.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Winlj44.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Winla33.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Winks66.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Winkc55.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Winkc11.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Winjk77.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Winjf11.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Winiu55.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Winiq55.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Winij77.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Winhm11.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Winhg55.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Wings55.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Wingh66.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Winex66.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Winej33.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Wined66.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Windw66.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Winds55.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Windn22.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Winde77.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Windc66.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Winck11.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Wincb88.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Wincb66.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Winbe66.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Winbe22.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Winai44.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Vkj88.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Osr88.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Ksr00.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Fet77.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Fek77.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Ems00.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\Aka33.sys'); DeleteFile('C:\WINDOWS\system32\mrcmgr.exe'); SysCleanAddFile('WinCtrl32.dll'); SysCleanAddFile('WLCtrl32.dll'); DeleteFile('c:\windows\system32\WLCtrl32.dll'); DeleteFile('C:\WINDOWS\system32\Cc3250m.dll'); BC_DeleteFile('C:\WINDOWS\services.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите то, что попадет в карантин так, как написано в приложении 3 Правил, используя ссылку:
http://virusinfo.info/upload_virus.php?tid=29972
Обновите базы AVZ!
Сделайте новые логи и приложите их к этой теме.
Пункт 2, к сожалению, не выполнил, сейчас не могу 10метров скачать, карточка вот-вот закончится. AVZ обновил. Скрипт выполнил, карантин выслал(только пароль на архив забыл поставить).
Логи повторите...
Вот такую вот коллекцию вам удалось собрать:
c:\docume~1\e25a~1\locals~1\temp\winlogon.exe = Trojan.Packed.147
C:\WINDOWS\services.exe = Trojan.Packed.573
c:\windows\system32\buritos.exe = Trojan.Packed.612
C:\WINDOWS\system32\Cc3250m.dll = Trojan.BhoSpy.20
C:\WINDOWS\System32\Drivers\Beep.SYS = Trojan.Fakealert.458
C:\WINDOWS\system32\drivers\qzqpdmqw.dat = Trojan.Sentinel
C:\WINDOWS\System32\drivers\Wingc88.sys = Trojan.Rntm.10
C:\WINDOWS\system32\karina.dat = Trojan.Proxy.1739
C:\WINDOWS\system32\WinCtrl32.dll = BackDoor.Bulknet.238
C:\WINDOWS\system32\mrcmgr.exe = Trojan-Dropper.Win32.Agent.wbf
2 Гриша
Логи
2 AndreyKa
Ну ни фига себе! А всего-то несколько часов с выключенным каспером в нете полазил! Кстати, и сейчас продолжаю!
Последний раз редактировалось Steel; 03.10.2008 в 22:57.
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\drivers\qzqpdmqw.dat',''); QuarantineFile('C:\WINDOWS\system32\jpr38uxf.tmp',''); QuarantineFile('C:\WINDOWS\system32\prxsmr.dll',''); QuarantineFile('C:\WINDOWS\system32\karina.dat',''); QuarantineFile('C:\WINDOWS\System32\drivers\Winnh88.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\Wingc88.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS',''); QuarantineFile('C:\WINDOWS\system32\Drivers\qzqpdmqw.dat',''); QuarantineFile('c:\windows\buritos.exe',''); DeleteService('Winnh88'); DeleteService('Wingc88'); DeleteFile('c:\windows\buritos.exe'); DeleteFile('C:\WINDOWS\system32\Drivers\qzqpdmqw.dat'); DeleteFile('C:\WINDOWS\System32\Drivers\Beep.SYS'); DeleteFile('C:\WINDOWS\System32\drivers\Wingc88.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Winnh88.sys'); DeleteFile('C:\WINDOWS\system32\karina.dat'); DeleteFile('C:\WINDOWS\system32\prxsmr.dll'); DeleteFile('C:\WINDOWS\system32\jpr38uxf.tmp'); DeleteFile('C:\WINDOWS\system32\drivers\qzqpdmqw.dat'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('Winnh88'); BC_DeleteSvc('Wingc88'); BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
2 дня назад удалил Каспера, потому что он все равно не запускался из-за буритоса. Кстати экзешник АВЗайцева пришлось переименовать – не запускался… Теперь при установке Каспера инсталлятор пишет: «Программа установки прервана из-за возникновения неустранимой ошибки».
Карантин отправил. Логи:
Последний раз редактировалось Steel; 03.10.2008 в 22:57.
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите
- Выполните скриптКод:O4 - HKLM\..\Run: [buritos] buritos.exe O20 - AppInit_DLLs: karina.dat O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\ O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\buritos.exe',''); QuarantineFile('C:\WINDOWS\system32\braviax.exe',''); QuarantineFile('C:\WINDOWS\karina.dat',''); QuarantineFile('C:\WINDOWS\system32\drivers\qzqpdmqw.dat',''); DeleteService('ziuojlnf'); DeleteFile('C:\WINDOWS\system32\drivers\qzqpdmqw.dat'); DeleteFile('C:\WINDOWS\karina.dat'); DeleteFile('C:\WINDOWS\system32\braviax.exe'); DeleteFile('C:\WINDOWS\system32\buritos.exe'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('ziuojlnf'); BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Добавлено через 57 секунд
Бессмысленно лепить антивирус на зараженную систему.
Последний раз редактировалось Rene-gad; 11.09.2008 в 21:12. Причина: Добавлено
Спасибо, уже большой прогресс: буритоса нет в автозагрузке и не всплывает сообщение об инфицированности компа!
Последний раз редактировалось Steel; 03.10.2008 в 22:57.
ничего зловредного
Только что-то Касперский все равно не устанавливается...
Lock Folder попробуйте деинсталировать
Бооольшое человеческое спасибо всем кто помогал!!! Вирусов больше нет, Каспер тоже стал запускаться! ))))) А что можно конкретно сделать, чтобы вновь этого буритоса не цепануть, а то Каспер его не видит, щас в нете начну шарить, а он опять тут как тут?
Базы Касперского обновить. Старые модификации не поймаете, ну а новые как повезет.
+ обновления Виндовс.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Спасибо!
Добавлено через 2 часа 10 минут
Появились небольшие проблемки.
1. Не могу включить брандмауэр Windows.
2. При попытке войти в «мой компьютер»(значок на раб. столе) и при попытке отправить на раб. стол ярлык exe-файла какой-либо программы вылазит сообщение об ошибке explorer.exe с предложением отправить отчет. Иногда выплывает сообщение об ошибке drwtsn32.exe и если нажать «не отправлять отчет» комп виснет. Можно что-либо сделать?
Последний раз редактировалось Steel; 12.09.2008 в 22:28. Причина: Добавлено
1 http://support.microsoft.com/kb/920074/ru
2 с отключенной автозагрузкой проблема есть ?
http://virusinfo.info/showthread.php?t=30079
Давайте новые логи, может что-то опять вылеэло.
Спасибо, брандмауэр включил!
Но эксплорер частенько выдает ошибки, иногда даже при удалении сохраненных веб-страниц с раб. стола. Может есть способ его переустановить без переустановки винды?
З.Ы. Еще один вопрос, который меня долго мучает: до того как я подхватил буритоса(сразу после покупки компа около года назад) при загрезке винды на черном экране на долю секунды каждый раз возникает надпись:
«Adapter 1
Disk information
No hard disk is detected!»
Вроде бы все ничего, но иногда после этой надписи комп виснет при появлении окна загрузки Windows. Это может быть связано между собой и почему появляется эта надпись? Сорри за оффтоп…
Логи:
Последний раз редактировалось Steel; 03.10.2008 в 22:57.
Уважаемый(ая) Steel, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.