Junior Member
Вес репутации
57
завелся Zlob.DNS Changer!
Пару недель назад Ad-Watch стал блокировать доступ к реестру неким kdzeh.exe из System32. Проверяла, удаляла всеми доступными мне способами. Все было нормально, но вчера заблокировался доступ к диспетчеру задач и реестру. Доступ разблокировала, удалила пару разных вирусяк, а kdzeh ну никак! Выяснила, что под этим именем скрывается Zlob.DNS Changer.
Ну, и как водится...ПОМОГИТЕ!!
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Winyt04');
DeleteService('Winyq61');
DeleteService('Winxs04');
DeleteService('Winxo70');
DeleteService('Winwk04');
DeleteService('Winwd72');
DeleteService('Winwd48');
DeleteService('Winvu15');
DeleteService('Winui76');
DeleteService('Wintv37');
DeleteService('Wintv32');
DeleteService('Winta85');
DeleteService('Winrq37');
DeleteService('Winrm72');
DeleteService('Winrm68');
DeleteService('Winrm13');
DeleteService('Winqp44');
DeleteService('Winql72');
DeleteService('Winpd06');
DeleteService('Winpa43');
DeleteService('Winou15');
DeleteService('Winog68');
DeleteService('Winof83');
DeleteService('Winnd82');
DeleteService('Winnb48');
DeleteService('Winms81');
DeleteService('Winms50');
DeleteService('Winmp83');
DeleteService('Winmo50');
DeleteService('Winme72');
DeleteService('Winly15');
DeleteService('Winlr37');
DeleteService('Winlg74');
DeleteService('Winlg48');
DeleteService('Winlc04');
DeleteService('Winkq04');
DeleteService('Winkj26');
DeleteService('Winkf26');
DeleteService('Winji04');
DeleteService('Winja33');
DeleteService('Winiv41');
DeleteService('Winia48');
DeleteService('Winhu50');
DeleteService('Winhq61');
DeleteService('Wingx50');
DeleteService('Winfp10');
DeleteService('Winen37');
DeleteService('Wineg04');
DeleteService('Windu74');
DeleteService('Windn28');
DeleteService('Windf68');
DeleteService('Windc81');
DeleteService('Wincs68');
DeleteService('Wincp52');
DeleteService('Wincb48');
DeleteService('Winbv48');
DeleteService('Winbs26');
DeleteService('Winbl85');
DeleteService('Winar15');
DeleteService('rjM61');
DeleteService('qaR02');
DeleteService('msD15');
DeleteService('maK48');
DeleteService('hxI81');
DeleteService('WebClientWebClient');
DeleteService('TlntSvrseclogon');
DeleteService('SCardSvrATMsrvc');
DeleteService('RpcSsNetman');
DeleteService('RemoteRegistryTermService');
DeleteService('PlugPlayMSSQL$PINNACLESYS');
DeleteService('NetDDEdsdmPinnacleSys.MediaServer');
DeleteService('mnmsrvcIDriverT');
DeleteService('iPodServiceTlntSvr');
DeleteService('ImapiServiceRpcLocator');
DeleteService('ERSvcNetlogon');
DeleteService('DnscacheHidServ');
QuarantineFile('C:\TEMP\mc2E.tmp','');
QuarantineFile('srv.exe','');
QuarantineFile('kdzeh.exe','');
QuarantineFile('WinCtrl32.dll','');
DeleteFile('C:\TEMP\mc2E.tmp');
DeleteFile('srv.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\hxI81.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\maK48.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\msD15.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\qaR02.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\rjM61.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winar15.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winbl85.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winbs26.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winbv48.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Wincb48.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Wincp52.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Wincs68.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Windc81.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Windf68.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Windn28.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Windu74.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Wineg04.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winen37.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winfp10.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Wingx50.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winhq61.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winhu50.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winia48.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winiv41.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winja33.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winji04.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winkf26.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winkj26.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winkq04.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winlc04.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winlg48.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winlg74.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winlr37.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winly15.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winme72.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winmo50.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winmp83.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winms50.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winms81.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winnb48.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winnd82.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winof83.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winog68.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winou15.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winpa43.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winpd06.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winql72.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winqp44.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winrm13.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winrm68.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winrm72.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winrq37.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winta85.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Wintv32.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Wintv37.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winui76.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winvu15.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winwd48.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winwd72.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winwk04.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winxo70.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winxs04.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winyq61.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winyt04.sys');
DeleteFile('WinCtrl32.dll');
DeleteFile('kdzeh.exe');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Winyt04');
BC_DeleteSvc('Winyq61');
BC_DeleteSvc('Winxs04');
BC_DeleteSvc('Winxo70');
BC_DeleteSvc('Winwk04');
BC_DeleteSvc('Winwd72');
BC_DeleteSvc('Winwd48');
BC_DeleteSvc('Winvu15');
BC_DeleteSvc('Winui76');
BC_DeleteSvc('Wintv37');
BC_DeleteSvc('Wintv32');
BC_DeleteSvc('Winta85');
BC_DeleteSvc('Winrq37');
BC_DeleteSvc('Winrm72');
BC_DeleteSvc('Winrm68');
BC_DeleteSvc('Winrm13');
BC_DeleteSvc('Winqp44');
BC_DeleteSvc('Winql72');
BC_DeleteSvc('Winpd06');
BC_DeleteSvc('Winpa43');
BC_DeleteSvc('Winou15');
BC_DeleteSvc('Winog68');
BC_DeleteSvc('Winof83');
BC_DeleteSvc('Winnd82');
BC_DeleteSvc('Winnb48');
BC_DeleteSvc('Winms81');
BC_DeleteSvc('Winms50');
BC_DeleteSvc('Winmp83');
BC_DeleteSvc('Winmo50');
BC_DeleteSvc('Winme72');
BC_DeleteSvc('Winly15');
BC_DeleteSvc('Winlr37');
BC_DeleteSvc('Winlg74');
BC_DeleteSvc('Winlg48');
BC_DeleteSvc('Winlc04');
BC_DeleteSvc('Winkq04');
BC_DeleteSvc('Winkj26');
BC_DeleteSvc('Winkf26');
BC_DeleteSvc('Winji04');
BC_DeleteSvc('Winja33');
BC_DeleteSvc('Winiv41');
BC_DeleteSvc('Winia48');
BC_DeleteSvc('Winhu50');
BC_DeleteSvc('Winhq61');
BC_DeleteSvc('Wingx50');
BC_DeleteSvc('Winfp10');
BC_DeleteSvc('Winen37');
BC_DeleteSvc('Wineg04');
BC_DeleteSvc('Windu74');
BC_DeleteSvc('Windn28');
BC_DeleteSvc('Windf68');
BC_DeleteSvc('Windc81');
BC_DeleteSvc('Wincs68');
BC_DeleteSvc('Wincp52');
BC_DeleteSvc('Wincb48');
BC_DeleteSvc('Winbv48');
BC_DeleteSvc('Winbs26');
BC_DeleteSvc('Winbl85');
BC_DeleteSvc('Winar15');
BC_DeleteSvc('rjM61');
BC_DeleteSvc('qaR02');
BC_DeleteSvc('msD15');
BC_DeleteSvc('maK48');
BC_DeleteSvc('hxI81');
BC_DeleteSvc('WebClientWebClient');
BC_DeleteSvc('TlntSvrseclogon');
BC_DeleteSvc('SCardSvrATMsrvc');
BC_DeleteSvc('RpcSsNetman');
BC_DeleteSvc('RemoteRegistryTermService');
BC_DeleteSvc('PlugPlayMSSQL$PINNACLESYS');
BC_DeleteSvc('NetDDEdsdmPinnacleSys.MediaServer');
BC_DeleteSvc('mnmsrvcIDriverT');
BC_DeleteSvc('iPodServiceTlntSvr');
BC_DeleteSvc('ImapiServiceRpcLocator');
BC_DeleteSvc('ERSvcNetlogon');
BC_DeleteSvc('DnscacheHidServ');
BC_Activate;
RebootWindows(true);
end.
Пришлите карантин согласно приложению 3 правил.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=29985
3. Повторите логи.
Сердце решает кого любить... Судьба решает с кем быть...
Junior Member
Вес репутации
57
карантин выслала.
Файл сохранён как 080911_060401_virus_48c8fb21ec6a0.zip
Размер файла 313816
MD5 e3d8841e7424a02c444021ec371fe7e5
Логи, плиз.
Junior Member
Вес репутации
57
Вложения
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('xinstall');
QuarantineFile('C:\WINDOWS\system32\drivers\xinstall.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\xinstall.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('xinstall');
BC_Activate;
RebootWindows(true);
end.
Пришлите карантин согласно приложению 3 правил.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=29985
3. Повторите логи.
Junior Member
Вес репутации
57
карантин:
Файл сохранён как 080911_065905_virus_48c90809b4331.zip
Размер файла 318023
MD5 cdf4d663dd391dadd358c95114d694e4
логи:
Вложения
1. Отключите восстановление системы и антивирус.
-Пофиксите
Код:
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
2. Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\txp4.cpl','');
DeleteFile('C:\WINDOWS\system32\txp4.cpl');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Пришлите карантин согласно приложению 3 правил.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=29985
3. Повторите логи.
Junior Member
Вес репутации
57
карантин:
Файл сохранён как 080911_075219_virus_48c9148329a79.zip
Размер файла 320508
MD5 4d13f2b7927cca71081d9c455bb22533
еще нашла kdzeh.exe в реестре:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion
HKEY_USERS\S-1-5-21-2000478354-484763869-839522115-500\Software\Microsoft\Windows\CurrentVersion
Сообщение от
nadya
еще нашла kdzeh.exe в реестре:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion
HKEY_USERS\S-1-5-21-2000478354-484763869-839522115-500\Software\Microsoft\Windows\CurrentVersion
Удалите значение ключа kdzeh.exe
А где логи?
Junior Member
Вес репутации
57
Вложения
Не вижу ничего плохого.
Удалите AdAware - не нужен.
Обновите Java RE.
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 3 Обработано файлов: 36 В ходе лечения вредоносные программы в карантинах не обнаружены