-
Junior Member
- Вес репутации
- 58
Рассадник заразы 04
Взялся посмотреть у друга его небольшую сетку из 7 компов, обнаружил при помощи не хитрых манипуляций кучу дырок как в швейцарском сыре
Просьба не оставьте меня в бедствии и помогите
Как и положенно выкладываю все по отдельности каждый компьютер отдельной темой, просто учтите этот факт при лечении
Вложение 83536
Вложение 83537
Вложение 83538
Последний раз редактировалось Monolith; 16.10.2008 в 20:20.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\winload.dll','');
QuarantineFile('C:\WINDOWS\system32\svshost.dll','');
QuarantineFile('C:\WINDOWS\system32\a.exe/r','');
QuarantineFile('C:\WINDOWS\svchost.exe','');
DeleteService('Winxc47');
DeleteService('Winsw47');
DeleteService('Winos36');
DeleteService('Winmq02');
DeleteService('Winkn14');
DeleteService('Winjm36');
DeleteService('Winhl25');
DeleteService('Wineh58');
DeleteService('Winbf58');
DeleteService('Nqt47');
DeleteService('Lpr82');
DeleteService('ati8xbxx');
DeleteService('ati8prxx');
DeleteService('ati8bexx');
DeleteService('ati7xbxx');
DeleteService('ati7uxxx');
DeleteService('ati7adxx');
DeleteService('ati6bexx');
DeleteService('ati5uxxx');
DeleteService('ati5rtxx');
DeleteService('ati5cexx');
DeleteService('ati3jmxx');
DeleteService('ati3fixx');
DeleteService('ati2waxx');
DeleteService('ati2ruxx');
DeleteService('ati2psxx');
DeleteService('ati2knxx');
DeleteService('ati2cfxx');
DeleteService('ati0vyxx');
DeleteService('ati0vxxx');
DeleteService('ati0dgxx');
DeleteService('VSSCryptSvc');
DeleteService('UMWdfSwPrvRasManW32Time');
DeleteService('UMWdfSwPrv');
DeleteService('TrkWksFastUserSwitchingCompatibility');
DeleteService('SpoolerSysmonLog');
DeleteService('SpoolerAudioSrv');
DeleteService('RasManW32Time');
DeleteService('oseCOMSysApp');
DeleteService('MSIServerwuauservMSDTCHTTPFilter');
DeleteService('MSIServerwuauserv');
DeleteService('MSDTCHTTPFilter');
DeleteService('HTTPFilterImapiService');
DeleteService('DnscacheMSDTC');
QuarantineFile('srv.exe','');
QuarantineFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\System32\Cpl32ver.exe','');
DeleteFile('C:\WINDOWS\System32\Cpl32ver.exe');
DeleteFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dll');
DeleteFile('srv.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\ati0dgxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati0vxxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati0vyxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati2cfxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati2knxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati2psxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati2ruxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati2waxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati3fixx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati3jmxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati5cexx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati5rtxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati5uxxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati6bexx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati7adxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati7hkxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati7uxxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati7xbxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati8bexx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati8prxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati8xbxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati8ruxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Lpr82.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Nqt47.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Psv58.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winbf58.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wineh58.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winhl25.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winjm36.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winkn14.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winmq02.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winor71.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winos36.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winpt02.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winru47.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winsw47.sys');
DeleteFile('C:\WINDOWS\svchost.exe');
DeleteFile('C:\WINDOWS\system32\a.exe/r');
DeleteFile('C:\WINDOWS\system32\svshost.dll');
DeleteFile('WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\winload.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
повторите логи
-
-
Junior Member
- Вес репутации
- 58
Последний раз редактировалось Monolith; 16.10.2008 в 20:20.
-
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Winxc47');
DeleteService('ati4uxxx');
DeleteFile('C:\WINDOWS\System32\Drivers\ati4uxxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winxc47.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Winxc47');
BC_DeleteSvc('ati4uxxx');
BC_Activate;
RebootWindows(true);
end.
Повторите логи...
-
-
Junior Member
- Вес репутации
- 58
Вложение 83600
Вложение 83601
Вложение 83602
Вроде как все... если обострения будут завтра ещё побеспокою чуть чуть, всем большое спасибо за помощь
Последний раз редактировалось Monolith; 16.10.2008 в 20:20.
-
Пофиксить
Код:
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
Жалобы есть?
-