Нашел несколько троянов и что-то еще, не могу избавиться.
Нашел несколько троянов и что-то еще, не могу избавиться.
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); SetServiceStart('service.sys', 4); SetServiceStart('Microsoft PS Service', 4); SetServiceStart('symavc32', 4); SetServiceStart('hipsrv', 4); QuarantineFile('C:\WINDOWS\system32\mmmaklak.dll',''); QuarantineFile('C:\WINDOWS\system32\7z.exe',''); QuarantineFile('C:\WINDOWS\mmhren1.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\symavc32.sys',''); QuarantineFile('C:\WINDOWS\system32\service.sys',''); QuarantineFile('C:\WINDOWS\system\hipsrv.mm',''); QuarantineFile('C:\WINDOWS\system32\1049j.exe',''); QuarantineFile('C:\WINDOWS\System32\drivers\c1398e01.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\b52c25d8.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\54978da0.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\4995812.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\3773f57e.sys',''); QuarantineFile('C:\WINDOWS\system32\_svchost.exe',''); DeleteFile('C:\WINDOWS\system32\_svchost.exe'); DeleteFile('C:\WINDOWS\system32\1049j.exe'); DeleteFile('C:\WINDOWS\system\hipsrv.mm'); DeleteFile('C:\WINDOWS\system32\service.sys'); DeleteFile('C:\WINDOWS\system32\drivers\symavc32.sys'); DeleteFile('C:\WINDOWS\mmhren1.exe'); DeleteFile('C:\WINDOWS\system32\mmmaklak.dll'); DeleteFile('C:\WINDOWS\System32\drivers\3773f57e.sys'); DeleteFile('C:\WINDOWS\System32\drivers\4995812.sys'); DeleteFile('C:\WINDOWS\System32\drivers\54978da0.sys'); DeleteFile('C:\WINDOWS\System32\drivers\b52c25d8.sys'); DeleteFile('C:\WINDOWS\System32\drivers\c1398e01.sys'); DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\PAJY2FMB\install[1].htm'); DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\PAJY2FMB\install[2].htm'); DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\PAJY2FMB\install[3].htm'); DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\PAJY2FMB\install[4].htm'); DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\PAJY2FMB\install[5].htm'); DeleteFile('C:\WINDOWS\system32\7z.exe'); DeleteService('symavc32'); DeleteService('ThemesRpcLocator'); DeleteService('Microsoft PS Service'); DeleteService('ThemesRpcLocator'); DeleteService('ThemesRpcLocator'); DeleteService('hipsrv'); DeleteService('service.sys'); BC_ImportALL; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
Пофиксить в HijackThis следующие строчки
Добавлено через 34 секундыКод:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\7z.exe, O20 - AppInit_DLLs: C:\WINDOWS\system32\mmmaklak.dll
Повторите логи.
Последний раз редактировалось akoK; 01.10.2008 в 15:32. Причина: Добавлено
Microsoft Most Valuable Professional in Consumer Security
Скрипт выполнил, профиксить неудалось, таких строк неоказалось.
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\System32\drivers\3773f57e.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\4995812.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\54978da0.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\b52c25d8.sys',''); DeleteService('c1398e01'); DeleteService('b52c25d8'); DeleteService('54978da0'); DeleteService('4995812'); DeleteService('3773f57e'); DeleteFile('C:\WINDOWS\System32\drivers\c1398e01.sys'); DeleteFile('C:\WINDOWS\System32\drivers\b52c25d8.sys'); DeleteFile('C:\WINDOWS\System32\drivers\54978da0.sys'); DeleteFile('C:\WINDOWS\System32\drivers\4995812.sys'); DeleteFile('C:\WINDOWS\System32\drivers\3773f57e.sys'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('c1398e01'); BC_DeleteSvc('b52c25d8'); BC_DeleteSvc('54978da0'); BC_DeleteSvc('4995812'); BC_DeleteSvc('3773f57e'); BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 2 правил).
- Прикрепите логи к новому сообщению.
Скинул
Ничего подозрительного.
Жалобы есть?
Жалоб нет, огромное спасибо.
Знать бы еще что за гадость была
в присланном карантине было только Trojan.Win32.Pakes.bhh (kaspersky)
анализ
Могу сказать даже больше, как не заразиться вновь Читаем и выполняем:
http://virusinfo.info/showthread.php?t=30339
Последний раз редактировалось drongo; 02.10.2008 в 10:47.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 62
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\localservice\\local settings\\temporary internet files\\content.ie5\\pajy2fmb\\install[1].htm - Trojan.Win32.Pakes.bhh (DrWEB: Trojan.Spambot.4117)
- c:\\documents and settings\\localservice\\local settings\\temporary internet files\\content.ie5\\pajy2fmb\\install[2].htm - Trojan.Win32.Pakes.bhh (DrWEB: Trojan.Spambot.4117)
- c:\\documents and settings\\localservice\\local settings\\temporary internet files\\content.ie5\\pajy2fmb\\install[3].htm - Trojan.Win32.Pakes.bhh (DrWEB: Trojan.Spambot.4117)
- c:\\documents and settings\\localservice\\local settings\\temporary internet files\\content.ie5\\pajy2fmb\\install[4].htm - Trojan.Win32.Pakes.bhh (DrWEB: Trojan.Spambot.4117)
- c:\\documents and settings\\localservice\\local settings\\temporary internet files\\content.ie5\\pajy2fmb\\install[5].htm - Trojan.Win32.Pakes.bhh (DrWEB: Trojan.Spambot.4117)
Уважаемый(ая) mixam, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.