Показано с 1 по 13 из 13.

завелся Zlob.DNS Changer! (заявка № 29985)

  1. #1
    Junior Member Репутация
    Регистрация
    11.09.2008
    Сообщений
    10
    Вес репутации
    57

    завелся Zlob.DNS Changer!

    Пару недель назад Ad-Watch стал блокировать доступ к реестру неким kdzeh.exe из System32. Проверяла, удаляла всеми доступными мне способами. Все было нормально, но вчера заблокировался доступ к диспетчеру задач и реестру. Доступ разблокировала, удалила пару разных вирусяк, а kdzeh ну никак! Выяснила, что под этим именем скрывается Zlob.DNS Changer.
    Ну, и как водится...ПОМОГИТЕ!!
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,761
    Вес репутации
    2856
    1. Отключите восстановление системы и антивирус.
    2. Выполните скрипт в AVZ:
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteService('Winyt04');
     DeleteService('Winyq61');
     DeleteService('Winxs04');
     DeleteService('Winxo70');
     DeleteService('Winwk04');
     DeleteService('Winwd72');
     DeleteService('Winwd48');
     DeleteService('Winvu15');
     DeleteService('Winui76');
     DeleteService('Wintv37');
     DeleteService('Wintv32');
     DeleteService('Winta85');
     DeleteService('Winrq37');
     DeleteService('Winrm72');
     DeleteService('Winrm68');
     DeleteService('Winrm13');
     DeleteService('Winqp44');
     DeleteService('Winql72');
     DeleteService('Winpd06');
     DeleteService('Winpa43');
     DeleteService('Winou15');
     DeleteService('Winog68');
     DeleteService('Winof83');
     DeleteService('Winnd82');
     DeleteService('Winnb48');
     DeleteService('Winms81');
     DeleteService('Winms50');
     DeleteService('Winmp83');
     DeleteService('Winmo50');
     DeleteService('Winme72');
     DeleteService('Winly15');
     DeleteService('Winlr37');
     DeleteService('Winlg74');
     DeleteService('Winlg48');
     DeleteService('Winlc04');
     DeleteService('Winkq04');
     DeleteService('Winkj26');
     DeleteService('Winkf26');
     DeleteService('Winji04');
     DeleteService('Winja33');
     DeleteService('Winiv41');
     DeleteService('Winia48');
     DeleteService('Winhu50');
     DeleteService('Winhq61');
     DeleteService('Wingx50');
     DeleteService('Winfp10');
     DeleteService('Winen37');
     DeleteService('Wineg04');
     DeleteService('Windu74');
     DeleteService('Windn28');
     DeleteService('Windf68');
     DeleteService('Windc81');
     DeleteService('Wincs68');
     DeleteService('Wincp52');
     DeleteService('Wincb48');
     DeleteService('Winbv48');
     DeleteService('Winbs26');
     DeleteService('Winbl85');
     DeleteService('Winar15');
     DeleteService('rjM61');
     DeleteService('qaR02');
     DeleteService('msD15');
     DeleteService('maK48');
     DeleteService('hxI81');
     DeleteService('WebClientWebClient');
     DeleteService('TlntSvrseclogon');
     DeleteService('SCardSvrATMsrvc');
     DeleteService('RpcSsNetman');
     DeleteService('RemoteRegistryTermService');
     DeleteService('PlugPlayMSSQL$PINNACLESYS');
     DeleteService('NetDDEdsdmPinnacleSys.MediaServer');
     DeleteService('mnmsrvcIDriverT');
     DeleteService('iPodServiceTlntSvr');
     DeleteService('ImapiServiceRpcLocator');
     DeleteService('ERSvcNetlogon');
     DeleteService('DnscacheHidServ');
     QuarantineFile('C:\TEMP\mc2E.tmp','');
     QuarantineFile('srv.exe','');
     QuarantineFile('kdzeh.exe','');
     QuarantineFile('WinCtrl32.dll','');
     DeleteFile('C:\TEMP\mc2E.tmp');
     DeleteFile('srv.exe');
     DeleteFile('C:\WINDOWS\System32\Drivers\hxI81.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\maK48.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\msD15.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\qaR02.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\rjM61.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winar15.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winbl85.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winbs26.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winbv48.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Wincb48.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Wincp52.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Wincs68.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Windc81.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Windf68.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Windn28.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Windu74.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Wineg04.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winen37.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winfp10.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Wingx50.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winhq61.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winhu50.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winia48.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winiv41.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winja33.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winji04.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winkf26.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winkj26.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winkq04.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winlc04.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winlg48.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winlg74.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winlr37.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winly15.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winme72.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winmo50.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winmp83.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winms50.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winms81.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winnb48.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winnd82.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winof83.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winog68.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winou15.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winpa43.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winpd06.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winql72.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winqp44.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winrm13.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winrm68.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winrm72.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winrq37.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winta85.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Wintv32.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Wintv37.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winui76.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winvu15.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winwd48.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winwd72.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winwk04.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winxo70.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winxs04.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winyq61.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winyt04.sys');
     DeleteFile('WinCtrl32.dll');
     DeleteFile('kdzeh.exe');
     BC_ImportAll;
     ExecuteSysClean;
     BC_DeleteSvc('Winyt04');
     BC_DeleteSvc('Winyq61');
     BC_DeleteSvc('Winxs04');
     BC_DeleteSvc('Winxo70');
     BC_DeleteSvc('Winwk04');
     BC_DeleteSvc('Winwd72');
     BC_DeleteSvc('Winwd48');
     BC_DeleteSvc('Winvu15');
     BC_DeleteSvc('Winui76');
     BC_DeleteSvc('Wintv37');
     BC_DeleteSvc('Wintv32');
     BC_DeleteSvc('Winta85');
     BC_DeleteSvc('Winrq37');
     BC_DeleteSvc('Winrm72');
     BC_DeleteSvc('Winrm68');
     BC_DeleteSvc('Winrm13');
     BC_DeleteSvc('Winqp44');
     BC_DeleteSvc('Winql72');
     BC_DeleteSvc('Winpd06');
     BC_DeleteSvc('Winpa43');
     BC_DeleteSvc('Winou15');
     BC_DeleteSvc('Winog68');
     BC_DeleteSvc('Winof83');
     BC_DeleteSvc('Winnd82');
     BC_DeleteSvc('Winnb48');
     BC_DeleteSvc('Winms81');
     BC_DeleteSvc('Winms50');
     BC_DeleteSvc('Winmp83');
     BC_DeleteSvc('Winmo50');
     BC_DeleteSvc('Winme72');
     BC_DeleteSvc('Winly15');
     BC_DeleteSvc('Winlr37');
     BC_DeleteSvc('Winlg74');
     BC_DeleteSvc('Winlg48');
     BC_DeleteSvc('Winlc04');
     BC_DeleteSvc('Winkq04');
     BC_DeleteSvc('Winkj26');
     BC_DeleteSvc('Winkf26');
     BC_DeleteSvc('Winji04');
     BC_DeleteSvc('Winja33');
     BC_DeleteSvc('Winiv41');
     BC_DeleteSvc('Winia48');
     BC_DeleteSvc('Winhu50');
     BC_DeleteSvc('Winhq61');
     BC_DeleteSvc('Wingx50');
     BC_DeleteSvc('Winfp10');
     BC_DeleteSvc('Winen37');
     BC_DeleteSvc('Wineg04');
     BC_DeleteSvc('Windu74');
     BC_DeleteSvc('Windn28');
     BC_DeleteSvc('Windf68');
     BC_DeleteSvc('Windc81');
     BC_DeleteSvc('Wincs68');
     BC_DeleteSvc('Wincp52');
     BC_DeleteSvc('Wincb48');
     BC_DeleteSvc('Winbv48');
     BC_DeleteSvc('Winbs26');
     BC_DeleteSvc('Winbl85');
     BC_DeleteSvc('Winar15');
     BC_DeleteSvc('rjM61');
     BC_DeleteSvc('qaR02');
     BC_DeleteSvc('msD15');
     BC_DeleteSvc('maK48');
     BC_DeleteSvc('hxI81');
     BC_DeleteSvc('WebClientWebClient');
     BC_DeleteSvc('TlntSvrseclogon');
     BC_DeleteSvc('SCardSvrATMsrvc');
     BC_DeleteSvc('RpcSsNetman');
     BC_DeleteSvc('RemoteRegistryTermService');
     BC_DeleteSvc('PlugPlayMSSQL$PINNACLESYS');
     BC_DeleteSvc('NetDDEdsdmPinnacleSys.MediaServer');
     BC_DeleteSvc('mnmsrvcIDriverT');
     BC_DeleteSvc('iPodServiceTlntSvr');
     BC_DeleteSvc('ImapiServiceRpcLocator');
     BC_DeleteSvc('ERSvcNetlogon');
     BC_DeleteSvc('DnscacheHidServ');
     BC_Activate;
     RebootWindows(true);
    end.
    Пришлите карантин согласно приложению 3 правил.
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=29985

    3. Повторите логи.
    Сердце решает кого любить... Судьба решает с кем быть...

  4. #3
    Junior Member Репутация
    Регистрация
    11.09.2008
    Сообщений
    10
    Вес репутации
    57
    карантин выслала.

    Файл сохранён как 080911_060401_virus_48c8fb21ec6a0.zip
    Размер файла 313816
    MD5 e3d8841e7424a02c444021ec371fe7e5

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Логи, плиз.

  6. #5
    Junior Member Репутация
    Регистрация
    11.09.2008
    Сообщений
    10
    Вес репутации
    57
    логи вот
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    1. Отключите восстановление системы и антивирус.
    2. Выполните скрипт в AVZ:
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
      DeleteService('xinstall');
      QuarantineFile('C:\WINDOWS\system32\drivers\xinstall.sys','');
      DeleteFile('C:\WINDOWS\system32\drivers\xinstall.sys');
     BC_ImportAll;
     ExecuteSysClean;
     BC_DeleteSvc('xinstall');
    BC_Activate;
    RebootWindows(true);
    end.
    Пришлите карантин согласно приложению 3 правил.
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=29985

    3. Повторите логи.

  8. #7
    Junior Member Репутация
    Регистрация
    11.09.2008
    Сообщений
    10
    Вес репутации
    57
    карантин:

    Файл сохранён как 080911_065905_virus_48c90809b4331.zip
    Размер файла 318023
    MD5 cdf4d663dd391dadd358c95114d694e4

    логи:
    Вложения Вложения

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    1. Отключите восстановление системы и антивирус.
    -Пофиксите
    Код:
    O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
    2. Выполните скрипт в AVZ:
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
       QuarantineFile('C:\WINDOWS\system32\txp4.cpl','');
       DeleteFile('C:\WINDOWS\system32\txp4.cpl');
     BC_ImportAll;
     ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Пришлите карантин согласно приложению 3 правил.
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=29985

    3. Повторите логи.

  10. #9
    Junior Member Репутация
    Регистрация
    11.09.2008
    Сообщений
    10
    Вес репутации
    57
    карантин:
    Файл сохранён как 080911_075219_virus_48c9148329a79.zip
    Размер файла 320508
    MD5 4d13f2b7927cca71081d9c455bb22533

    еще нашла kdzeh.exe в реестре:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion
    HKEY_USERS\S-1-5-21-2000478354-484763869-839522115-500\Software\Microsoft\Windows\CurrentVersion

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от nadya Посмотреть сообщение
    еще нашла kdzeh.exe в реестре:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion
    HKEY_USERS\S-1-5-21-2000478354-484763869-839522115-500\Software\Microsoft\Windows\CurrentVersion
    Удалите значение ключа kdzeh.exe
    А где логи?

  12. #11
    Junior Member Репутация
    Регистрация
    11.09.2008
    Сообщений
    10
    Вес репутации
    57
    удалила

    логи:
    Вложения Вложения

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Не вижу ничего плохого.
    Удалите AdAware - не нужен.
    Обновите Java RE.

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 36
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) nadya, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. DNS Changer
      От hartmann в разделе Помогите!
      Ответов: 21
      Последнее сообщение: 23.06.2009, 00:24
    2. Zlob.DNS Changer
      От briz2008 в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 09:22
    3. Помогите разобраться со Zlob.dns changer
      От testik777 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 01:27
    4. Zlob.DNS Changer
      От reigun в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 04.09.2008, 19:53
    5. Zlob.DNS Changer
      От skz в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 06.07.2008, 16:57

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01380 seconds with 20 queries