Господа хелперы, благодаря Вам, с моим компом уже несколько недель все отлично. Теперь проблема с компом моей мамы. Я подозреваю что на этой машине тонна вирусов, потому что она месяца 2 лазила в нете с выключенным каспером(буритос с кариной постарались), еще частенько появляется BSOD. Ну и на раб. столе и в трее уже приевшиеся надписи об инфицированности. В общем не буду дальше перечислять все «прелести», высылаю логи, надеюсь на Вашу помощь.
Последний раз редактировалось Steel; 03.10.2008 в 22:57.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file) O4 - HKLM\..\Run: [buritos] buritos.exe O9 - Extra button: (no name) - {9819CC0E-9669-4D01-9CD7-2C66DA43AC6C} - shell32.dll (file missing) O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe (file missing) O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe (file missing) O20 - AppInit_DLLs: karina.dat O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\winstart.bat',''); QuarantineFile('C:\WINDOWS\system32\karina.dat',''); QuarantineFile('C:\WINDOWS\system32\braviax.exe',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS',''); QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll',''); QuarantineFile('C:\WINDOWS\system32\buritos.exe',''); DeleteFile('C:\WINDOWS\system32\buritos.exe'); DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll'); DeleteFile('C:\WINDOWS\System32\Drivers\Beep.SYS'); DeleteFile('C:\WINDOWS\system32\blphcp9nj0elbe.scr'); DeleteFile('C:\WINDOWS\system32\braviax.exe'); DeleteFile('C:\WINDOWS\system32\karina.dat'); DeleteFile('C:\WINDOWS\braviax.exe'); DeleteFile('C:\WINDOWS\karina.dat'); DeleteFile('C:\WINDOWS\winstart.bat'); DeleteFile('C:\WINDOWS\system32\drivers\Winag17.sys'); DeleteFile('C:\WINDOWS\system32\drivers\Winag27.sys'); DeleteFile('C:\WINDOWS\system32\drivers\Winbh41.sys'); DeleteFile('C:\WINDOWS\system32\drivers\Winbh51.sys'); DeleteFile('C:\WINDOWS\system32\drivers\Winci28.sys'); DeleteFile('C:\WINDOWS\system32\drivers\Winci41.sys'); DeleteFile('C:\WINDOWS\system32\drivers\Winci52.sys'); DeleteFile('C:\WINDOWS\system32\drivers\Winci84.sys'); DeleteFile('C:\WINDOWS\system32\drivers\Winci85.sys'); DeleteFile('C:\WINDOWS\system32\drivers\Windj28.sys'); DeleteFile('C:\WINDOWS\system32\drivers\Windj85.sys'); DeleteFile('C:\WINDOWS\system32\drivers\Winfl40.sys'); DeleteFile('C:\WINDOWS\system32\drivers\Winfl41.sys'); DeleteFile('C:\WINDOWS\system32\drivers\Wingm63.sys'); DeleteFile('C:\WINDOWS\system32\drivers\Winho52.sys'); DeleteFile('C:\WINDOWS\system32\drivers\Winip41.sys'); DeleteFile('C:\WINDOWS\system32\drivers\Winjp30.sys'); DeleteFile('C:\WINDOWS\system32\drivers\Winkq63.sys'); DeleteFile('C:\WINDOWS\system32\drivers\Winkr63.sys'); DeleteFile('C:\WINDOWS\system32\drivers\Winms17.sys'); DeleteFile('C:\WINDOWS\system32\drivers\Winmt85.sys'); DeleteFile('C:\WINDOWS\system32\drivers\Winnt74.sys'); DeleteFile('C:\WINDOWS\system32\drivers\Winou41.sys'); DeleteFile('C:\WINDOWS\system32\drivers\Winou52.sys'); DeleteFile('C:\WINDOWS\system32\drivers\Winpv30.sys'); DeleteFile('C:\WINDOWS\system32\drivers\Winpw05.sys'); DeleteFile('C:\WINDOWS\system32\drivers\Winsy17.sys'); DeleteFile('C:\WINDOWS\system32\drivers\Winsy41.sys'); DeleteFile('C:\WINDOWS\system32\drivers\Winta17.sys'); DeleteFile('C:\WINDOWS\system32\drivers\Winta41.sys'); DeleteFile('C:\WINDOWS\system32\drivers\Winub17.sys'); DeleteFile('C:\WINDOWS\system32\drivers\Winvc17.sys'); DeleteFile('C:\WINDOWS\system32\drivers\Winvc40.sys'); DeleteFile('C:\WINDOWS\system32\winivstr.exe'); DeleteFile('C:\WINDOWS\system32\mswapi.dll'); DeleteFile('C:\WINDOWS\system32\drivers\Winyf85.sys'); DeleteFile('C:\WINDOWS\system32\drivers\Winyf27.sys'); DeleteFile('C:\WINDOWS\system32\drivers\Winyf06.sys'); DeleteFile('C:\WINDOWS\system32\drivers\Winxe17.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('Winyf27'); BC_DeleteSvc('Winyf06'); BC_DeleteSvc('Winxe17'); BC_DeleteSvc('Winvc40'); BC_DeleteSvc('Winvc17'); BC_DeleteSvc('Winta41'); BC_DeleteSvc('Winta17'); BC_DeleteSvc('Winsy41'); BC_DeleteSvc('Winsy17'); BC_DeleteSvc('Winpw05'); BC_DeleteSvc('Winpv30'); BC_DeleteSvc('Winou52'); BC_DeleteSvc('Winou41'); BC_DeleteSvc('Winnt74'); BC_DeleteSvc('Winmt85'); BC_DeleteSvc('Winms17'); BC_DeleteSvc('Winkr63'); BC_DeleteSvc('Winkq63'); BC_DeleteSvc('Winjp30'); BC_DeleteSvc('Winip41'); BC_DeleteSvc('Winho52'); BC_DeleteSvc('Wingm63'); BC_DeleteSvc('Winfl41'); BC_DeleteSvc('Winfl40'); BC_DeleteSvc('Windj28'); BC_DeleteSvc('Winci85'); BC_DeleteSvc('Winci84'); BC_DeleteSvc('Winci52'); BC_DeleteSvc('Winci41'); BC_DeleteSvc('Winci28'); BC_DeleteSvc('Winbh51'); BC_DeleteSvc('Winbh41'); BC_DeleteSvc('Winag27'); BC_DeleteSvc('Winag17'); BC_DeleteSvc('Beep'); BC_DeleteSvc('WebClientProtectedStorage'); BC_DeleteSvc('TapiSrvRpcSs'); BC_DeleteSvc('SwPrvxmlprovW32Time'); BC_DeleteSvc('ShellHWDetectionHidServHidServNtLmSsp'); BC_DeleteSvc('ShellHWDetectionHidServHidServ'); BC_DeleteSvc('SharedAccess Hid Service'); BC_DeleteSvc('Scheduledmserver'); BC_DeleteSvc('SamSsHTTPFilterNetman'); BC_DeleteSvc('SamSsHTTPFilter'); BC_DeleteSvc('RSVPMSDTC'); BC_DeleteSvc('RSVPBlueSoleilEventlog'); BC_DeleteSvc('RpcLocatorNVSvc'); BC_DeleteSvc('RpcLocatorAVP'); BC_DeleteSvc('RemoteRegistryImapiService'); BC_DeleteSvc('RemoteRegistry LM Service'); BC_DeleteSvc('NetmanMSIServer'); BC_DeleteSvc( 'FastUserSwitchingCompatibilityImapiServiceCryptSvc'); BC_DeleteSvc('HidServHidServ'); BC_DeleteSvc('ImapiServiceupnphost'); BC_DeleteSvc('McDetect.exeupnphost'); BC_DeleteSvc( 'FastUserSwitchingCompatibilityImapiService'); BC_DeleteSvc('EventSystemTlntSvr'); BC_DeleteSvc('ERSvcVSS'); BC_DeleteSvc('ERSvcTrkWks'); BC_DeleteSvc('dmserverSCardSvr'); BC_DeleteSvc('COMSysAppwinmgmt'); BC_DeleteSvc('CiSvcmnmsrvc'); BC_DeleteSvc('CiSvcDcomLaunch'); BC_DeleteSvc('CiSvc Hid Service'); BC_DeleteSvc('BlueSoleilEventlog'); BC_DeleteSvc('BITS LM Service'); BC_DeleteSvc('AudioSrvlanmanworkstation'); BC_Activate; ExecuteRepair(5); ExecuteRepair(6); ExecuteRepair(8); RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); RebootWindows(true); end.
Пришлите карантин согласно приложению 2 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=31021).
Обновите базы AVZ. Сделайте новые логи.
I am not young enough to know everything...
Уже гораздо лучше, сообщения об инфицированности пропали!
Последний раз редактировалось Steel; 03.10.2008 в 22:57.
Пофиксить
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".Код:O20 - AppInit_DLLs: karina.dat O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
Очистите временные файлы, кеш браузера и повторите логи...Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('Winta63'); DeleteService('Winio30'); DeleteService('Winhn52'); DeleteService('NetmanClipSrv'); DeleteService('NetlogonCiSvcDcomLaunch'); DeleteService('MSDTCdmadmin'); DeleteFile('C:\WINDOWS\System32\drivers\Winhn52.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Winio30.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Winta63.sys'); DeleteFile('C:\WINDOWS\system32\drivers\Winhn52.sys'); DeleteFile('C:\WINDOWS\system32\drivers\Winio30.sys'); DeleteFile('C:\WINDOWS\system32\drivers\Winta63.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('Winta63'); BC_DeleteSvc('Winio30'); BC_DeleteSvc('Winhn52'); BC_DeleteSvc('NetmanClipSrv'); BC_DeleteSvc('NetlogonCiSvcDcomLaunch'); BC_DeleteSvc('MSDTCdmadmin'); BC_Activate; RebootWindows(true); end.
Логи:
Последний раз редактировалось Steel; 03.10.2008 в 22:57.
Чисто, жалобы есть?
Вроде бы все хорошо, респект!!!
Уважаемый(ая) Steel, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
