-
Junior Member
- Вес репутации
- 61
Просто огромное кол-во РАЗНЫХ вирусов!
Дорогие хэлперы!
У соседки есть древний комп на XP SP1, он безбожно тормозил. Хотел обновить до SP2, но он пишет, что надо обладать правами админа (хотя я под админом и вхожу). DRWeb нашёл кучу вирусов-троянов, но после проверки автозагрузки полная проверка тормозится и комп не реагирует на команды. Ситуация осложнена тем, что оптический привод не работает, и утилиты приходится запускать с флешки - которая, конечно сразу заражается... И в безопасном режиме комп не грузится. Вообщем я пофиксил, сделал логи, но на флешке (на своём уже проверил) было около 40 троянов, не знаю, скажется ли это на логах. Первый скрипт AVZ не смог выполнить - запускал несколько раз, но когда уже все диски проверены и выходят последние строчки в окне ("если вы подозреваете вирусы - обратитесь на virusinfo и т.д.") комп виснет и не появляется окошка скрипты выполнены - и лог не записывается. В итоге только 2 лога.
Помогите.
Последний раз редактировалось сергиус; 22.01.2009 в 10:33.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
а проверять AVPTool пробовали?
Скачайте AVZ у меня из подписи и попробуйте сделать недостающий лог.
Последний раз редактировалось light59; 20.01.2009 в 15:29.
-
-
Junior Member
- Вес репутации
- 61
Удалось запустить AVP Tool, но система жутко тормозит - за 3 часа проверено 3% (58 вирей найдено). Оставлю работающим на всю ночь - пусть прочесывает. Завтра если всё удачно будет новые логи сделаю.
-
Junior Member
- Вес репутации
- 61
Увы, с AVP tool системе удалось проверить за 18 часов только 10%!!! Найдено 65 вирусов. Проверку пришлось прервать. А вот с полиморфным AVZ удалось сделать все логи. На всякий случай ещё раз HIJACK'ом пофиксил. Очень надеюсь на вашу помощь - ситуация патовая - система тормозит жутко. По прежнему не имею прав админа и доступа к безопасному режиму.
Последний раз редактировалось сергиус; 22.01.2009 в 12:21.
-
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\ВЛАД\LOCALS~1\Temp\winnnpmwm.exe','');
QuarantineFile('C:\WINDOWS\system\Fun.exe','');
QuarantineFile('C:\WINDOWS\dc.exe','');
DeleteService('HBKernel32');
DeleteService('f28907d');
DeleteService('c6424110');
DeleteService('b770ca2');
DeleteService('b71fe93');
DeleteService('b1a18a3e');
QuarantineFile('C:\WINDOWS\System32\b1a18a3e.sys','');
DeleteService('HBKernel');
DeleteService('ati2mqxx');
DeleteService('ICF');
QuarantineFile('C:\WINDOWS\System32\icf.exe.exe:ext.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\HBKernel.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati2mqxx.sys','');
QuarantineFile('C:\WINDOWS\Update.dll','');
QuarantineFile('C:\WINDOWS\System32\dpppaaid.dll','');
QuarantineFile('C:\WINDOWS\System32\csrss.dll','');
QuarantineFile('C:\WINDOWS\System32\2EF0D734.dll','');
QuarantineFile('C:\WINDOWS\Fonts\Framdee.ttf','');
QuarantineFile('c:\windows\system32\rs32net.exe','');
TerminateProcessByName('c:\windows\system32\rs32net.exe');
DeleteFile('c:\windows\system32\rs32net.exe');
DeleteFile('C:\WINDOWS\Fonts\Framdee.ttf');
DeleteFile('C:\WINDOWS\System32\2EF0D734.dll');
DeleteFile('C:\WINDOWS\System32\3D144530.dll');
DeleteFile('C:\WINDOWS\System32\4506AD31.dll');
DeleteFile('C:\WINDOWS\System32\4D023DE9.dll');
DeleteFile('C:\WINDOWS\System32\4FBFD5A4.dll');
DeleteFile('C:\WINDOWS\System32\56BC86C7.dll');
DeleteFile('C:\WINDOWS\System32\5934EA2B.dll');
DeleteFile('C:\WINDOWS\System32\66AFCB56.dll');
DeleteFile('C:\WINDOWS\System32\83baaed7.dll');
DeleteFile('C:\WINDOWS\System32\93DEE065.dll');
DeleteFile('C:\WINDOWS\System32\950D1600.dll');
DeleteFile('C:\WINDOWS\System32\9CA963CA.dll');
DeleteFile('C:\WINDOWS\System32\A1A6BC2E.dll');
DeleteFile('C:\WINDOWS\System32\A55F538E.dll');
DeleteFile('C:\WINDOWS\System32\a7d8317f.dll');
DeleteFile('C:\WINDOWS\System32\AAC70E2B.dll');
DeleteFile('C:\WINDOWS\System32\B6E23E89.dll');
DeleteFile('C:\WINDOWS\System32\BA7EDF54.dll');
DeleteFile('C:\WINDOWS\System32\bcpjnnoc.dll');
DeleteFile('C:\WINDOWS\System32\bcppfamm.dll');
DeleteFile('C:\WINDOWS\System32\C8FFD223.dll');
DeleteFile('C:\WINDOWS\System32\csrss.dll');
DeleteFile('C:\WINDOWS\System32\D9C002DD.dll');
DeleteFile('C:\WINDOWS\System32\DA63E650.dll');
DeleteFile('C:\WINDOWS\System32\DFB3DAC5.dll');
DeleteFile('C:\WINDOWS\System32\dpppaaid.dll');
DeleteFile('C:\WINDOWS\System32\E0D39066.dll');
DeleteFile('C:\WINDOWS\System32\E1384213.dll');
DeleteFile('C:\WINDOWS\System32\E4814792.dll');
DeleteFile('C:\WINDOWS\System32\E783C505.dll');
DeleteFile('C:\WINDOWS\System32\eblgakcn.dll');
DeleteFile('C:\WINDOWS\System32\f22488be.dll');
DeleteFile('C:\WINDOWS\System32\F65BDEC7.dll');
DeleteFile('C:\WINDOWS\System32\F8E07BB2.dll');
DeleteFile('C:\WINDOWS\System32\fhneocbi.dll');
DeleteFile('C:\WINDOWS\System32\gcjedcek.dll');
DeleteFile('C:\WINDOWS\system32\gepqkg.dll');
DeleteFile('C:\WINDOWS\System32\ghhnbggk.dll');
DeleteFile('C:\WINDOWS\System32\gnpfkmfi.dll');
DeleteFile('C:\WINDOWS\System32\goibnkci.dll');
DeleteFile('C:\WINDOWS\System32\hdhbejjk.dll');
DeleteFile('C:\WINDOWS\System32\kjeocpoj.dll');
DeleteFile('C:\WINDOWS\System32\lapoejlc.dll');
DeleteFile('C:\WINDOWS\System32\lfjjofnf.dll');
DeleteFile('C:\WINDOWS\System32\lgljbjgb.dll');
DeleteFile('C:\WINDOWS\System32\lncclemn.dll');
DeleteFile('C:\WINDOWS\System32\mdjioeeo.dll');
DeleteFile('C:\WINDOWS\System32\nndhleni.dll');
DeleteFile('C:\WINDOWS\System32\sh09018.dll');
DeleteFile('C:\WINDOWS\Update.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\HBKernel.sys');
DeleteFile('C:\WINDOWS\System32\icf.exe.exe:ext.exe');
DeleteFile('C:\WINDOWS\System32\b1a18a3e.sys');
DeleteFile('C:\WINDOWS\System32\b71fe93.sys');
DeleteFile('C:\WINDOWS\System32\b770ca2.sys');
DeleteFile('C:\WINDOWS\System32\c6424110.sys');
DeleteFile('C:\WINDOWS\System32\f28907d.sys');
DeleteFile('C:\WINDOWS\System32\drivers\HBKernel32.sys');
DeleteFile('C:\WINDOWS\SVIQ.EXE');
DeleteFile('C:\WINDOWS\dc.exe');
DeleteFile('C:\WINDOWS\system\Fun.exe');
DeleteFile('C:\DOCUME~1\ВЛАД\LOCALS~1\Temp\winnnpmwm.exe');
DeleteFile('explore.exe');
DeleteFile('gepqkg.dll');
DeleteFile('nmncpfmj.dll');
DeleteFileMask('%tmp% ','*.* ',true);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(9);
ExecuteRepair(10);
ExecuteRepair(11);
ExecuteRepair(17);
RebootWindows(true);
end.
Пришлите карантин по правилам и повторите логи...
-
-
Junior Member
- Вес репутации
- 61
Карантин сделал.
Результат загрузки
Файл сохранён как 090122_011600_virus_49779ea0b6104.zip
Размер файла 147757
MD5 c5c6c548387fd068137c91beca4c202c
При проверке флешки на моём компе вирусы находятся. Логи сделал заново.
Последний раз редактировалось сергиус; 22.01.2009 в 12:21.
-
Пофиксите
Код:
O20 - AppInit_DLLs: gnpfkmfi.dll,hdhbejjk.dll,bcpjnnoc.dll,nndhleni.dll,a7d8317f.dll,mdjioeeo.dll,fhneocbi.dll,lncclemn.dll,f22488be.dll,83baaed7.dll,lgljbjgb.dll,goibnkci.dll,ghhnbggk.dll,lfjjofnf.dll,eblgakcn.dll,dpppaaid.dll,bcppfamm.dll,gcjedcek.dll,lapoejlc.dll,kjeocpoj.dll,
O20 - Winlogon Notify: gepqkg - C:\WINDOWS\
O21 - SSODL: ThunderAdvise - {97421D0D-E07F-40DF-8F07-99597B9585AD} - (no file)
в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\System32\csrss.dll');
DeleteFile('C:\WINDOWS\System32\sh09018.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\ati2mqxx.sys');
DeleteService('ati2mqxx');
DeleteFile('2EF0D734.dll');
DeleteFile('3D144530.dll');
DeleteFile('4506AD31.dll');
DeleteFile('4D023DE9.dll');
DeleteFile('4FBFD5A4.dll');
DeleteFile('56BC86C7.dll');
DeleteFile('5934EA2B.dll');
DeleteFile('66AFCB56.dll');
DeleteFile('83baaed7.dll');
DeleteFile('93DEE065.dll');
DeleteFile('950D1600.dll');
DeleteFile('9CA963CA.dll');
DeleteFile('A1A6BC2E.dll');
DeleteFile('A55F538E.dll');
DeleteFile('AAC70E2B.dll');
DeleteFile('B6E23E89.dll');
DeleteFile('BA7EDF54.dll');
DeleteFile('C8FFD223.dll');
DeleteFile('C:\WINDOWS\System32\01AFE3DC.dll');
DeleteFile('D9C002DD.dll');
DeleteFile('DA63E650.dll');
DeleteFile('DFB3DAC5.dll');
DeleteFile('E0D39066.dll');
DeleteFile('E1384213.dll');
DeleteFile('E4814792.dll');
DeleteFile('E783C505.dll');
DeleteFile('F8E07BB2.dll');
DeleteFile('a7d8317f.dll');
DeleteFile('bcpjnnoc.dll');
DeleteFile('bcppfamm.dll');
DeleteFile('dpppaaid.dll');
DeleteFile('eblgakcn.dll');
DeleteFile('f22488be.dll');
DeleteFile('fhneocbi.dll');
DeleteFile('gcjedcek.dll');
DeleteFile('ghhnbggk.dll');
DeleteFile('gnpfkmfi.dll');
DeleteFile('goibnkci.dll');
DeleteFile('hdhbejjk.dll');
DeleteFile('kjeocpoj.dll');
DeleteFile('lapoejlc.dll');
DeleteFile('lfjjofnf.dll');
DeleteFile('lgljbjgb.dll');
DeleteFile('lncclemn.dll');
DeleteFile('mdjioeeo.dll');
DeleteFile('nndhleni.dll');
DeleteFile('C:\Documents and Settings\Влад\Local Settings\Temp\009.exe');
DeleteFile('C:\Documents and Settings\Влад\Local Settings\Temporary Internet Files\Content.IE5\KTY3CDAR\009[2].exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('nvmini');
BC_DeleteSvc('b1a18a3e');
BC_DeleteSvc('ati2mqxx');
BC_Activate;
RebootWindows(true);
end.
логи повторите. Темп-папки ещё почистите.
Последний раз редактировалось light59; 22.01.2009 в 09:16.
-
-
Junior Member
- Вес репутации
- 61
Пофиксил, логи прицепляю. Теперь появилась ещё одна проблема - исчезло меню пуск и автозагрузка (т.е. полностью полоска со значками внизу) и невозможно выполнение операции копировать-вставить (данные строчки даже не появляются при правом клике).
Во время фиксации в Hijack пишет: you have a particulary large amount of hijacked domains. It's better to delete the file itself then tp fix each item (у вас слишком большое кол-во hijack-доменов. Возможно лучше сначала удалить сам файл и потом пофиксить каждое значение)
Последний раз редактировалось сергиус; 10.02.2009 в 13:44.
-
Скрипт делали в полиморфе?
Скачать IceSword
-Запустите программу. Внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файл
Код:
C:\WINDOWS\System32\Drivers\ati2mqxx.sys
-Нажмите по нему правой кнопкой мыши и выберите force delete.
-На запрос потверждения ответьте "да".
и без перезагрузки в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('F65BDEC7.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\ati2mqxx.sys');
DeleteService('ati2mqxx');
BC_ImportDeletedList;
BC_DeleteSvc('ati2mqxx');
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(16);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
логи повторяем.
Добавлено через 1 минуту
SP1 надо фиксить... Да и НОД в очередной раз курил в сторонке...
Последний раз редактировалось light59; 22.01.2009 в 10:47.
Причина: Добавлено
-
-
эх ты, студент, студент- флешку то надо было с защитой от записи вставлять,(с перемычкой флешки надо покупать) если заражать флешку не хотел 
логи тоже в полиморфном сделать.
-
-
Junior Member
- Вес репутации
- 61
Всё сделал, но пуск так и не появился.
Логи сделал полиморфом - прикрепляю. Постепенно начинает потряхивать ситуёвина эта.
Последний раз редактировалось сергиус; 10.02.2009 в 13:44.
-
В AVZ, пункт 13 восстановления сделайте и полную проверку CureIT...
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 7
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\b1a18a3e.sys - Trojan-GameThief.Win32.Magania.anej (DrWEB: Trojan.NtRootKit.1934)
- c:\\windows\\system32\\csrss.dll - Backdoor.Win32.Small.gzp (DrWEB: Trojan.MulDrop.29469)
- c:\\windows\\system32\\dpppaaid.dll - Trojan-GameThief.Win32.OnLineGames.bkrn
- c:\\windows\\system32\\drivers\\hbkernel.sys - Trojan-GameThief.Win32.OnLineGames.syng (DrWEB: Trojan.PWS.Gamania.13206)
- c:\\windows\\system32\\rs32net.exe - Trojan.Win32.Agent.bkan (DrWEB: BackDoor.Bulknet.320)
- c:\\windows\\system32\\2ef0d734.dll - Trojan-GameThief.Win32.Magania.anfc (DrWEB: Trojan.PWS.Wsgame.origin)
- c:\\windows\\update.dll - Trojan.Win32.Qhost.ktn
-
