-
Junior Member
- Вес репутации
- 57
Добрый день!Такая проблема:словил trojan.downloader.Вроде вылечил всё dr.web.Потом заметил что svchost качает трафик бесперебойно.Firewall показал что соединяется этот svchost с разными серверами каждый раз.Dr.web и Spyboot ничего не видят(базы новые).Сделал проверку как написао у Вас в разделе "Помогите".Вот высылаю.
Вот:
Последний раз редактировалось ZAP!; 21.09.2008 в 16:27.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Скачайте IceSword , поищите и скопируйте файлы:
Код:
C:\WINDOWS\System32\Drivers\ati3kpxx.sys
C:\WINDOWS\system32\drivers\synsenddrv.sys
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
Потом удалите их с помощью force delete
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\synsenddrv.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\RRQNPTRW.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\ptptptpt.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati3kpxx.sys','');
QuarantineFile('C:\WINDOWS\system32\cssrss.exe','');
QuarantineFile('C:\WINDOWS\System32\CcEvtSvc.exe','');
QuarantineFile('C:\WINDOWS\msauc.exe','');
QuarantineFile('C:\WINDOWS\C:\WINDOWS\System32\svchost.exe','');
QuarantineFile('C:\TEMP\9B.tmp','');
QuarantineFile('C:\\Documents and Settings\\as\\Рабочий стол\\ByFly_GUEST.lnk','');
DeleteService('wscsvc');
DeleteService('UmxPol');
DeleteService('UmxLU');
DeleteService('UmxAgent');
DeleteService('tcpsr');
DeleteService('synsend');
DeleteService('RRQNPTRW');
DeleteService('ptptptpt');
DeleteService('CcEvtSvc');
DeleteService('ati3kpxx');
DeleteService('{DEF85C80-216A-43ab-AF70-1665EDBE2780}');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
DeleteFile('C:\WINDOWS\system32\drivers\RRQNPTRW.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ptptptpt.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati3kpxx.sys');
DeleteFile('C:\WINDOWS\system32\cssrss.exe');
DeleteFile('C:\WINDOWS\System32\CcEvtSvc.exe');
DeleteFile('C:\WINDOWS\msauc.exe');
DeleteFile('C:\WINDOWS\C:\WINDOWS\System32\svchost.exe');
DeleteFile('C:\TEMP\9B.tmp');
DeleteFile('C:\\Documents and Settings\\as\\Рабочий стол\\ByFly_GUEST.lnk');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('{DEF85C80-216A-43ab-AF70-1665EDBE2780}');
BC_DeleteSvc('ati3kpxx');
BC_DeleteSvc('CcEvtSvc');
BC_DeleteSvc('ptptptpt');
BC_DeleteSvc('RRQNPTRW');
BC_DeleteSvc('synsend');
BC_DeleteSvc('tcpsr');
BC_DeleteSvc('UmxAgent');
BC_DeleteSvc('UmxLU');
BC_DeleteSvc('UmxPol');
BC_DeleteSvc('wscsvc');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
Код:
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 2 п.4 правил).
- Прикрепите логи к новому сообщению.
-
-
Junior Member
- Вес репутации
- 57
synsenddrv.sys не было. ati3kpxx.sys высылаю . Проблема не иссякла-всё равно что-то качает.и ещё-заметил что иногда(после попадания вируса) когда я online слышен звук ошибки windows . но никаких диологовых окон при этом не выскакивает.Вот логи:
Последний раз редактировалось ZAP!; 25.09.2008 в 00:52.
-
Junior Member
- Вес репутации
- 57
Последний раз редактировалось ZAP!; 25.09.2008 в 00:52.
-
В IceSword сделайте Force Delete сладкой парочке:
Код:
C:\WINDOWS\System32\Drivers\ati3kpxx.sys
C:\WINDOWS\System32\drivers\tcpsr.sys
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('ati3kpxx');
DeleteFile('C:\WINDOWS\system32\Drivers\ati3kpxx.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('ati3kpxx');
BC_Activate;
RebootWindows(true);
end.
Повторите логи...
-
-
Junior Member
- Вес репутации
- 57
C:\WINDOWS\System32\drivers\tcpsr.sys - такого нет вообще.Всё остальное сделал.Вот логи:
Последний раз редактировалось ZAP!; 25.09.2008 в 00:52.
-
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('tcpsr');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('tcpsr');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
Код:
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 2 п.4 правил).
- Прикрепите логи к новому сообщению.
-
-
Junior Member
- Вес репутации
- 57
По мойму проблема была решена уже после #5 . Спасибо ВСЕМ-Вы оказали неоценимую помощь!
-
Сообщение от
ZAP!
По мойму проблема была решена уже после #5 . Спасибо ВСЕМ-Вы оказали неоценимую помощь!
По мойму у Вас сидит зловред... Или Вы считаете, что мы пишем скрипты, потому что графоманией поражены?
-
-
Junior Member
- Вес репутации
- 57
Извините-Вы правы.Кстати-после последнего скрипта отказал ДРАЙВЕР аудиокарты.высылаю новые логи:
Последний раз редактировалось ZAP!; 25.09.2008 в 00:52.
-
В IceSword сделайте этим файлам Force Delete:
Код:
C:\WINDOWS\system32\drivers\oxlmlacibr.sys
C:\WINDOWS\system32\drivers\synsenddrv.sys
C:\WINDOWS\system32\drivers\toqpttqs.sys
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\toqpttqs.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\synsenddrv.sys','');
QuarantineFile('\??\C:\WINDOWS\system32\drivers\oxlmlacibr.sys','');
DeleteService('tcpsr');
DeleteService('npftb');
DeleteService('toqpttqs');
DeleteFile('\??\C:\WINDOWS\system32\drivers\oxlmlacibr.sys');
DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
DeleteFile('C:\WINDOWS\system32\drivers\toqpttqs.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('tcpsr');
BC_DeleteSvc('npftb');
BC_DeleteSvc('toqpttqs');
BC_Activate;
RebootWindows(true);
end.
Пришлите карантин по правилам и повторите логи...
-
-
+ вот этот мусор пофиксите
Код:
O4 - HKLM\..\RunOnce: [InstallShieldSetup] C:\PROGRA~1\INSTAL~1\{84F57~1\setup.exe -rebootC:\PROGRA~1\INSTAL~1\{84F57~1\reboot.ini -l0x9
O4 - HKLM\..\RunOnce: [InstallShieldSetup1] C:\PROGRA~1\INSTAL~1\{A82F1~1\setup.exe -rebootC:\PROGRA~1\INSTAL~1\{A82F1~1\reboot.ini -l0x9
O4 - HKLM\..\RunOnce: [InstallShieldSetup2] C:\PROGRA~1\INSTAL~1\{C6440~1\setup.exe -rebootC:\PROGRA~1\INSTAL~1\{C6440~1\reboot.ini -l0x9
O4 - HKLM\..\RunOnce: [InstallShieldSetup3] C:\PROGRA~1\INSTAL~1\{A82F1~1\setup.exe -rebootC:\PROGRA~1\INSTAL~1\{A82F1~1\reboot.ini -l0x9
O4 - HKLM\..\RunOnce: [InstallShieldSetup4] C:\PROGRA~1\INSTAL~1\{52338~1\setup.exe -rebootC:\PROGRA~1\INSTAL~1\{52338~1\reboot.ini -l0x9
O4 - HKLM\..\RunOnce: [InstallShieldSetup5] C:\PROGRA~1\INSTAL~1\{A82F1~1\setup.exe -rebootC:\PROGRA~1\INSTAL~1\{A82F1~1\reboot.ini -l0x9
O4 - HKLM\..\RunOnce: [InstallShieldSetup6] C:\PROGRA~1\INSTAL~1\{32B4B~1\setup.exe -rebootC:\PROGRA~1\INSTAL~1\{32B4B~1\reboot.ini -l0x9
O4 - HKLM\..\RunOnce: [InstallShieldSetup7] C:\PROGRA~1\INSTAL~1\{A82F1~1\setup.exe -rebootC:\PROGRA~1\INSTAL~1\{A82F1~1\reboot.ini -l0x9
O4 - HKLM\..\RunOnce: [InstallShieldSetup8] C:\PROGRA~1\INSTAL~1\{DE4A4~1\setup.exe -rebootC:\PROGRA~1\INSTAL~1\{DE4A4~1\reboot.ini -l0x9
O4 - HKLM\..\RunOnce: [InstallShieldSetup9] C:\PROGRA~1\INSTAL~1\{1B1DD~1\SETUP.EXE -rebootC:\PROGRA~1\INSTAL~1\{1B1DD~1\reboot.ini -l0x9
-
-
Junior Member
- Вес репутации
- 57
Но там нет таких строчек.Что именно фиксить?Вот логи:
Последний раз редактировалось ZAP!; 25.09.2008 в 00:52.
-
В логах чисто,жалобы есть?
-
-
Junior Member
- Вес репутации
- 57
Пока что всё хорошо-СПАСИБО.Если что-отпишусь.
-
Junior Member
- Вес репутации
- 57
Всё равно-после соединения с и-нетом через сек 10-15 нагло что-то качает.Firewall молчит как и всё другое.ПОМОГИТЕ пожалуйста!Вот новые логи:
Последний раз редактировалось ZAP!; 02.10.2008 в 11:29.
-
Скачайте IceSword , поищите и скопируйте файлы:
Код:
c:\windows\system32\winhelp32.exe
C:\WINDOWS\system32\vmmreg32.dll
C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys
C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp
C:\WINDOWS\SYSTEM32\VIDEO.sys
C:\WINDOWS\SYSTEM32\VIDEO.bkp
C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp
C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe
C:\WINDOWS\SYSTEM32\webmin\winhelp32.bkp
Скопированные с помощью IceSword файлы сохраните в карантине ...avz\quarantine\.
Потом удалите их с помощью force delete
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт 1
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\winhelp32.exe');
DeleteService('VIDEO');
DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe','');
QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp','');
QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp','');
QuarantineFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys','');
QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.bkp','');
QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.sys','');
QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
QuarantineFile('c:\windows\system32\winhelp32.exe','');
DeleteFile('c:\windows\system32\winhelp32.exe');
DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
DeleteFile('C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys');
DeleteFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp');
DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.bkp');
DeleteFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp');
DeleteFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe');
executerepair(6);
executerepair(8);
executerepair(9);
executerepair(11);
executerepair(16);
executerepair(17);
RegKeyStrParamWrite('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Startup', '%USERPROFILE%\Главное меню\Программы\Автозагрузка');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Common Startup', '%ALLUSERSPROFILE%\Главное меню\Программы\Автозагрузка');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('VIDEO');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
-
-
Junior Member
- Вес репутации
- 57
Таких файлов там не было.Логи:
Последний раз редактировалось ZAP!; 02.10.2008 в 11:29.
-
-Пофиксите
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\winhelp.exe
O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
Какие еще проблемы?
-
-
Junior Member
- Вес репутации
- 57
Сейчас вроде не качает сам.Хотя иногда всё же даже при загруженных страницах что-то подкачивать пытается.