трояны...руткиты
Добрый день!
Помогите, пожалуйста в лечении еще одного компа.
avira заругалась на процесс ati2wcxx.sys
В логах avz кроме подозрительных объектов не нравятся:
.sys
ati0xdxx.sys (я так понимаю, это из одной команды с ati2wcxx.sys, имена меняются что ли)
megaup~1.dll
Что еще плохого есть?
PS:Пожалуйста, не ругайтесь, что логи не совсем по правилам...
(восстановление системы было не отключено и не все лишние процессы остановлены)
просто комп не мой, сделали логи пока как смогли
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Восстановление отключить!
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Пришлите карантин по правилам,очистите временные папки,кеш браузера и повторите логи...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL',''); DeleteService('ati0xdxx'); QuarantineFile('C:\WINDOWS\System32\Drivers\ati0xdxx.sys',''); DeleteFile('C:\WINDOWS\System32\Drivers\ati0xdxx.sys'); DeleteFile('C:\Documents and Settings\All Users.WINDOWS\Application Data\Apple\Installer Cache\Bonjour 1.0.104\Bonjour.msi'); DeleteFile('C:\WINDOWS\system32\dns-sd.exe'); BC_ImportALL; ExecuteSysClean; BC_DeleteSvc('ati0xdxx'); BC_Activate; RebootWindows(true); end.
Уже отключено и очищено...
А подскажите, от этого Bonjour какой вред?
поставился вроде с какой-то прогой от adobe, c Photoshop или acrobat...
и dns-sd.exe я так понимаю тоже от него...
зы: основной проге не навредит?
Последний раз редактировалось lemurz9; 07.10.2008 в 17:02.
Удалите его http://virusinfo.info/showthread.php?t=27923
Добрый день!
В карантин попали только следующие файлы:
C:\Program Files\MapInfo\Professional7\MapInfoW.bak
C:\Program Files\Graphisoft\ArchiCAD10\ArchiCAD.exe.bak
C:\Program Files\DivX\DivXConverter\Converter.exe.bak
Думаю, присылать их не надо...
После скрипта MEGAUP~1.DLL и ati2wcxx.sys живы-здоровы и чувствуют себя прекрасно. Выпишите им что-нибудь еще, доктор
Удалить Bonjour по рецепту Rene-gad еще не успела.
Вот новые логи
up
Последний раз редактировалось Rene-gad; 08.10.2008 в 12:56.
Удалите Megaupload Toolbar
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\System32\Drivers\ati2wcxx.sys',''); StopService('ati2wcxx'); DeleteService('ati2wcxx'); DeleteService('Bonjour Service'); DeleteFile('C:\WINDOWS\System32\Drivers\ati2wcxx.sys'); DeleteFile('c:\program files\bonjour\mdnsresponder.exe'); DeleteFile('C:\Program Files\Megaupload\Mega Manager\MegaIEMn.dll'); DeleteFile('C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL'); DelBHO('{bf00e119-21a3-4fd1-b178-3b8537e75c92}'); DelBHO('{4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C}'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('ati2wcxx'); BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 2 правил).
- Прикрепите логи к новому сообщению.
Добрый день!
При выполнении скрипта комп выпал в черный экран... Выходить из этого состояния самостоятельно не собирался и был принудительно перезагружен...
Не знаю, выполнился ли скрипт правильно...
В карантин попали все те же безвредные файлы, что и в прошлый раз...
ati2wcxx.sys по-прежнему на месте и в карантин не попал...
Megaupload Toolbar по хорошему удалить не получается - ошибка setup.exe
Откючила его пока в надстройках IE...
Вот новые логи
Скачайте IceSword, удалите с помощью force delete
- Выполните скриптКод:C:\WINDOWS\System32\Drivers\ati2wcxx.sys
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); StopService('ati2wcxx'); DeleteService('ati2wcxx'); DelBHO('{4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C}'); DelBHO('{bf00e119-21a3-4fd1-b178-3b8537e75c92}'); DeleteFile('C:\Program Files\Megaupload\Mega Manager\MegaIEMn.dll'); DeleteFile('C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL'); DeleteFile('C:\WINDOWS\System32\Drivers\ati2wcxx.sys'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('ati2wcxx'); BC_Activate; RebootWindows(true); end.
- Сделайте повторные логи по правилам.
ati2wcxx.sys не могут найти ни IceSword, ни avz (в безопасном режиме тоже)...
может с диска загрузиться и из консоли его попробовать удалить?
скрипт выполнился без ошибок...
новый комплект логов давайте ...
нету.. его там нету
я имею ввиду ati2wcxx.sys в логах нет
посмотрите, больше ничего плохого?
ничего плохого
Благодарю всех, кто мне помогал
Уважаемый(ая) lemurz9, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
