Temporary internet files, куча заражённых cab файлов
Здравствуйте... Вот опять столкнулся с примерно той же проблемой что и раньше. Virus.Win32 _PE Type1. При попытке очистить Темп инет файлс - выпадает в BSOD. Дикое количество "hijacked" hosts....
Вот логи. Сразу же по запросу могу выслать карантин... Он большой
Последний раз редактировалось Alkoroller; 07.11.2008 в 14:52.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Помогите пожалуйста, люди добрые...
Очистите корзину.
Обновите базы АВЗ.
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\Documents and Settings\alter\Local Settings\Temporary Internet Files\Content.IE5\LIXYN95G\017[1].cab',''); QuarantineFile('C:\WINDOWS\system32\Drivers\HBKernel32.sys',''); QuarantineFile('C:\WINDOWS\system32\HBZHUXIAN.dll',''); QuarantineFile('C:\WINDOWS\system32\HBQQFFO.dll',''); QuarantineFile('C:\WINDOWS\system32\HBmhly.dll',''); QuarantineFile('C:\WINDOWS\system32\HBCHIBI.dll',''); QuarantineFile('C:\WINDOWS\system32\HBBO.dll',''); QuarantineFile('C:\WINDOWS\system32\F65BDEC7.dll',''); QuarantineFile('C:\WINDOWS\system32\E3367679.dll',''); QuarantineFile('C:\WINDOWS\system32\DE02F764.dll',''); QuarantineFile('C:\WINDOWS\system32\DA63E650.dll',''); QuarantineFile('C:\WINDOWS\system32\D91BC61E.dll',''); QuarantineFile('C:\WINDOWS\system32\C250CF20.dll',''); QuarantineFile('C:\WINDOWS\system32\A8FC611B.dll',''); QuarantineFile('C:\WINDOWS\system32\9F684DE8.dll',''); QuarantineFile('C:\WINDOWS\system32\9CA963CA.dll',''); QuarantineFile('C:\WINDOWS\system32\7ADC2AB1.dll',''); QuarantineFile('C:\WINDOWS\system32\58FF3024.dll',''); QuarantineFile('C:\WINDOWS\system32\4D023DE9.dll',''); QuarantineFile('C:\WINDOWS\system32\4BF9CBA3.dll',''); QuarantineFile('C:\WINDOWS\system32\495271CA.dll',''); QuarantineFile('C:\WINDOWS\system32\43ACDCC5.dll',''); QuarantineFile('C:\WINDOWS\system32\3474A8C2.dll',''); QuarantineFile('C:\WINDOWS\system32\22D75360.dll',''); QuarantineFile('C:\WINDOWS\system32\122B901E.dll',''); QuarantineFile('C:\WINDOWS\system32\08223B03.dll',''); DeleteFile('C:\WINDOWS\system32\System.exe'); DeleteFile('C:\WINDOWS\system32\08223B03.dll'); DeleteFile('C:\WINDOWS\system32\122B901E.dll'); DeleteFile('C:\WINDOWS\system32\22D75360.dll'); DeleteFile('C:\WINDOWS\system32\3474A8C2.dll'); DeleteFile('C:\WINDOWS\system32\495271CA.dll'); DeleteFile('C:\WINDOWS\system32\4BF9CBA3.dll'); DeleteFile('C:\WINDOWS\system32\4D023DE9.dll'); DeleteFile('C:\WINDOWS\system32\58FF3024.dll'); DeleteFile('C:\WINDOWS\system32\7ADC2AB1.dll'); DeleteFile('C:\WINDOWS\system32\9CA963CA.dll'); DeleteFile('C:\WINDOWS\system32\9F684DE8.dll'); DeleteFile('C:\WINDOWS\system32\A8FC611B.dll'); DeleteFile('C:\WINDOWS\system32\C250CF20.dll'); DeleteFile('C:\WINDOWS\system32\D91BC61E.dll'); DeleteFile('C:\WINDOWS\system32\DA63E650.dll'); DeleteFile('C:\WINDOWS\system32\DE02F764.dll'); DeleteFile('C:\WINDOWS\system32\E3367679.dll'); DeleteFile('C:\WINDOWS\system32\F65BDEC7.dll'); DeleteFile('C:\WINDOWS\system32\HBBO.dll'); DeleteFile('C:\WINDOWS\system32\HBCHIBI.dll'); DeleteFile('C:\WINDOWS\system32\HBmhly.dll'); DeleteFile('C:\WINDOWS\system32\HBQQFFO.dll'); DeleteFile('C:\WINDOWS\system32\HBZHUXIAN.dll'); DeleteFile('C:\WINDOWS\system32\Drivers\HBKernel32.sys'); DeleteFile('C:\Documents and Settings\alter\Local Settings\Temporary Internet Files\Content.IE5\3R4MJM00\003[1].cab'); DeleteFile('C:\Documents and Settings\alter\Local Settings\Temporary Internet Files\Content.IE5\3R4MJM00\007[1].cab'); DeleteFile('C:\Documents and Settings\alter\Local Settings\Temporary Internet Files\Content.IE5\3R4MJM00\011[1].cab'); DeleteFile('C:\Documents and Settings\alter\Local Settings\Temporary Internet Files\Content.IE5\3R4MJM00\015[1].cab'); DeleteFile('C:\Documents and Settings\alter\Local Settings\Temporary Internet Files\Content.IE5\CH83Z6F2\0001[1].cab'); DeleteFile('C:\Documents and Settings\alter\Local Settings\Temporary Internet Files\Content.IE5\CH83Z6F2\004[1].cab'); DeleteFile('C:\Documents and Settings\alter\Local Settings\Temporary Internet Files\Content.IE5\CH83Z6F2\008[1].cab'); DeleteFile('C:\Documents and Settings\alter\Local Settings\Temporary Internet Files\Content.IE5\CH83Z6F2\012[1].cab'); DeleteFile('C:\Documents and Settings\alter\Local Settings\Temporary Internet Files\Content.IE5\CH83Z6F2\016[1].cab'); DeleteFile('C:\Documents and Settings\alter\Local Settings\Temporary Internet Files\Content.IE5\LIXYN95G\001[1].cab'); DeleteFile('C:\Documents and Settings\alter\Local Settings\Temporary Internet Files\Content.IE5\LIXYN95G\005[1].cab'); DeleteFile('C:\Documents and Settings\alter\Local Settings\Temporary Internet Files\Content.IE5\LIXYN95G\009[1].cab'); DeleteFile('C:\Documents and Settings\alter\Local Settings\Temporary Internet Files\Content.IE5\LIXYN95G\013[1].cab'); DeleteFile('C:\Documents and Settings\alter\Local Settings\Temporary Internet Files\Content.IE5\LIXYN95G\017[1].cab'); DeleteFile('C:\Documents and Settings\alter\Local Settings\Temporary Internet Files\Content.IE5\QK1DGKCM\002[1].cab'); DeleteFile('C:\Documents and Settings\alter\Local Settings\Temporary Internet Files\Content.IE5\QK1DGKCM\006[1].cab'); DeleteFile('C:\Documents and Settings\alter\Local Settings\Temporary Internet Files\Content.IE5\QK1DGKCM\010[1].cab'); DeleteFile('C:\Documents and Settings\alter\Local Settings\Temporary Internet Files\Content.IE5\QK1DGKCM\014[1].cab'); DeleteFile('C:\Documents and Settings\alter\Local Settings\Temporary Internet Files\Content.IE5\QK1DGKCM\018[1].cab'); DeleteFile('C:\Documents and Settings\chuprov\Local Settings\Temporary Internet Files\Content.IE5\3R4MJM00\05[1].cab'); DeleteFile('C:\Documents and Settings\chuprov\Local Settings\Temporary Internet Files\Content.IE5\3R4MJM00\07[1].cab'); DeleteFile('C:\Documents and Settings\chuprov\Local Settings\Temporary Internet Files\Content.IE5\3R4MJM00\102[1].cab'); DeleteFile('C:\Documents and Settings\chuprov\Local Settings\Temporary Internet Files\Content.IE5\3R4MJM00\10[1].cab'); DeleteFile('C:\Documents and Settings\chuprov\Local Settings\Temporary Internet Files\Content.IE5\3R4MJM00\13[1].cab'); DeleteFile('C:\Documents and Settings\chuprov\Local Settings\Temporary Internet Files\Content.IE5\3R4MJM00\15[1].cab'); DeleteFile('C:\Documents and Settings\chuprov\Local Settings\Temporary Internet Files\Content.IE5\CH83Z6F2\03[1].cab'); DeleteFile('C:\Documents and Settings\chuprov\Local Settings\Temporary Internet Files\Content.IE5\CH83Z6F2\08[1].cab'); DeleteFile('C:\Documents and Settings\chuprov\Local Settings\Temporary Internet Files\Content.IE5\CH83Z6F2\11[1].cab'); DeleteFile('C:\Documents and Settings\chuprov\Local Settings\Temporary Internet Files\Content.IE5\CH83Z6F2\16[1].cab'); DeleteFile('C:\Documents and Settings\chuprov\Local Settings\Temporary Internet Files\Content.IE5\CH83Z6F2\20[1].cab'); DeleteFile('C:\Documents and Settings\chuprov\Local Settings\Temporary Internet Files\Content.IE5\CH83Z6F2\26[1].cab'); DeleteFile('C:\Documents and Settings\chuprov\Local Settings\Temporary Internet Files\Content.IE5\CH83Z6F2\eee[1].cab'); DeleteFile('C:\Documents and Settings\chuprov\Local Settings\Temporary Internet Files\Content.IE5\LIXYN95G\01[1].cab'); DeleteFile('C:\Documents and Settings\chuprov\Local Settings\Temporary Internet Files\Content.IE5\LIXYN95G\06[1].cab'); DeleteFile('C:\Documents and Settings\chuprov\Local Settings\Temporary Internet Files\Content.IE5\LIXYN95G\14[1].cab'); DeleteFile('C:\Documents and Settings\chuprov\Local Settings\Temporary Internet Files\Content.IE5\LIXYN95G\18[1].cab'); DeleteFile('C:\Documents and Settings\chuprov\Local Settings\Temporary Internet Files\Content.IE5\LIXYN95G\21[1].cab'); DeleteFile('C:\Documents and Settings\chuprov\Local Settings\Temporary Internet Files\Content.IE5\LIXYN95G\27[1].cab'); DeleteFile('C:\Documents and Settings\chuprov\Local Settings\Temporary Internet Files\Content.IE5\QK1DGKCM\02[1].cab'); DeleteFile('C:\Documents and Settings\chuprov\Local Settings\Temporary Internet Files\Content.IE5\QK1DGKCM\04[1].cab'); DeleteFile('C:\Documents and Settings\chuprov\Local Settings\Temporary Internet Files\Content.IE5\QK1DGKCM\09[1].cab'); DeleteFile('C:\Documents and Settings\chuprov\Local Settings\Temporary Internet Files\Content.IE5\QK1DGKCM\101[1].cab'); DeleteFile('C:\Documents and Settings\chuprov\Local Settings\Temporary Internet Files\Content.IE5\QK1DGKCM\19[1].cab'); DeleteFile('C:\Documents and Settings\chuprov\Local Settings\Temporary Internet Files\Content.IE5\QK1DGKCM\24[1].cab'); DeleteFile('C:\Documents and Settings\market\Local Settings\Temporary Internet Files\Content.IE5\4WMP4N9Y\004[1].cab'); DeleteFile('C:\Documents and Settings\market\Local Settings\Temporary Internet Files\Content.IE5\4WMP4N9Y\008[1].cab'); DeleteFile('C:\Documents and Settings\market\Local Settings\Temporary Internet Files\Content.IE5\4WMP4N9Y\013[1].cab'); DeleteFile('C:\Documents and Settings\market\Local Settings\Temporary Internet Files\Content.IE5\4WMP4N9Y\018[1].cab'); DeleteFile('C:\Documents and Settings\market\Local Settings\Temporary Internet Files\Content.IE5\4WMP4N9Y\022[1].cab'); DeleteFile('C:\Documents and Settings\market\Local Settings\Temporary Internet Files\Content.IE5\4WMP4N9Y\026[1].cab'); DeleteFile('C:\Documents and Settings\market\Local Settings\Temporary Internet Files\Content.IE5\4WMP4N9Y\030[1].cab'); DeleteFile('C:\Documents and Settings\market\Local Settings\Temporary Internet Files\Content.IE5\5NLPOO7J\0001[1].cab'); DeleteFile('C:\Documents and Settings\market\Local Settings\Temporary Internet Files\Content.IE5\5NLPOO7J\005[1].cab'); DeleteFile('C:\Documents and Settings\market\Local Settings\Temporary Internet Files\Content.IE5\5NLPOO7J\009[1].cab'); DeleteFile('C:\Documents and Settings\market\Local Settings\Temporary Internet Files\Content.IE5\5NLPOO7J\014[1].cab'); DeleteFile('C:\Documents and Settings\market\Local Settings\Temporary Internet Files\Content.IE5\5NLPOO7J\019[1].cab'); DeleteFile('C:\Documents and Settings\market\Local Settings\Temporary Internet Files\Content.IE5\8F68D20V\032[1].cab'); DeleteFile('C:\Documents and Settings\market\Local Settings\Temporary Internet Files\Content.IE5\8F68D20V\029[1].cab'); DeleteFile('C:\Documents and Settings\market\Local Settings\Temporary Internet Files\Content.IE5\8F68D20V\025[1].cab'); DeleteFile('C:\Documents and Settings\market\Local Settings\Temporary Internet Files\Content.IE5\8F68D20V\021[1].cab'); DeleteFile('C:\Documents and Settings\market\Local Settings\Temporary Internet Files\Content.IE5\8F68D20V\016[1].cab'); DeleteFile('C:\Documents and Settings\market\Local Settings\Temporary Internet Files\Content.IE5\8F68D20V\012[1].cab'); DeleteFile('C:\Documents and Settings\market\Local Settings\Temporary Internet Files\Content.IE5\8F68D20V\007[1].cab'); DeleteFile('C:\Documents and Settings\market\Local Settings\Temporary Internet Files\Content.IE5\8F68D20V\003[1].cab'); DeleteFile('C:\Documents and Settings\market\Local Settings\Temporary Internet Files\Content.IE5\8F68D20V\001[1].cab'); DeleteFile('C:\Documents and Settings\market\Local Settings\Temporary Internet Files\Content.IE5\5NLPOO7J\031[1].cab'); DeleteFile('C:\Documents and Settings\market\Local Settings\Temporary Internet Files\Content.IE5\5NLPOO7J\027[1].cab'); DeleteFile('C:\Documents and Settings\market\Local Settings\Temporary Internet Files\Content.IE5\5NLPOO7J\023[1].cab'); BC_ImportAll; BC_DeleteSvc('9fd8db'); BC_DeleteSvc('8b52f47'); BC_DeleteSvc('5102a80'); BC_DeleteSvc('4901228'); BC_DeleteSvc('19b5406'); BC_DeleteSvc('HBKernel32'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=33394
Повторите логи.
Логи и карантин:
Последний раз редактировалось Alkoroller; 07.11.2008 в 14:52.
Скачать,меню,File,появится аналог проводника,найти:
правая кнопка мыши Force Delete на запрос о перезагрузке ответьте положительно.Код:C:\WINDOWS\system32\DRIVERS\HBKernel32.sys
Пофиксить
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".Код:O4 - HKLM\..\Run: [screen] \\ts1\screen\svchost.exe O20 - AppInit_DLLs: HBmhly.dll,HB1000Y.dll,HBWOOOL.dll,HBXY2.dll,HBJXSJ.dll,HBSO2.dll,HBFS2.dll,HBXY3.dll,HBSHQ.dll,HBFY.dll,HBWULIN2.dll,HBW2I.dll,HBKDXY.dll,HBWORLD2.dll,HBASKTAO.dll,HBZHUXIAN.dll,HBWOW.dll,HBZERO.dll,HBBO.dll,HBCONQUER.dll,HBSOUL.dll,HBCHIBI.dll,HBDNF.dll,HBWARLORDS.dll,HBTL.dll,HBPICKCHINA.dll,HBCT.dll,HBGC.dll,HBHM.dll,HBHX2.dll,HBQQHX.dll,HBTW2.dll,HBQQSG.dll,HBQQFFO.dll,HBZT.dll,HBMIR2.dll,HBRXJH.dll,HBYY.dll,HBMXD.dll,HBSQ.dll,HBTJ.dll,HBFHZL.dll,HBWLQX.dll,HBLYFX.dll,HBR2.dll,HBCHD.dll,HBTZ.dll,HBQQXX.dll,HBWD.dll,HBZG.dll,HBPPBL.dll,HBXMJ.dll,HBJTLQ.dll,HBQJSJ.dll
Пришлите карантин по правилам, очистите корзину и повторите логи...Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\DRIVERS\nvmini.sys',''); DeleteService('eth8023'); DeleteService('HBKernel32'); DeleteService('5102a80'); DeleteFile('C:\WINDOWS\system32\43ACDCC5.dll'); DeleteFile('C:\WINDOWS\system32\Drivers\HBKernel32.sys'); DeleteFile('C:\WINDOWS\system32\5102a80.sys'); DeleteFile('C:\WINDOWS\system32\DRIVERS\HBKernel32.sys'); DeleteFile('C:\WINDOWS\system32\drivers\eth8023.sys'); DeleteFile('C:\WINDOWS\system32\01BD9E17.dll'); BC_ImportALL; ExecuteSysClean; BC_DeleteSvc('eth8023'); BC_DeleteSvc('HBKernel32'); BC_DeleteSvc('5102a80'); BC_QrSvc('cdralw'); BC_Activate; ExecuteRepair(13); RebootWindows(true); end.
Всё сделал... Icesword запускаться отказался...
Последний раз редактировалось Alkoroller; 07.11.2008 в 14:52.
Где логи AVZ? Что написал айс?
Чёрт.
Не заметил - превысил предел вложений.
Про айс - через 5 минут отпишу
Последний раз редактировалось Alkoroller; 07.11.2008 в 16:34.
вы случайно не в безопасном режиме мой скрипт и удаление айсом делали?
Ваш скрипт выполнял в обычном режиме.
Скрипт сбора инфы для раздела - в обычном.
Скрипт карантина - в обычном завис на завершении, пришлось делать в безопасном.
А айс только в обычном работает?
Да айсом нужно работать в обычном режиме...
Ок, сейчас сделаю всё заново в указанной последовательности.
Вот, сделал всё по порядку в обычном режиме.
Последний раз редактировалось Alkoroller; 07.11.2008 в 16:34.
Пофиксить
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".Код:O4 - HKLM\..\Run: [HBService32] SYSTEM.EXE
Пришлите карантин по правилам и повторите логи...Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\DRIVERS\nvmini.sys',''); DeleteService('19b5406'); DeleteService('WudfSvc'); DeleteFile('C:\WINDOWS\system32\19b5406.sys'); DeleteFile('SYSTEM.EXE'); DeleteFile('F65BDEC7.dll'); DeleteFile('E3367679.dll'); DeleteFile('DE02F764.dll'); DeleteFile('C250CF20.dll'); DeleteFile('A8FC611B.dll'); DeleteFile('9F684DE8.dll'); DeleteFile('7ADC2AB1.dll'); DeleteFile('58FF3024.dll'); DeleteFile('4BF9CBA3.dll'); DeleteFile('495271CA.dll'); DeleteFile('43ACDCC5.dll'); DeleteFile('3474A8C2.dll'); DeleteFile('22D75360.dll'); DeleteFile('122B901E.dll'); DeleteFile('08223B03.dll'); DeleteFile('01BD9E17.dll'); DeleteFile('C:\Documents and Settings\market\Local Settings\Temp\QQ_Update.cab'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('19b5406'); BC_DeleteSvc('WudfSvc'); BC_QrSvc('cdralw'); BC_Activate; ExecuteRepair(13); RebootWindows(true); end.
Вот:
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Повторить логи...Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('WudfRd'); DeleteService('WudfPf'); DeleteFile('4D023DE9.dll'); DeleteFile('9CA963CA.dll'); SysCleanAddFile('4D023DE9.dll'); SysCleanAddFile('4D023DE9.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('WudfRd'); BC_DeleteSvc('WudfPf'); BC_Activate; RebootWindows(true); end.
Готово, скрипт лечения/карантина в обычном режиме опять повис, после вылета ошибки в процессе svchost.
проверку cureit выполняли ? (вот это нужно делать в safe mode)
Выполнял, перед всеми вышеописанными действиями. Она повисла
значит проверяйтесь при помощи этого
Уважаемый(ая) Alkoroller, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
